Возможности Solar inCode

Возможности Solar inCode

Solar inCode – инструмент статического анализа кода, предназначенный для выявления уязвимостей информационной безопасности и недекларированных возможностей (НДВ). Основной отличительной чертой продукта является возможность восстанавливать исходный код приложений из рабочего файла с использованием технологии декомпиляции (обратной инженерии).

Статический анализ кода

Solar inCode позволяет проводить анализ исходного кода, написанного на следующих языках:
Java, JavaScript, Scala, PHP, Python, Ruby, HTML5, PL/SQL, T/SQL, Java for Android, Swift, Objective C, С#, C/C++, VB 6.0, Delphi, ABAP, Solidity, Groovy, Kotlin.

Исходный код может загружаться для анализа как простой загрузкой файлов с исходным кодом в сканер, так и напрямую из репозитория.

В случаях, когда исходный код недоступен, можно загрузить в Solar inCode рабочие файлы мобильного или web-приложения. В частности, для мобильных приложений достаточно просто скопировать в сканер ссылку на его страницу в Google Play или Apple Store. Приложение будет автоматически скачано, декомпилировано и проверено.

Динамический и интерактивный анализ кода

Solar inCode 2.2 включает в себя модули динамического и интерактивного анализа (DAST/IAST) с двумя режимами работы – fuzzing-методов и fuzzing-запросов. Совместное использование статического, динамического и интерактивного анализа позволяет добиться более полных результатов проверки на уязвимости, ошибки и закладки в исходном коде приложений.


Поиск потенциальных НДВ

Поиск недекларированных возможностей является нетривиальной задачей, даже если ее решать в «ручном режиме» в идеальных условиях: когда есть исходный код, подробная документация к нему и большое количество времени. В Solar inCode реализован ряд алгоритмов автоматического поиска НДВ. Эти алгоритмы являются нашей собственной базой знаний и постоянно пополняются. Конечно, нельзя утверждать, что сканер сможет выявить все НДВ в приложении. Но, учитывая, что алгоритм поиска автоматизирован, количество выявляемых НДВ достаточно велико.

Проверяя исходный код с помощью Solar inCode, пользователь имеет возможность редактировать правила поиска уязвимостей и отмечать ложные срабатывания. В ходе такого обучения системы удается создавать развитые механизмы выявления ложноположительных срабатываний, а также определять новые типы уязвимостей и недекларированных возможностей.


Рекомендации по настройке наложенных средств защиты

Значительной долей приложений, которые наши клиенты проверяют на наличие уязвимостей, являются web-приложения. Они находятся на рубеже периметра защиты и, как правило, в них обрабатывается важная информация, которая привлекает злоумышленников. Риски достаточно велики, но в ряде случаев для устранения обнаруженной в коде уязвимости разработчики называют неприемлемый срок, например, в несколько месяцев. Это может быть связано как с ресурсными сложностями разработчиков, так и с объективной необходимостью внести большие архитектурные изменения в код приложения. Определенное количество опасных уязвимостей можно закрыть наложенными средствами защиты, пока не будет исправлен код приложения. Для этого Solar inCode предлагает детальные рекомендации по настройке наложенных средств защиты информации (СЗИ). Этот функционал реализован для многих популярных в России СЗИ, например, Imperva WAF, Cisco, Check Point.


Интеграция в разработку

Solar InCode встраивается в системы непрерывной интеграции (Continuous Integration – CI), позволяя наладить процесс контроля качества и снижая временные затраты на решение данной задачи. Кроме этого, Solar InCode помогает автоматизировать проверку новых сборок ПО и может быть встроен в процесс безопасной разработки (SDLC). Решение позволяет разграничить доступ пользователей к ПО, чтобы каждый разработчик мог контролировать уровень безопасности и наличие ошибок только в своей части проекта.


Понятный интерфейс

Интерфейс Solar InCode отличается простотой и удобством, в его основу заложена облегченная логика взаимодействия с пользователем, не требующая глубоких технических знаний для интерпретации результатов сканирования. На выбор пользователя предлагается русский и английский язык интерфейса. Также поддерживается работа с решением через командную строку.


Выгрузка отчетов

Помимо удобного интерфейсного представления результатов, в Solar inCode реализован гибкий функционал генерации отчетов в форматах .pdf, .html, а также в формате системы Solar inView. Отчеты формируются автоматически, а их содержание и наполнение может быть выбрано пользователем.

Solar inCode

Инструмент нового поколения для проверки безопасности приложений
Указан неверный адрес подписки.

Первыми получайте новости о наших продуктах на свой e-mail.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах