AppSec Solutions перевела AppSec.Sting на микросервисную архитектуру

Компания AppSec Solutions, российский разработчик решений для кибербезопасности, выпустила крупное обновление платформы анализа защищённости мобильных приложений AppSec.Sting. Платформа полностью переведена с монолитной на микросервисную архитектуру на базе Kubernetes и получила переработанный подход к анализу: расширено покрытие SCA с интеграцией в AppSec.Track, обновлён динамический анализ под iOS, полностью обновлен пользовательский интерфейс. Таким образом, AppSec.Sting повышает пропускную способность и отказоустойчивость для клиентов, что ускоряет сканирование и снижает затраты на вычислительные ресурсы — в облаке и в инфраструктуре заказчика.

Микросервисная модель снимает ключевые ограничения «монолита» — избыточное потребление ресурсов и сложность масштабирования. Теперь вычислительные мощности выделяются точечно: их получают только те компоненты, которые участвуют в сканировании в конкретный момент, а при росте нагрузки система масштабируется горизонтально. Это позволяет одновременно выполнять значительно больше сканирований без деградации производительности и убирает простаивающие мощности.

Для заказчиков, разворачивающих решение в собственном контуре, это означает ощутимое снижение требований к серверному парку и совокупной стоимости владения. Параллельно команда переработала ядро анализа — платформа стала находить больше и работать быстрее:

• SCA — анализ состава ПО. Переработан движок извлечения компонентов и существенно расширено покрытие: платформа точнее определяет, из каких библиотек и зависимостей собрано приложение. Добавлена интеграция с AppSec.Track — для контроля open-source-рисков и безопасности цепочки поставок;
• iOS — переработанный динамический анализ. Реализован перехват трафика и обновлены инструменты DAST — сканирование приложений для iPhone стало точнее и глубже;
• WebView — отдельный модуль. Добавлен поиск уязвимостей в WebView, одной из самых частых точек уязвимостей в мобильных приложениях;
• Правила детектирования. Обновлены и расширены правила поиска — выше покрытие и точность.

«Мы провели технологическую трансформацию продукта, которая напрямую экономит ресурсы клиентов: вычислительных мощностей требуется меньше, а объём одновременной работы кратно вырос. При этом мы вложились не только в инфраструктуру, но и в сам анализ — заметно расширили покрытие SCA и связали его с AppSec.Track, переработали динамический анализ под iOS и полностью обновили интерфейс. Наша цель — гибкая и современная платформа, которая находит больше, работает быстрее и удобнее в эксплуатации», — рассказал Никита Пинаев, руководитель продукта AppSec.Sting в AppSec Solutions.

AppSec.Sting — часть экосистемы AppSec Solutions для автоматизированного анализа и безопасной разработки ПО и один из первых продуктов компании, запущенный в 2020 году. Платформа объединяет ключевые практики анализа защищённости мобильных приложений — DAST, SAST/BCA (анализ бинарного кода), IAST, API Security Testing и SCA — и в автоматическом режиме выявляет и приоритизирует уязвимости, отделяя наиболее критичные. Это помогает владельцам приложений находить и закрывать уязвимости до того, как ими воспользуются злоумышленники. AppSec.Sting регулярно проводит исследования мобильных приложений в популярных магазинах приложений.