Сферы применения
ДЛЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- Самостоятельный анализ безопасности приложений без привлечения разработчиков
- Получение детального описания обнаруженных уязвимостей и понятных рекомендаций по настройке WAF
- Предотвращение угроз и снижение рисков ИБ из-за заимствования кода
- Оценка лицензионных рисков, связанных с использованием open-source-компонентов
- Мониторинг лицензионной политики стороннего ПО в вашем приложении
- Контроль разработчиков приложений и компаний-подрядчиков, а также проверка унаследованного ПО
ДЛЯ БЕЗОПАСНОЙ РАЗРАБОТКИ
- Повышение качества кода благодаря сокращению количества опасных зависимостей и использованию open-source-компонентов только от проверенных авторов
- Раннее обнаружение и устранение уязвимостей кода до релиза приложения
- Снижение затрат на разработку кода и ускоренный запуск приложения
- Удобное встраивание анализа кода в цикл безопасной разработки (Secure SDLC)
Ключевые преимущества
Не требует опыта разработки
Интуитивно понятный интерфейс и запуск сканирования в несколько кликов.
Автоматический сбор SBOM-файлов
Загрузить на вход SCA-анализатора архив или ссылку на репозиторий с исходным кодом проекта. Система попробует автоматически собрать SBOM-файл, после чего начнет анализ. Для сборки SBOM из архива необходимо, чтобы архив содержал как исходный код, так и соответствующие манифесты.
Лидер среди отечественных решений — по числу поддерживаемых языков программирования
В случае загрузки на анализ SBOM-файла будет проанализирован проект на любом языке.
Языки программирования в случае загрузки исходного кода: JavaScript/TypeScript, PHP, Python, Ruby, C#/VB.NET, C/C++/Objective-C, GO, Java/Kotlin/Scala, Rust, Swift, Erlang.
Принцип работы
В основе подхода — единая технологическая платформа для комплексного анализа безопасности приложений
-
Единый интерфейс для удобного управления сканированиями
-
Корреляция результатов разных видов анализа и подробный отчет
-
Технология Fuzzy Logic Engine для сокращения ложных срабатываний
-
Статический анализ кода (SAST)
помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта.
-
Динамический анализ кода (DAST)
анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.
-
Модуль анализа сторонних компонентов (OSA)
модуль OSA включает в себя технологии анализа состава ПО (SCA), анализа цепочки поставок ПО (SCS), анализ лицензионных рисков и другие возможности для безопасного использования сторонних компонентов в вашем ПО.
Коннекторы к технологическим модулям
передают результаты сканирований между ядром и технологическими модулями.
-
Единый интерфейс для удобного управления сканированиями
-
Корреляция результатов разных видов анализа и подробный отчет
-
Технология Fuzzy Logic Engine для сокращения ложных срабатываний
-
Статический анализ кода (SAST)
помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта.
-
Динамический анализ кода (DAST)
анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.
-
Модуль анализа сторонних компонентов (OSA)
модуль OSA включает в себя технологии анализа состава ПО (SCA), анализа цепочки поставок ПО (SCS), анализ лицензионных рисков и другие возможности для безопасного использования сторонних компонентов в вашем ПО.
Коннекторы к технологическим модулям
передают результаты сканирований между ядром и технологическими модулями.
Анализ состава ПО (SCA)
Технология SCA анализирует используемые open-source-библиотеки и зависимости на наличие уязвимостей и снижает риск использования уязвимых компонентов в коде приложения.
Анализ проводится на основе нескольких источников — стандартных баз уязвимостей и собственной базы от экспертов ГК «Солар», которая включает в том числе информацию об актуальных угрозах, ориентированных на российские компании.
Анализ безопасности цепочки поставок ПО (SCS)
Технология Supply Chain Security (SCS) оценивает риски, связанные с Open Source, и формирует рейтинг безопасности каждого стороннего компонента. Рейтинг строится на базе восьми конкретных метрик: репутация автора, активность сообщества, внимание к безопасности и др.
Анализ безопасности цепочки поставок ПО (SCS) в нашем решении работает вместе с анализом лицензионных рисков.
Анализ лицензионных рисков помогает отслеживать лицензионные политики при использовании open-source-компонентов, оценивает критичность использования той или иной библиотеки и позволяет избежать юридических рисков, связанных с лицензиями.
Анализ состава ПО в сочетании с Supply Chain Security и оценкой лицензионных рисков обеспечивает всесторонний контроль безопасности Open Source в вашем коде с помощью одного решения.
Под нашей защитой
Протестируйте Solar appScreener OSA бесплатно
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.