Разработчики: | Солар (ранее Ростелеком-Солар) |
Дата премьеры системы: | 2015/10/29 |
Дата последнего релиза: | 2024/07/02 |
Технологии: | Средства разработки приложений |
Solar appScreener (ранее Solar inCode) — анализатор приложений на наличие уязвимостей и недекларированных возможностей (НДВ).
2024: Solar appScreener 3.14.9
2 июля 2024 года компания ГК «Солар», архитектор комплексной безопасности, сообщила о выходе обновленной версии решения для контроля безопасности приложений Solar appScreener. Ключевые доработки этой версии связаны с изменениями в модуле для анализа сторонних компонентов SCA, снижением ложных срабатываний и интеграцией с решениями класса ASOC.
По информации компании, в версии 3.14.9 появился комбинированный анализ SCA и SAST для языков Java, Python, JavaScript, Go, C#, список будет расширяться. Он позволяет не только обнаруживать уязвимости в сторонних библиотеках, но и визуализирует трассу вызовов этих библиотек в коде. Это помогает определить, какие уязвимости реальные, и сэкономить время разработчиков на их верификацию.
В обновленной версии Solar appScreener модуль SCA (Software Composition Analysis) обнаруживает все сторонние компоненты, используя собственную базу уязвимостей, которая регулярно обновляется экспертами ГК «Солар». Для минимизации количества ложных срабатываний применяется собственная технология Fuzzy Logic Engine, которая позволяет приоритизировать выявленные уязвимости на основе рейтинга EPSS. Также появилось больше полезной информации об уязвимых компонентах. Теперь пользователи получают сведения об уязвимых версиях библиотек, ссылки на полезные ресурсы и расширенный маппинг с учетом отечественных стандартов классификации уязвимостей. Кроме того, добавлено дерево зависимостей — интерактивный граф, наглядно демонстрирующий структуру компонентов в проекте.
Использование приложений и библиотек с открытым исходным кодом значительно возросло в последнее время. Согласно Linux Foundation, от 70% до 90% современных приложений содержат ПО с открытым исходным кодом, что открывает перед киберпреступниками широкие возможности для атак. Один из последних ярких примеров —
бэкдор в утилите XZ Utils для Linux, который позволяет получить несанкционированный удаленный доступ ко всей системе. Поскольку открытый исходный код в равной степени доступен всем, включая злоумышленников, это создает серьезный риск целенаправленного внедрения уязвимостей в open source-библиотеки. Таким образом, крайне важно проверять на наличие уязвимостей не только собственный код, но и сторонние компоненты. отметил Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар» |
Другое изменение версии 3.14.9 — объединение всех технологий анализа сторонних компонентов (SCA, SCS, анализ лицензионных рисков, комбинированный анализ SAST и SCA) в единый модуль OSA (Open Source Analysis). Модуль OSA в Solar appScreener представляет собой комплекс инструментов следующего уровня, сочетающий в себе зрелые технологии и собственную базу уязвимостей. Теперь все технологии анализа сторонних компонентов можно найти в единой вкладке в интерфейсе, а запуск сканирований будет более удобным и прозрачным.Облачные сервисы для бизнеса: особенности рынка и крупнейшие поставщики. Обзор TAdviser
Появилась возможность интеграции решений для оркестрации безопасности приложений (ASOC) — DefectDojo и AppSecHub. Эти платформы объединяют результаты нескольких анализаторов в единый интерфейс, обеспечивая командам разработчиков и специалистам по безопасности полную картину состояния безопасности приложений. Благодаря этим инструментам пользователи Solar appScreener могут работать с результатами всех типов анализа в одном интерфейсе.
Обновленная версия продукта поддерживает стандарты OWASP ASVS, OWASP MASVS, CWE/SANS Top 25 2023. Теперь пользователи могут формировать отчеты в соответствии с этими международными классификациями. Также реализована возможность сборки Java-проектов из исходного кода собственными инструментами, что оптимизирует сборку кода для более глубокого анализа.
В дополнение к ранее упомянутым разработкам, в обновленной версии реализован ряд изменений для повышения удобства работы пользователя с системой. Например, появилась системная роль «Модератор» и шаблоны ролей. В настройки была внесена функция ручного удаления проектов и сканирований. Кроме того, оптимизирован этап предобработки кода для статического анализа. Этот этап оптимизирует загружаемые пользователем файлы и преобразует их в удобный для чтения формат. Это позволяет устранить проблемы с анализом, которые могут возникать из-за загрузки больших файлов. Предобработка помогает сделать код понятным и облегчает выявление проблем. Также в версии 3.14.9 реализовали поддержку плагинов Jenkins, TeamCity, Azure и CLT для модулей DAST и OSA.
Количество поддерживаемых языков Solar appScreener на июнь 2024 года - 36. Сканер автоматически определяет язык, на котором написан код, а также может проверять программы, написанные сразу на нескольких языках. Обновленная версия пополнилась правилами поиска уязвимостей для 15 языков программирования, в том числе 1C, PHP, Python и др.
2023
Добавление модуля анализа безопасности цепочки поставок ПО
В Solar appScreener усилен контроль безопасности приложений модулем анализа безопасности цепочки поставок ПО. Об этом Солар (ранее Ростелеком-Солар) сообщил 4 декабря 2023 года.
По оценке регуляторов и экспертов ИБ, на декабрь 2023 года атаки на цепочку поставок являются одним из самых популярных векторов атак. Добавление модуля анализа безопасности цепочки поставок ПО (Supply Chain Security, SCS) в комплексное решение Solar appScreener позволяет обеспечить проактивную защиту кода.
Данный модуль SCS позволяет проводить анализ компонентов безопасности на всех этапах пути, по которому ПО попадает в организацию, от момента их создания или покупки обновлений до этапа использования. Специалисты ГК «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) с применением инструментов искусственного интеллекта анализируют данные из открытых источников и прогнозируют риски, связанные с авторством сторонних компонентов.
Анализ supply chain позволяет проверять уровень доверия к используемым внешним компонентам на основе 8 метрик (репутация автора, активность сообщества, внимание к безопасности и др.), а также выдавать на основе этих метрик рейтинг безопасности используемой библиотеки.
Как правило, анализ каждого стороннего компонента специалистами по ИБ проводится вручную или с применением инструментов анализа состава сторонних компонентов (Software Composition Analysis, SCA). Внедрение метода SCS существенно оптимизирует данный процесс. Применение технологии анализа безопасности цепочки поставок в составе комплексного продукта Solar appScreener позволяет проводить сканирование SBOM-файлов и получать общий рейтинг доверия к компонентам. На основе этого рейтинга принимается решение о запрете или разрешении использования компонента в разработке, — сказал Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар». |
С добавлением данного модуля расширился и уже существующий функционал продукта Solar appScreener, который является решением, объединяющим в едином интерфейсе три ключевые виды анализа – статический (SAST), динамический (DAST) и анализ состава ПО (SCA), обеспечивающие комплексный контроль безопасной разработки приложений.
В обновленной версии модуль SCA дополнили анализом лицензионных рисков, позволяющим не только узнать, какие уязвимости есть в сторонней библиотеке, но и понять, можно ли ее использовать в соответствии с ее лицензионной политикой.
В модуль SAST добавили более 100 новых правил поиска уязвимостей, а также статистику по классификациям безопасности. Теперь информация о нарушенных пунктах международных и отечественных стандартов представлена в наглядном формате на странице «Обзор» проведенного сканирования.
А в модуле DAST появились метод авторизации через заголовки, а также возможность выбора режима сканирования, позволяющая настраивать агрессивность атак в один клик в зависимости от целей сканирования.
Кроме того, Solar appScreener можно развернуть как на собственных вычислительных мощностях организации, так и использовать его как услугу из облака по модели SaaS.
Появление модуля анализа состава ПО
В Solar appSсreener расширен функционал по анализу кода за счет появления модуля анализа состава ПО. Об этом Ростелеком-Солар (ранее Solar Security) сообщил 30 июня 2023 года.
Так Solar appScreener стал решением, в котором доступны три ключевых вида анализа в едином интерфейсе – SAST, DAST и SCA, обеспечивающие комплексный контроль безопасной разработки приложений.
Модуль SCA позволяет ускорить выявление и устранение уязвимостей. Система самостоятельно обнаруживает все сторонние компоненты, используя крупные базы уязвимостей, а также собственный реестр данных, который регулярно обновляется экспертами компании. Для минимизации количества ложных срабатываний используется собственная технология Fuzzy Logic Engine.
Приложения и библиотеки с открытым исходным кодом за последний год стали одной из наиболее актуальных угроз информационной безопасности, - отметил Даниил Чернов, директор Центра Solar appScreener компании «РТК-Солар». - По данным Linux Foundation, от 70% до 90% приложений содержат ПО с открытым исходным кодом, и уязвимости в сторонних компонентах открывают перед злоумышленниками большие возможности. Достаточно вспомнить историю с обнаруженной уязвимостью в библиотеке Apache Log4j, которая используется в миллионах корпоративных приложений. Кроме того, участились случаи намеренного внедрения вредоносного кода в Open Source. Поэтому очень важно проверять на уязвимости не только собственный код, но и сторонние компоненты. |
В обновленную версию продукта добавили поддержку классификации уязвимостей OWASP MASVS и обновили поддерживаемую версию PCI DSS с 3.2.1 до 4.0. Значительно расширена база правил поиска уязвимостей для Java и C#, а также добавлены паттерны поиска уязвимостей для целого ряда языков программирования. На июль 2023 года количество поддерживаемых языков 36. Сканер автоматически определяет язык, на котором написан код, а также может проверять программы, написанные сразу на нескольких языках.
Кроме того, внесен целый ряд изменений для повышения удобства работы пользователя с системой, например, при первом входе в систему теперь появляются интерактивные подсказки. Появление возможности управлять очередью сканирований позволяет при запуске анализа назначать приоритет сканирования и отслеживать очередь на новой странице в разделе «Проекты». Также упростили работу офицеров безопасности в компаниях, которые внедряют решение в процессы безопасной разработки, добавив возможность автоматически создавать задачи в Jira по результатам сканирования.
Изменение логики работы с пользователями протокола LDAP упрощает процесс контроля доступа к системе сотрудников, подключающихся по данному протоколу, а также отслеживает количество пользователей, которое допустимо в рамках имеющейся лицензии.
Возможности Solar appScreener позволяют интегрировать его с репозиториями, средами разработки, системами отслеживания ошибок и сервисами CI/CD. Максимальная автоматизация и непрерывность процесса выявления и устранения уязвимостей являются необходимостью для компаний, которые занимаются разработкой ПО.
2022
Solar appScreener 3.12 с появлением модуля корреляции статического и динамического анализа безопасности ПО
Компания «РТК-Солар» представила 7 декабря 2022 года обновление Solar appScreener, комплексного решения для контроля безопасности программного обеспечения и информационных систем. В обновленной версии появилась возможность корреляции результатов статического анализа кода (SAST) с результатами динамического сканирования (DAST). Их корреляция позволит снизить количество ложных срабатываний. Благодаря этому внимание пользователей будет сконцентрировано в первую очередь на тех уязвимостях и НДВ, которые подтверждены, и устранение которых является задачей первого приоритета.
В версии Solar appScreener 3.12 в дополнение к статическому анализу кода (SAST) реализована возможность провести динамическое сканирование (DAST) приложения. При динамическом анализе происходит выявление уязвимостей через эмуляцию внешних атак. По ответу от приложения система делает вывод, есть ли в нем уязвимости. При статическом анализе не происходит выполнения программы, а анализируется весь ее код. Особенностью метода является покрытие большего количества уязвимостей.
Для проверки приложения в Solar appScreener 3.12 достаточно указать URL приложения и запустить сканирование. По результатам корреляции результатов двух методов анализа пользователь Solar appScreener 3.12 предоставляет единый отчет. В нем отражены уязвимости и НДВ, обнаруженные с помощью статического анализа кода, и отдельно выделены те из них, которые были подтверждены динамическим тестированием приложения. Отчет, как и прежде, содержит подробные рекомендации по устранению выявленных ошибок и повышению безопасности тестируемого ПО.
Ранее специалисты по безопасности ПО вынуждены вручную сопоставлять результаты сканирования, проведенные с помощью отдельных SAST и DAST-решений. Разработав алгоритмы корреляции результатов двух методов анализа, удалось снизить количество ложных срабатываний и достичь более точных результатов поиска уязвимостей и НДВ. Это позволит значительно сократить время обработки результатов анализа уязвимостей, полученных из двух различных инструментов SAST и DAST, благодаря чему — снизить нагрузку на специалистов, отвечающих за безопасность приложений и информационных систем. Также планируется развивать модуль корреляции, добавляя другие технологии, что позволит еще более эффективно выявлять уязвимости в ПО, отметил Даниил Чернов, директор центра Solar appScreener компании «РТК-Солар».
|
В обновленной версии Solar appScreener внесен целый ряд изменений для повышения удобства пользователей при работе с анализатором. В частности, в интерфейсе теперь отображается процесс загрузки файлов на анализ, что позволит избежать ошибок при загрузке больших проектов. Кроме того, улучшена работа с группами уязвимостей, благодаря чему пользователь может выбрать любые уязвимости в списке и изменить статус/критичность или оставить комментарий для всей группы. Дополнительно была оптимизирована работа с приватными репозиториями благодаря интеграции при помощи авторотационных токенов и SSH-ключей из интерфейса Solar appScreener.
В обновлении изменилась логика работы с шаблонами экспорта отчета. В системе появилась возможность создать глобальный шаблон, не привязанный к определенному проекту. Начиная с Solar appScreener 3.12 пользователи смогут запускать сканирование по расписанию и настраивать автоматическую отправку отчетов, указав адреса конкретных получателей. Solar appScreener поддерживает 36 языков программирования и 9 форматов исполняемых файлов и является мировым экспертом по этому показателю. В обновленной версии решения были добавлены паттерны поиска уязвимостей для поддерживаемых языков программирования, расширена база правил для Android, улучшен taint-анализ для Python и поддержка проектов на Java 17. Кроме этого, добавлена возможность сканирования только по исходному коду приложения на Java и появилась поддержка фреймворка Symphony языка PHP.
Патент на систему и способ статического анализа исполняемого двоичного кода и исходного кода с использованием нечеткой логики
Компания «РТК-Солар» сообщила 29 ноября 2022 года о получении патента Федеральной службы интеллектуальной собственности на систему и способ статического анализа исполняемого двоичного кода и исходного кода с использованием нечеткой логики. Технология используется в анализаторе кода Solar appScreener и предназначена для минимизации количества ложных срабатываний. Патент действует до 2041 года.
Solar appScreener – статический анализатор безопасности приложений. Его возможности позволяют выявлять уязвимости и недекларированные возможности, подсвечивая их в коде проверяемого приложения. Отличительная особенность решения компании «РТК-Солар» – статический анализ не только исходного, но и бинарного кода (исполняемых файлов). Это обеспечивает более качественные и быстрые результаты, чем при использовании динамического анализа кода.
Для минимизации количества как ложных срабатываний, так и пропуска уязвимостей в коде в Solar appScreener реализована технология Fuzzy Logic Engine. Она использует математический аппарат нечеткой логики и является технологическим ноу-хау компании «РТК-Солар». Параметры работы фильтров определяются базой знаний, которая постоянно пополняется по результатам проведенных исследований. Офицер безопасности может самостоятельно работать с фильтрами для снижения числа ложных срабатываний и пропусков уязвимостей и НДВ. Математическая теория нечетких множеств (fuzzy sets) и нечеткая логика (fuzzy logic) — это обобщения классической теории множеств и формальной логики. Теория появилась из-за наличия нечетких и приближенных рассуждений при описании человеком процессов, систем или объектов.
Количество ложных срабатываний и пропусков уязвимостей — одна из ключевых характеристик анализатора кода, поэтому улучшение Fuzzy Logic Engine очень важно для развития продукта. Технология, которая легла в основу этого механизма, берет начало в моей дипломной работе об алгоритмах анализа информационных рисков. Позднее он был модифицирован в технологию обработки правил поиска уязвимостей, рассказал Даниил Чернов, директор Центра Solar appScreener компании «РТК-Солар».
|
Решение «РТК-Солар» активно используется в отечественных и зарубежных компаниях, которые занимаются собственной разработкой, как в качестве отдельного сканера, так и в роли центрального элемента системы безопасной разработки. Solar appScreener также часто выбирают испытательные лаборатории, которые оказывают услуги по сертификации ПО на соответствие требованиям информационной безопасности. Заказчики отмечают интуитивно понятный интерфейс анализатора, который рассчитан в том числе на специалистов без опыта разработки. Solar appScreener не только подсвечивает выявленные в коде уязвимости и недекларированные возможности, но и дает подробные рекомендации по их устранению.
Получение сертификата ФСТЭК России на соответствие Требованиям
Статический анализатор кода Solar appScreener получил сертификат ФСТЭК России на соответствие Требованиям по 4-му уровню доверия (далее УД4) и техническим условиям. Об этом сообщила компания «Ростелеком-Солар» 14 июня 2022 года. Документ подтверждает, что программное средство контроля защищенности Solar соответствует требованиям по безопасности информации средств технической защиты информации и средств обеспечения безопасности информационных технологий. Благодаря тому, что Solar appScreener имеет сертификат по УД4 по Требованиям доверия, решение может использоваться в организациях с высокими критериями к безопасности используемого ПО – в том числе в тех организациях, где есть значимые объекты критической информационной инфраструктуры (ОКИИ).
Solar appScreener разработан в компании «РТК-Солар» и предназначен для анализа программного кода на наличие уязвимостей и недекларированных возможностей. Решение поддерживает 36 языков программирования и по этому показателю является лидером среди подобных систем. Среди особенностей Solar appScreener – возможность анализа исполняемых файлов при отсутствии доступа к исходному коду, а также запатентованная технология для снижения ложноположительных и ложноотрицательных срабатываний – Fuzzy Logic Engine. Кроме подсвечивания уязвимостей в коде, анализатор предоставляет подробные рекомендации по их устранению и настройке средств защиты. Solar appScreener также может интегрироваться с различными репозиториями, системами и сервисами для обеспечения процессов безопасной разработки. Средства защиты информации, которые соответствуют 4-му уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1-й категории, в государственных информационных системах 1-го класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1-го класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1-го уровня защищенности персональных данных, а также в информационных системах общего пользования II класса. Таким образом, заказчики, у которых есть такие объекты, могут использовать Solar appScreener.
