Новая версия Solar appScreener 3.15.00

Пользовательский интерфейс:

• Добавили управление агентами сканирования. Этот шаг призван повысить прозрачность и гибкость в менеджменте ресурсов анализа, например, для ваших тяжеловесных проектов на Java J
  Список агентов отображается в настройках запуска анализа. Чтобы получить справку о текущем состоянии агента, его загруженности и поддерживаемых технологиях, кликните по нему один раз. Выбор можно сохранить для последующих сканирований, чтобы важные проекты больше не «зависали» в очереди.
  

  

• Переработали логику работы системы при истечении срока действия лицензии. Результаты уже проведённых сканирований останутся доступны для просмотра. Также их можно будет экспортировать на новую установку.
• Модуль динамического анализа:
  • Добавили возможность подставлять в URL для анализа адрес с переменными. Это повысит полноту тестирования, позволяя проверить разные комбинации URL в одном анализе. Указать конечные точки пути и их значения можно в настройках анализа. Для замены также потребуется файл OpenAPI.
    

    

  • Способы авторизации дополнились NTLM.
• Модуль анализа сторонних компонент:
  • Добавили возможность скачать из UI логи сканирования.
    

    

Администрирование:

• В панели администратора появилась новая вкладка: Агенты сканирования. Здесь будет храниться список агентов и инструменты управления ими. Каждый агент содержит подробные данные о его технических характеристиках, загруженности и исторические данные: с визуализацией в виде графиков и возможностью скачать логи.
  Управляйте выделенными ресурсами (количеством потоков, памятью), чтобы комфортно сканировать большие проекты. Агент можно также временно отключить.

• Добавили возможность отдельно обновлять базы анализа сторонних компонент в разделе Правила. При доступе к интернету Solar appScreener может делать это автоматически, а в закрытом контуре есть возможность ручного обновления. Изменения в open-source всегда динамичные, и теперь вы можете быть уверены, что Solar appScreener их уже учёл.

• Добавили настройку таймаута сканирования для каждого типа анализа. Это также призвано помочь с управлением очередью сканирований.

Поставка:

• Прощаемся с модулем ENV! Благодаря этому сможем поддерживать большее количество Linux дистрибутивов для работы Solar appScreener. И помимо этого, отказ от дополнительного модуля упростит процесс установки и обновления системы.

Что улучшено

Пользовательский интерфейс:

• Модуль анализа сторонних компонент:
  • Комбинированный анализ SAST/OSA теперь можно отключить в настройках запуска сканирования. Пользуйтесь этой опцией, чтобы сократить время анализа.
  • Добавили опцию собрать SBOM только c зависимостями, напрямую включенными в проект, для Java (Gradle, Maven).
    

    

  • Граф зависимостей начнёт строиться в ядре анализатора. Во-первых, это быстрее. Во-вторых, снижает нагрузку на клиентский браузер.
• Отчёт:
  • Доработали отчёт формата SARIF для корректной работы с более ранними версиями Defect Dojo.

Модули анализа:

• Поработали над скоростью анализа (ускорили) и использованием памяти. Будет особенно заметно на больших проектах.
• Значительно ускорили процесс предварительной обработки файлов JavaScript.
• Исправили логику применения паттернов taint-анализа, в частности удаление флагов при срабатывании нескольких паттернов в одном месте в коде.
• Улучшили обработку файлов .asp для VBScript.

Базы правил поиска уязвимостей.