![Open source: что это и зачем его используют при разработке](/upload/cssinliner_webp/iblock/01d/9v5n0f5qqeq2w6vqaae6fu8f1u6a0uac/open_source.webp)
Open source: что это и зачем его используют при разработке
Узнать больше05.10.2021
Среди компаний, занимающихся разработкой программного обеспечения, все популярнее становится методология DevSecOps. Она подразумевает обеспечение непрерывного контроля безопасности программы или приложения на всех этапах их жизненного цикла. А ведь это актуально не только для разработчиков. Даже если ваша компания – пользователь программного обеспечения – не имеет никакого отношения к DevSecOps-методологии, вам тоже нужно подумать о регулярном контроле и оценке безопасности используемых приложений. Технологии не стоят на месте: постоянно появляются обновления, патчи и так далее.
Чтобы реализовать функции контроля защищенности программного обеспечения, не обязательно иметь в штате целый отдел разработчиков. Можно переложить эти функции на офицеров отдела информационной безопасности (далее – ИБ). Сделать это поможет статический анализатор программного кода SAST.
SAST (Static Application Security Testing) – это один из методов тестирования защищенности приложений. Статический анализ кода приложения/программы или его части на наличие уязвимостей реализуется без реального запуска исследуемого приложения в «боевой среде». А SAST-анализатор реализует этот подход. Такую технологию еще принято называть тестированием по методу белого ящика.
Среди плюсов статического анализа кода:
Эти факторы обусловливают более высокую популярность рассматриваемой технологии тестирования по сравнению с другими. Так, согласно результатам опросов специалистов, почти 69% компаний (из сферы разработки, и не только) при выборе способа анализа защищенности программного обеспечения в первую очередь обращают внимание именно на SAST на DAST (динамическое тестирование) – 21%.
Технологии SAST уже более 10 лет. За это время сформировался понятный и достаточно полный перечень требований к анализаторам исходного кода, в соответствии с которыми она реализуется. Мы учитываем их при разработке SAST-анализатора Solar appScreener, а также исходим из пожеланий и потребностей пользователей подобных решений.
Своеобразный must have для SAST-анализатора представлен ниже.
Здесь без сомнений можно применять подход «чем больше, тем лучше». Неплохим показателем считается, когда анализатор уязвимостей приложений поддерживает больше 20 языков программирования. Например, в Solar appScreener реализована поддержка 36+ ЯП. Это количество регулярно увеличивается.
Возможности анализатора не должны ограничиваться только анализом исходного кода программного обеспечения. Бинарные исполняемые файлы такое решение также должно анализировать. Это происходит с помощью декомпиляции, деобфускации кода для его восстановления и последующего анализа.
Эта функция обеспечивает отслеживание динамики устранения и появления уязвимостей в программном обеспечении. Сравнение может выполняться разными способами. Часто используется подсветка фрагментов кода с комментариями «до» и «после». В дополнение к этому в SAST-анализаторе Solar appScreener мы реализовали графическое представление результатов тестирования, информативное и удобное для восприятия.
По окончании проверки анализатор должен не просто представить результаты в формализованном виде. Очень важны рекомендации, которые помогут в устранении выявленных проблем. Причем формироваться они должны как для разработчиков, так и для специалистов компании, занимающихся информационной безопасностью (офицеров ИБ).
Помимо этого, решение для статического анализа приложений должно иметь базу правил поиска уязвимостей с регулярными обновлениями и возможностью добавления собственных. Также должна быть обеспечена интеграция со средствами разработки, системами контроля версий и отслеживания ошибок и другими внешними решениями. Например, Solar appScreener интегрируется с Git и Subversion, VCS-хостингами GitLab, GitHub, Bitbucket, средами разработки Xcode, CMake, Microsoft Visual Studio, а также другими средствами сборки и IDE, серверами Azure DevOps Server, CI/CD Jenkins, а также TeamCity и проч.
Конечно же, решение должно быть сертифицировано ФСТЭК России.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.