Для обеспечения максимальной защиты чувствительной информации заказчиков Solar appScreener «РТК-Солар» подал заявку на переоформление сертификата на соответствие новым Требованиям доверия. По итогам прошедших испытаний в лаборатории ФГУП «НПП «Гамма», 31 января 2022 года получено положительное заключение о соответствии программного обеспечения Требованиям доверия по УД4, на основании которого ФСТЭК России переоформила сертификат соответствия на Solar appScreener.
Безопасность государственных информационных систем и других объектов критической информационной инфраструктуры – вопрос стратегической важности. В условиях повышенной активности киберпреступников, нацеленной в том числе на объекты КИИ, особенно важно уделять внимание всем аспектам информационной безопасности. Анализ исходного кода позволяет предотвратить атаки, которые реализуются через уязвимости ПО. Для нас, как компании, работающей со многими государственными заказчиками и другими субъектами КИИ, крайне важно обеспечить организации решением, которое соответствует всем актуальным требованиях государственных надзорных органов, в том числе ФСТЭК России», отметил Даниил Чернов, директор Центра Solar appScreener компании «РТК-Солар».
|
Solar appScreener 3.11 с классификацией OWASP 2021, отчетностью в формате SARIF и фильтрацией по пакетам и файлам
19 апреля 2022 года «Ростелеком-Солар» представил версию анализатора кода безопасности Solar appScreener 3.11.
Команда Solar appScreener следит за появляющимися угрозами безопасности программного обеспечения, обновляя базы поиска уязвимостей в продукте. Вместе с этим в Solar appScreener версии 3.11 появились актуальные классификации серьезных уязвимостей безопасности в веб-приложениях, такие как OWASP Top10 и CWE/SANS 2021.
В инструменте SAST-анализа появилась возможность выгрузки отчетов в редактируемых форматах DOCX и SARIF. Последний является унифицированным форматом обмена результатами статического анализа на основе JSON для вывода инструментов статического анализа. Поскольку для построения DevSecOps важна автоматизация, единый формат позволяет упростить взаимодействие компонентов разработки инфраструктуры со статическим анализатором.
В Solar appScreener 3.11 реализовали функции для работы с обнаруженными уязвимостями. В системе появилась возможность фильтрации по принадлежности к пакету, файлу, источнику уязвимости и точке эксплуатации. Гибко настраиваемые параметры позволяют избирательно анализировать необходимые элементы больших проектов, не создавая дополнительной нагрузки.
«В развитии продукта наша команда, в первую очередь, ориентируется на обратную связь пользователей. По запросам заказчиков в последней версии мы расширили поддержку 1С. База правил поиска уязвимостей для этого языка увеличилась на 40%», |
Среди других дополнений – появилась возможность запускать проекты по расписанию из интерфейса Solar appScreener. До этого пользователи могли настроить сканирование по расписанию через CI/CD компоненты. Поскольку у большинства компаний нет CI/CD-серверов, разработчики сканера безопасности добавили возможность анализа по расписанию из интерфейса продукта.
Добавление в базу уязвимости CVE-2022-22965, которая затрагивает работу Java-фреймворка с открытым исходным кодом Spring
Компания «Ростелеком-Солар» 8 апреля 2022 года сообщила об обновлении базы поиска уязвимостей анализатора кода приложений Solar appScreener. В обновление вошла обнаруженная критическая уязвимость CVE-2022-22965, затрагивающая работу Java-фреймворка с открытым исходным кодом Spring. Баг позволяет удаленно выполнить произвольный код без аутентификации, благодаря чему по CVSS ему была присвоена оценка опасности угрозы: 9.8/10 баллов.
Уязвимость, выявленная в модуле Spring Core, позволяет привязывать данные в http-запросе к полям объектов приложения. Баг содержится в реализации метода getCachedIntrospectionResults, который может быть использован для несанкционированного доступа к этим объектам при передаче данных имен классов этих объектов через указанный HTTP-запрос.
Уязвимость присутствует в приложениях Spring MVC и Spring WebFlux, работающих под Java Development Kit (версии 9+), эксплуатация которых может привести к компрометации огромного количества серверов. Наиболее высокой угрозе подвержены корпоративные Java-приложения на базе Spring Framework с правами root, так как уязвимость в них позволяет скомпрометировать всю систему. Уязвимость CVE-2022-22965 исправлена в версиях Spring Framework 5.3.18 и 5.2.20.
