Solar inCode - российский инструмент проверки безопасности приложений нового поколения. Интерфейс Solar inCode позволяет управлять сканером в два клика: вся сложная вариативность алгоритмов и настроек максимально автоматизирована

Описание Solar inCode

Назначение

Solar inCode — статический анализатор кода приложений на наличие уязвимостей и НДВ. Его отличительной особенностью является возможность анализа не только исходного кода, но и исполняемых файлов (представленных в бинарном виде), что позволяет значительно превзойти результаты, получаемые с помощью динамического анализа (DAST).

Поддерживается анализ приложений, написанных более чем на 20+ языках программирования или скомпилированных в одном из 7 различных расширений исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS.

Поддерживаемые языки программирования



Поддерживаемые расширения исполняемых файлов



Проверка кода мобильных приложений может осуществляться простым копированием в меню анализатора ссылки на приложение с Google Play или App Store.

Для устранения найденных уязвимостей и НДВ нужно не только их обнаружить, но и грамотно описать правила, при которых они работают или закрываются. Solar inCode выдает детальные рекомендации по устранению уязвимостей и НДВ с описанием способов их эксплуатации, а также рекомендации по настройке WAF.

База сигнатур уязвимостей Solar inCode постоянно пополняется специалистами Ростелеком-Solar.

Для обеспечения SDL Solar inCode легко интегрируется с репозиторием разработки Git и серверами непрерывной интеграции Jenkins и TeamCity, что позволяет быстро анализировать как исходный, так и бинарный коды. Интеграция с системой отслеживания ошибок Atlassian JIRA дает возможность управлять процессом устранения найденных уязвимостей и НДВ. Для взаимодействия с другими системами и сервисами доступен открытый API.

Области применения

Solar inCode незаменим, если:

Организация предоставляет онлайн-сервисы внешним пользователям: интернет-банк, личный кабинет пользователя, онлайн-продажа товаров и услуг, сервисы мобильной коммерции и т. д.;
Необходимо проверять безопасность приложений на наличие уязвимостей и НДВ, оставленных разработчиками, при отсутствии доступа к исходным кодам;
Необходимо выполнить требования стандартов СТО БР или PCI DSS в части анализа кода приложения;
Нужно усилить авторитет и влияние службы ИБ на внешних или внутренних разработчиков;
Необходимо в кратчайшие сроки корректно настроить системы защиты и мониторинга онлайн-сервисов.

Интерфейс

Графический интерфейс Solar inCode в первую очередь рассчитан на службу ИБ, а не на разработчиков. В его основу была заложена облегченная логика взаимодействия с пользователем, не требующая глубоких технических знаний для интерпретации результатов анализа. По этой причине он отличается простотой и удобством, а сам процесс анализа максимально автоматизирован, что позволяет анализировать код приложения в два клика мышью.

Для пользователя доступны русский и английский языки интерфейса. Предпочитаемый язык можно менять прямо во время работы с анализатором.

Помимо графического интерфейса также доступен вариант работы с Solar inCode через командную строку (CLI).



Лицензирование и поставка

Solar inCode можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака Ростелеком-Solar (SaaS). В случае размещения на собственном сервере лицензирование осуществляется по количеству пользователей, которые имеют доступ к системе, в случае SaaS — оплачивается количество произведенных проверок.

Для небольших вендоров и компаний, использующих заказные разработки, модель SaaS является наиболее оптимальной, так как в их случае потребность в проверке кода приложений возникает время от времени. Им достаточно приобрести лицензии на необходимое число проверок, через веб-интерфейс загрузить код в «облако» и дождаться окончания анализа. Возможна организация защищенного канала связи с сервисом тестирования с помощью технологий виртуальных частных сетей (VPN).


Соответствие требованиям регуляторов

Solar inCode разработан в России с применением собственных запатентованных технологий, внесен в Единый реестр отечественного ПО (№ 516) и сертифицирован ФСТЭК России на соответствие требованиям к программному обеспечению по 4 уровню контроля отсутствия НДВ (сертификат соответствия № 4007).

Solar inCode также станет отличным выбором для компаний, стремящихся выполнять требования различных стандартов безопасности. С его помощью можно сгенерировать отчет, сверстанный в соответствии с классификацией уязвимостей по версии PCI DSS, OWASP Top 10, OWASP Mobile Top 10, HIPAA или CWE/SANS Top 25, что значительно упрощает задачу по обеспечению соответствия требованиям регуляторов.

Solar inCode

Инструмент нового поколения для проверки безопасности приложений
Указан неверный адрес подписки.

Первыми получайте новости о наших продуктах на свой e-mail.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах