Описание
Solar appScreener находит уязвимости и НДВ как в исходном коде приложения, так и в исполняемых файлах (бинарном коде), после чего дает подробные рекомендации для разработчиков и офицеров безопасности.
Анализ исходного кода
Solar appScreener может анализировать исходный код, написанный на 32 языках программирования, включая как популярные (Java, Scala, Python, PHP, C#, Swift, Ruby и др.), так и специализированные (1C, ABAP, Solidity, Apex, PL/SQL и др.) или устаревшие (Delphi, COBOL, Visual Basic 6.0).
Анализ исполняемых файлов
Технологии декомпиляции и деобфускации бинарного кода приложений позволяют использовать Solar appScreener для анализа исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Для проверки мобильных приложений достаточно скопировать в анализатор ссылку на соответствующую страницу в Google Play или App Store. Результаты анализа отображаются на основе восстановленного исходного кода.
Выявление уязвимостей
Уязвимости выявляются на основе правил поиска после завершения всех процедур анализа и работы Fuzzy Logic Engine. Применение технологии SCA позволяет выявлять уязвимости не только в собственном коде, но и в компонентах на основе свободного ПО и сторонних библиотек.
Выявление недекларированных возможностей
НДВ выявляются по наличию одной из характерных базовых конструкций: хардкодных учетных записей, скрытой сетевой активности, временных бомб и т. д. Наличие базовых конструкций НДВ может свидетельствовать о присутствии более сложной составной закладки.
Проверка унаследованного и заказного ПО
Реализованные в Solar appScreener технологии SCA и анализа бинарного кода позволяют проверять на уязвимости и НДВ унаследованные приложения и заказные разработки, в том числе использующие сторонние компоненты (СПО, готовые коды из интернета, модули, библиотеки).
Сравнение результатов проверок
С помощью Solar appScreener можно сравнивать результаты проведенных тестирований и строить различные графики, что позволяет удобно отслеживать динамику устранения или появления уязвимостей и НДВ, том числе по группам проектов. При этом учитываются изменения, характерные для процесса написания кода, а в рамках одного проекта отслеживаются сами уязвимости и НДВ, что дает возможность контролировать ход их устранения.
Построение отчетов
Отчеты по уязвимостям и НДВ формируются автоматически, а их содержание выбирает пользователь. Результаты представляются в интерфейсе Solar appScreener либо выгружаются в формате PDF. Доступна выгрузка в соответствии с классификацией уязвимостей по версии PCI DSS, БДУ ФСТЭК России, OWASP Top 10 и Mobile Top 10, HIPAA или CWE/SANS Top 25, а также гибкая выгрузка отчетных данных через JSON.
Разграничение прав разработчиков
Для повышения уровня информационной безопасности можно разграничить права доступа разработчиков к Solar appScreener. Поддержка Microsoft Active Directory позволяет упростить управление правами доступа при большом количестве разработчиков.
Подготовка рекомендаций для разработчиков
Разработчики заинтересованы сдавать проекты максимально быстро и с минимальными замечаниями. Поэтому рекомендации для разработчиков содержат описания уязвимостей и НДВ, ссылки на содержащие их участки кода, а также конкретные советы по его изменению.
Подготовка рекомендаций для офицеров безопасности
Офицерам безопасности необходима максимально полная информация о найденных уязвимостях и НДВ. Рекомендации для них содержат детальные описания найденных уязвимостей и НДВ, включая способы их реализации, а также рекомендации по настройке WAF от Imperva, ModSecurity или F5.
Работа с системами отслеживания ошибок
В базовую версию Solar appScreener входит интеграция с Atlassian Jira. Это позволяет заводить в ней задачи по устранению найденных уязвимостей непосредственно из интерфейса Solar appScreener и отслеживать ход их выполнения. При необходимости можно реализовать поддержку любой другой системы отслеживания ошибок.
Интеграция в процесс разработки
Solar appScreener можно связать с репозиторием Git, интегрированными средами разработки Eclipse, Microsoft Visual Studio и Xcode, а также серверами CI/CD Jenkins, Azure DevOps Server 2019 и TeamCity, что позволяет встроить его в процесс разработки и реализовать полноценный Secure SDLC. С помощью открытого API доступна интеграция с другими системами и сервисами.