Текущая ситуация опасна тем, что во многих организациях не выстроен процесс мониторинга уязвимостей, и несмотря на оперативно выпущенные патчи и распространение рекомендаций по устранению уязвимостей, часть компаний по-прежнему находится под угрозой, — сказал Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар». — Наша исследовательская лаборатория следит за появлением уязвимостей нулевого дня, а команда разработчиков оперативно отражает их в базе поиска уязвимостей Solar appScreener. Так, с начала апреля база правил поиска уязвимостей постоянно пополняется другими обнаруженными багами в Spring: CVE-2022-22963, CVE-2022-22946, CVE-2022-22947, CVE-2022-22950, |
2021
Добавление в базу поиска уязвимостей угроз нулевого дня Log4Shell
22 декабря 2021 года компания «Ростелеком-Солар» представила обновлённую базу поиска уязвимостей инструмента SAST-анализа Solar appScreener, дополнив ее обнаруженными в библиотеке Apache Log4j уязвимостями нулевого дня. Библиотека Apache Log4j используется миллионами корпоративных приложений и Java-серверами для регистрации сообщений об ошибках. Уязвимости в ней получили название Log4Shell (встречаются также LogJam, LogJ) и относятся к Remote Code Execution (RCE), Local Code Execution (LCE). Помимо этого, обнаружена возможность реализаций атак Denial of Service (DOS).
По информации компании, до дополнения политика Solar appScreener выявляла любые недоверенные данные, которые записывались в журнал и определяла их как уязвимость вида «Подделка файла лога» (Log Forging). На декабрь 2021 года инструмент анализа кода был обновлен дополнительными правилами, что позволяет отдельно подчеркивать уязвимости Log4Shell в рамках обнаруженных уязвимостей вида «Подделка файла лога».
На декабрь 2021 года компании во всем мире используют уязвимую библиотеку Apache Log4j в разработке Java- продуктов. Если к этому факту добавить невысокую сложность эксплуатации уязвимостей, получаем большое количество уязвимых систем и большое количество злоумышленников, которые, не обладая сложными техническими навыками, могут взломать эти системы. Проблема усугубляется тем, что во многих организациях не выстроен процесс мониторинга уязвимостей, поэтому несмотря на наличие патчей безопасности и рекомендаций по устранению брешей, некоторые организации до сих пор остаются под угрозой. Наша исследовательская лаборатория следит за уязвимостями Log4Shell, а команда разработчиков оперативно отражает их в базе поиска уязвимостей Solar appScreener. рассказал Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар» |
В базу сканера анализа Solar appScreener были добавлены правила для поиска всех выявленных на декабрь 2021 года уязвимостей библиотеки Apache Log4j:
- CVE-2021-44228 (оценка опасности угрозы по CVSS: 10/10 баллов) — критическая уязвимость удаленного выполнения кода, которая затрагивает версии Log4j от 2.0-beta9 до 2.14.1. Проблема частично исправлена в патче 2.15.0. Уязвимость дает возможность в приложениях и серверах на основе Java, в которых используется библиотека Log4j, сохранять определенную строку в логах. Когда приложение или сервер обрабатывают логи, строка может заставить уязвимую систему загрузить и запустить вредоносный код. В результате злоумышленнику удается заполучить полный контроль над уязвимым приложением или сервером. После того атака может развиться дальше. Разработчики Apache Software Foundation выпустили экстренное обновление безопасности — с версии 2.15.0 проблема была частично устранена. Версия 2.15.0 не учитывает некоторые варианты обработки логов, что оставляет злоумышленникам возможность провести атаку на уязвимую систему. Исправление 2.15.0 закрывает брешь благодаря отключению lookup JNDI-сообщений. В недефолтных конфигурациях он может быть использован для создания вредоносного input с использованием шаблона JNDI lookup. Это может привести к атаке типа «Отказ в обслуживании» и выполнения произвольного кода. Этому сценарию присвоили отдельный идентификатор CVE-2021-45046. Эксплуатация CVE-2021-44228 возможна, если для параметра log4j2.formatMsgNoLookups установлено значение false. Для предотвращения атак в патче Log4j 2.15.0 для этого параметра установлено значение true. При обновлении 2.15.0 не следует менять параметр на значение false. Пользователи библиотеки Log4j, которые не обновились, но установили значение true, могут блокировать атаки.
- CVE-2021-45046 (оценка опасности угрозы по CVSS: 9/10 баллов) — критическая уязвимость позволяет проводить DoS-атаки и удаленно выполнять код. Проблема затрагивает версии Log4j от 2.0-beta9 до 2.15.0 (исключение — 2.12.2). В Log4j версии 2.15.0 было можно проэксплуатировать уязвимость CVE-2021-44228 при определенных пользовательских настройках конфигурации. В ней был отключен лишь один аспект функционала JNDI по поиску сообщений. В обновлении 2.16 по умолчанию была отключена поддержка JNDI, обработка поиска сообщений была полностью удалена.
