Solar appScreener

Статический анализатор безопасности приложений, мировой лидер по количеству поддерживаемых языков программирования. Может анализировать исполняемые файлы без debug info и ориентирован на службу ИБ, а не на разработчиков.

Возможности:

  • Анализировать исполняемые файлы (бинарный код);
  • Проверять приложения по ссылке в App Store или Google Play;
  • Проверять унаследованное и заказное ПО;
  • Анализировать состав приложения (Software Composition Analysis);
  • Проверять смарт-контракты на основе Solidity и Vyper (Software Composition Analysis);
  • Анализировать обфусцированный (запутанный) код ;
  • Формировать рекомендации по настройке WAF;
  • Составлять рейтинг безопасности приложений.
Оставить заявку
Категория: Метка:

Описание

Solar appScreener находит уязвимости и НДВ как в исходном коде приложения, так и в исполняемых файлах (бинарном коде), после чего дает подробные рекомендации для разработчиков и офицеров безопасности.

Анализ исходного кода

Solar appScreener может анализировать исходный код, написанный на 32 языках программирования, включая как популярные (Java, Scala, Python, PHP, C#, Swift, Ruby и др.), так и специализированные (1C, ABAP, Solidity, Apex, PL/SQL и др.) или устаревшие (Delphi, COBOL, Visual Basic 6.0).

Анализ исполняемых файлов

Технологии декомпиляции и деобфускации бинарного кода приложений позволяют использовать Solar appScreener для анализа исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Для проверки мобильных приложений достаточно скопировать в анализатор ссылку на соответствующую страницу в Google Play или App Store. Результаты анализа отображаются на основе восстановленного исходного кода.

Выявление уязвимостей

Уязвимости выявляются на основе правил поиска после завершения всех процедур анализа и работы Fuzzy Logic Engine. Применение технологии SCA позволяет выявлять уязвимости не только в собственном коде, но и в компонентах на основе свободного ПО и сторонних библиотек.

Выявление недекларированных возможностей

НДВ выявляются по наличию одной из характерных базовых конструкций: хардкодных учетных записей, скрытой сетевой активности, временных бомб и т. д. Наличие базовых конструкций НДВ может свидетельствовать о присутствии более сложной составной закладки.

Проверка унаследованного и заказного ПО

Реализованные в Solar appScreener технологии SCA и анализа бинарного кода позволяют проверять на уязвимости и НДВ унаследованные приложения и заказные разработки, в том числе использующие сторонние компоненты (СПО, готовые коды из интернета, модули, библиотеки).

Сравнение результатов проверок

С помощью Solar appScreener можно сравнивать результаты проведенных тестирований и строить различные графики, что позволяет удобно отслеживать динамику устранения или появления уязвимостей и НДВ, том числе по группам проектов. При этом учитываются изменения, характерные для процесса написания кода, а в рамках одного проекта отслеживаются сами уязвимости и НДВ, что дает возможность контролировать ход их устранения.

Построение отчетов

Отчеты по уязвимостям и НДВ формируются автоматически, а их содержание выбирает пользователь. Результаты представляются в интерфейсе Solar appScreener либо выгружаются в формате PDF. Доступна выгрузка в соответствии с классификацией уязвимостей по версии PCI DSS, БДУ ФСТЭК России, OWASP Top 10 и Mobile Top 10, HIPAA или CWE/SANS Top 25, а также гибкая выгрузка отчетных данных через JSON.

Разграничение прав разработчиков

Для повышения уровня информационной безопасности можно разграничить права доступа разработчиков к Solar appScreener. Поддержка Microsoft Active Directory позволяет упростить управление правами доступа при большом количестве разработчиков.

Подготовка рекомендаций для разработчиков

Разработчики заинтересованы сдавать проекты максимально быстро и с минимальными замечаниями. Поэтому рекомендации для разработчиков содержат описания уязвимостей и НДВ, ссылки на содержащие их участки кода, а также конкретные советы по его изменению.

Подготовка рекомендаций для офицеров безопасности

Офицерам безопасности необходима максимально полная информация о найденных уязвимостях и НДВ. Рекомендации для них содержат детальные описания найденных уязвимостей и НДВ, включая способы их реализации, а также рекомендации по настройке WAF от Imperva, ModSecurity или F5.

Работа с системами отслеживания ошибок

В базовую версию Solar appScreener входит интеграция с Atlassian Jira. Это позволяет заводить в ней задачи по устранению найденных уязвимостей непосредственно из интерфейса Solar appScreener и отслеживать ход их выполнения. При необходимости можно реализовать поддержку любой другой системы отслеживания ошибок.

Интеграция в процесс разработки

Solar appScreener можно связать с репозиторием Git, интегрированными средами разработки Eclipse, Microsoft Visual Studio и Xcode, а также серверами CI/CD Jenkins, Azure DevOps Server 2019 и TeamCity, что позволяет встроить его в процесс разработки и реализовать полноценный Secure SDLC. С помощью открытого API доступна интеграция с другими системами и сервисами.

Детали

Производитель:

ООО «СОЛАР СЕКЬЮРИТИ», компания группы ПАО «Ростелеком» — системы и средства информационной безопасности и защиты данных

Похожие товары

Заказать бесплатную коcнультацию

Оставьте Ваши контактные данные и наши менеджеры проконсультируют вас по всем вопросам бесплатно

Оставить заявку

Оставить заявку

Оставить заявку (товар)