Описание Solar appScreener

Назначение

Solar appScreener (ранее — Solar inCode) — статический анализатор кода приложений на наличие уязвимостей и НДВ. Его отличительной особенностью является возможность статического анализа не только исходного кода, но и исполняемых файлов, т.е. представленных в бинарном виде. Это обеспечивает более качественные результаты, чем в случае использования динамического анализа (DAST).

Поддерживается анализ приложений, написанных более чем на 20+ языках программирования или скомпилированных в одном из 7 различных форматов исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Проверка кода мобильных приложений может осуществляться простым копированием в меню анализатора ссылки на приложение с Google Play или App Store.

Поддерживаемые языки программирования

Поддерживаемые форматы исполняемых файлов

Уязвимости и НДВ обнаруживаются с помощью более 10 методов анализа, в том числе: лексического, синтаксического, семантического, taint-анализа, распространения констант, распространения типов, анализа синонимов и анализа графов потока управления. Доступен выбор глубины анализа и отключение сложных проверок, а также инкрементальный анализ, при котором проверяется только изменившийся код.

Технология анализа состава ПО (SCA), реализованная Solar appScreener, позволяет обнаруживать использование сторонних компонентов в коде (СПО, готовые коды из Интернета, модули, библиотеки), определяя их названия, версии, их известные уязвимости, а также лицензии.

Найденные уязвимости и НДВ графически подсвечиваются непосредственно в коде проанализированного приложения. Возможно сравнение результатов тестирования одного проекта с учетом изменений, стандартных при написании кода, и отправка уведомлений на электронную почту.

В Solar appScreener применяется собственная технология Fuzzy Logic Engine, которая задействует математический аппарат нечетких множеств и нечеткой логики и является технологическим ноу-хау компании Ростелеком-Solar. Ее применение позволяет минимизировать количество ложных срабатываний и пропущенных уязвимостей и НДВ.

Для устранения найденных уязвимостей и НДВ нужно не только их обнаружить, но и грамотно описать правила, при которых они работают или закрываются. Solar appScreener дает детальные рекомендации по устранению уязвимостей и НДВ с описанием способов их эксплуатации, а также рекомендации по настройке WAF. База сигнатур уязвимостей Solar appScreener постоянно пополняется разработчиками анализатора.

Solar appScreener легко интегрируется с репозиторием Git, серверами CI/CD Jenkins и TeamCity и системой отслеживания ошибок Atlassian JIRA, что помогает быстро анализировать исходный код и обеспечить безопасный жизненный цикл разработки ПО. Поддержка Microsoft Active Directory позволяет упростить управление правами доступа к Solar appScreener при большом числе разработчиков.

Для взаимодействия с другими системами и сервисами доступен открытый API.

Области применения

Solar appScreener незаменим, если:

Интерфейс

Графический интерфейс Solar appScreener в первую очередь рассчитан на службу ИБ, а не на разработчиков. В его основе — облегченная логика взаимодействия с пользователем, не требующая глубоких технических знаний для интерпретации результатов анализа. По этой причине интерфейс Solar appScreener отличается простотой и удобством, а сам процесс анализа максимально автоматизирован, что позволяет проверять код приложения в два клика.

В новой версии Solar appScreener реализована удобная навигация по проектам и результатам анализа, более наглядная и подробная статистическая информация о проектах и дополнительные фильтры для проектов, а также существенно переработана страница администрирования. При желании пользователь нажатием одной кнопки может вернуть старую версию интерфейса.

Для пользователя доступны русский и английский языки интерфейса. Предпочитаемый язык можно менять прямо во время работы с анализатором.

Также с Solar appScreener можно работать через командную строку (CLI).

Лицензирование и поставка

Solar appScreener можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака Ростелеком-Solar (SaaS). В случае размещения на собственном сервере организации лицензирование осуществляется по количеству пользователей с доступом к системе, в случае SaaS — оплачивается количество произведенных проверок кода.

Для небольших вендоров и использующих заказные разработки компаний модель SaaS наиболее оптимальна: у них потребность в проверке кода приложений возникает лишь периодически. Таким компаниям достаточно приобрести лицензии на необходимое число проверок кода, через веб-интерфейс загрузить код в облако и дождаться окончания анализа. При необходимости с помощью технологий виртуальных частных сетей (VPN) можно организовать защищенный канал связи с сервисом тестирования.

Соответствие требованиям регуляторов

Solar appScreener разработан в России с применением собственных запатентованных технологий, внесен в Единый реестр отечественного ПО (№ 516), сертифицирован ФСТЭК России как программное средство контроля защищенности, соответствующее требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1» (Гостехкомиссия России, 1999) по 4 уровню контроля отсутствия НДВ и ТУ (сертификат соответствия № 4007).

Solar appScreener также станет отличным выбором для компаний, стремящихся выполнять требования различных стандартов безопасности. С его помощью можно сгенерировать отчет, сверстанный в соответствии с классификацией уязвимостей по версии PCI DSS, OWASP Top 10, OWASP Mobile Top 10, HIPAA или CWE/SANS Top 25, что упрощает обеспечение соответствия требованиям регуляторов.