- CVE-2021-45105 (оценка опасности угрозы по CVSS: 7,5/10 баллов) — опасная DoS-уязвимость в системах Java 8, которая позволяет вызвать ошибку отказ в обслуживании и проявляется в виде зацикливания и аварийного завершения при обработке определённых строк. Уязвимость затрагивает версии Log4j от 2.0-beta9 до 2.16.0. В перечисленных версиях отсутствовала защита от неконтролируемой рекурсии, что позволяло злоумышленнику, проводя манипуляции со значением при подстановке, вызвать зацикливание. Зацикливание приводило к исчерпанию места в стеке и аварийному завершению процесса. Патч выпущен в версии 2.17.0.
- CVE-2021-4104 (оценка опасности угрозы по CVSS: 8,1/10 баллов) — уязвимость небезопасной десериализации, затрагивающая версии Log4j 1.2. Данная уязвимость затрагивает Log4j 1.2 только в том случае, если она специально настроена для использования JMSAppender, что не является значением по умолчанию. Исправление отсутствует, необходимо обновиться до версии 2.17.0.
Solar appScreener 3.10 с повышенным уровнем безопасности доступа к системе
01 ноября 2021 года компания «Ростелеком-Солар» представила версию анализатора кода Solar appScreener 3.10. Среди ключевых изменений – введены дополнительные меры безопасного доступа, появилась возможность приостановки сканирований, обновилась база правил поиска уязвимостей.
В Solar appScreener 3.10 появилось ограничение количества попыток ввода неверных учётных данных. В настройках по умолчанию после пятой попытки ввода учетная запись автоматически блокируется. Администратор системы может изменить количество попыток ввода неверных данных или отключить эту опцию в настройках. Помимо этого, было добавлено требование регулярной смены пароля. Срок действия пароля в базовой настройке составляет три месяца, но может быть скорректирован при необходимости администратором. Требование смены пароля может быть отключено.
Специалисты «Ростелеком-Солар» добавили в версию 3.10 возможность приостановки сканирований. Это позволяет приоритизировать очередность анализа проектов, благодаря чему можно ускорить анализ необходимых приложений, если в системе запущено одновременно много проектов. При этом возобновление приостановленных сканирований происходит без потери достигнутого прогресса. Поставить на паузу или возобновить анализ можно на «Домашней странице» или в разделе «Сканирования».
«Каждый релиз продукта – результат глубокой и длительной аналитической работы. Проводя исследование потребностей пользователей, трендов рынка, очередных угроз и путей реализации фич в продукте, мы всегда фокусируемся на главном. Благодаря этому Solar appScreener - один из достаточно функционально проработанных сканеров безопасности кода, представленных на рынке», – отмечает Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар». |
Традиционно в каждом обновлении оптимизируется база правил поиска уязвимостей. В частности, в Solar appScreener 3.10 вошли дополнительные правила поиска в конфигурационных файлах Dockerfiles и docker-compose.yml. Кроме того, в версию 3.10 добавили возможность создания паттернов для языка C++ в формате XML. Теперь пользователи смогут создавать свои правила поиска уязвимостей, загружать их в систему через интерфейс и применять при анализе проектов С++. Подробные требования к формату правил можно получить в разделе «О продукте». Также были дополнены правила поиска уязвимостей в приложениях Delphi, что улучшило его поддержку.
Вместе с этим изменения коснулись модуля анализа JVM – добавлены правила поиска повторного использования криптографических ключей и оптимизирована производительность.
Совместимость с «Ред ОС»
Разработанный компанией «Ростелеком-Солар» инструмент статического анализа кода Solar appScreener прошел тестирование на совместимость с РЕД ОС, операционной системой на основе ядра Linux. Корректность работы подтверждена двусторонним сертификатом. Об этом Ред Софт (Red Soft) сообщил 26 октября 2021 года.
Solar appScreener и РЕД ОС сертифицированы ФСТЭК России и включены в Единый реестр отечественного ПО, что подтверждает их соответствие требованиям информационной безопасности и допускает применение в государственных информационных системах.
Импортозамещение – одна из приоритетных национальных задач. Государство стимулирует развитие российских информационных технологий, поддерживая переход государственных структур и госкомпаний на отечественные разработки. Одна из задач «Ростелеком-Солар» как участника российского ИТ-рынка – помочь организациям осуществить беспрепятственный и безопасный переход на отечественное ПО. Технологическое партнерство с разработчиками отечественных операционных систем – для нас важный шаг в этом направлении, – отметил Даниил Чернов, директор Центра Solar appScrener компании «Ростелеком-Солар». |
Создание независимой ИТ-инфраструктуры — главная задача рынка информационных технологий. Именно ИТ-специалисты должны развивать безопасную экосистему, обеспечивая полноценность внедряемых стеков. Полноценность для нас как для разработчика операционной системы РЕД ОС означает соответствие нашего продукта запросам заказчиков, в том числе по совместимости со специализированным ПО, каким, например, является Solar appScreener. Благодарим партнеров за сотрудничество, – сказал заместитель генерального директора РЕД СОФТ Рустамов Рустам. |
Solar appScreener 3.9
15 апреля 2021 года компания «Ростелеком-Солар», национальный провайдер сервисов и технологий кибербезопасности, представила обновленную версию анализатора кода Solar appScreener 3.9. В обновление вошла поддержка языка программирования Dart. Для удобства работы с данными сканирования кода была добавлена возможность выгрузки отчетов в формате CSV. В обновленной версии также появилась возможность выбирать вручную файлы для анализа, что позволит отказаться от сканирования кода всего проекта, если необходимо проанализировать конкретную область.
