Группа компаний «Солар», архитектор комплексной кибербезопасности, выпустила новую версию платформы Solar appScreener, предназначенной для контроля безопасности приложений на уровне кода. В релизе 3.15.5 реализованы несколько обновлений, которые улучшают пользовательский опыт IT-разработчиков и расширяют функционал модуля статического анализа кода (SAST). Теперь все найденные уязвимости классифицируются по требованиям ГОСТ
В ГОСТ Р
По данным ГК «Солар», более 50% веб-приложений российских компаний содержат уязвимости, при этом 56% от выявленных уязвимостей относятся к критичным и особо критичным. Например, в финансовых веб-приложениях чаще всего выявляются уязвимости, связанные с недостатками контроля доступом, межсайтовый скриптинг (XSS), недостаточный уровень шифрования, небезопасная обработка или хранение конфиденциальной информации (номера банковских карт, пароли, персональные данные). По оценке аналитиков «Солара», в 2024 году уязвимости веб-приложений также стали причиной 40% инцидентов, связанных с утечками данных.
«Требования к безопасной разработке становятся жестче по ряду причин. Важную роль играет баланс в скорости разработки, как быстро компания реагирует на запросы рынка, и информационной безопасностью „софта“. Второй фактор, влияющий на рынок разработки ПО в России, — это позиция регуляторов рынка. Цена ошибки растет, ведь один успешный взлом приложения может привести к высоким штрафам или негативно сказаться на репутации компании. В случае с госорганизацией, корпорацией, или компанией, которая сотрудничает с госсектором, на кону стоит доверие к продукту, который разрабатывается для миллионов пользователей», — прокомментировал Лев Арманшин, менеджер по развитию бизнеса ПО Solar appScreener.
Новый функционал классификации уязвимостей по требованиям ГОСТ 71207 интегрирован в интерфейс Solar appScreener: достаточно запустить сканирование, и в отчёте каждая уязвимость получит код и описание класса. Для каждого класса указываются рекомендации по снижению рисков, примерные сроки устранения и потенциальное влияние на уровень безопасности продукта. Таким образом разработчики могут определить степень критичности уязвимости и расставить приоритеты в её устранении. Тип уязвимости можно проверить в подробных результатах и в отчете при выборе способа классификации «ГОСТ Р
Эксперты «Солара» также отмечают, что использование модуля статического анализа SAST позволит IT-командам выстроить процесс разработки согласно национальным стандартам ИБ, внедрить единую терминологию для внешних и внутренних аудитов и сформировать прозрачную отчетность для заказчиков и регуляторов отрасли.
Solar appScreener включает несколько модулей, доступных в двух версиях продукта. В версии on-premise доступен полный функционал для комплексной разработки приложений на основе технологий статического, динамического анализа, анализа состава и цепочки поставок ПО (SAST, DAST, OSA). Комбинированный анализ SAST/OSA выявляет использование уязвимых функций сторонних компонентов в проекте, их источник и снижает количество ложных срабатываний. Таким образом решение оптимизирует процесс DevSecOps за счет более эффективного использования ресурсов.
Для небольших IT-компаний и команд разработки также доступна специальная «облачная» версия, в которой доступен SCA-модуль, позволяющий анализировать используемые Open Source-библиотеки и зависимости на наличие уязвимостей и снижать риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки. Дополнительный SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров — от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ).
Solar appScreener входит в Реестр российского ПО Минцифры России, поддерживает необходимые стандарты по обеспечению кибербезопасности, включая ГОСТ Р