По информации компании, в Solar appScreener 3.9 специалисты «Ростелеком-Солар» расширили список поддерживаемых языков программирования до 36. В данной версии теперь доступен анализ объектно-ориентированного языка программирования Dart. С его помощью разработчики создают мобильные, серверные и веб-приложения. Вместе с этим в рамках развития поддержки текущих языков специалисты «Ростелеком-Солар» добавили анализ фреймворка Vue.js для JavaScript и Flask для Python.
В обновленной версии изменения коснулись также формата представления отчетности. Начиная с Solar appScreener 3.9 доступна возможность экспорта отчета в формате архива с CSV-файлами, что позволяет пользователям более гибко работать с данными: фильтровать их по конкретным категориям, а также получать аналитические выводы, строя графики на основании полученных значений. Возможность получения отчета в формате PDF останется, однако работать с информацией в этом формате сложнее, так как данные выгружаются в статическом виде.
В Solar appScreener 3.9 появилась возможность выбора конкретных файлов для анализа. При отправке приложения на сканирование можно посмотреть, какие файлы будут проанализированы, и при необходимости вручную исключить лишние, если их анализ не требуется. Если пользователь выберет сканирование проекта полностью, анализатор кода выявит набор файлов в загруженной директории, после чего проанализирует каждый из них на уязвимости и недекларированные возможности. После завершения результаты сканирования доступны в интерфейсе в разделе «Обзор» или в формате отдельного отчёта со статистикой по данным файлам.
В представленном обновлении появилась возможность запустить сразу несколько сканирований в одном проекте с разными настройками, приоритизировав их по очередности. Все статусы анализа защищенности ПО доступны в разделе «Сканирования».
Кроме того, специалисты «Ростелеком-Солар» добавили возможность удалять сканирования проектов. В версии пользователь может как архивировать, так и удалять сканирование безвозвратно. Вместе с этим была оптимизировна форма запуска анализа – в обновлении выбор файла и поле для ссылки на приложение объединены в одну вкладку, а начать сканирование проекта теперь можно со страницы «Сканирования».
В Solar appScreener 3.9 разработчики добавили паттерны поиска и дополнили описания уязвимостей для поддерживаемых языков программирования.
Поддержка LotusScript в Solar appScreener 3.8
«Ростелеком-Солар», национальный провайдер сервисов и технологий кибербезопасности, 25 января 2021 года сообщил о выходе очередной версии анализатора кода Solar appScreener 3.8. В обновлении представлена функциональность экспериментального анализа, позволяющая пользователям системы опробовать в действии последние возможности обнаружения уязвимостей в коде, находящиеся в проработке у разработчиков системы. Также расширена поддержка языков программирования за счет анализа приложений на LotusScript, а в интерфейсе анализатора появился информационный уровень критичности уязвимостей.
Для быстрой доставки технологических инноваций пользователям в Solar appScreener 3.8 был добавлен режим анализа приложений, написанных на языках Java, Scala и Kotlin. В его основе лежит сложный математический алгоритм, позволяющий увеличить точность и количество получаемых результатов при сканировании кода, — отмечает Даниил Чернов, директор Центра решений безопасности ПО компании «Ростелеком-Солар». — Чтобы активировать эту функцию при анализе, необходимо выбрать соответствующий параметр в интерфейсе. При этом нашим клиентам гарантировано сохранение наработанной годами стабильности функционирования системы: если экспериментальный режим анализа пользователю не нужен, он может его не использовать и продолжать работать в прежнем режиме. |
В данной версии разработчики «Ростелеком-Солар» расширили набор языков программирования, добавив объектно-ориентированный язык LotusScript, на базе которого функционируют многие системы IBM и HCL. Этот язык применяется в разработке в Европе и США для создания приложений семейства Lotus – систем автоматизации бизнес-процессов, групповой деятельности в компаниях (корпоративная почта, чаты, мессенджеры и т.п.) Поддержка LotusScript реализована для расширения горизонтов развития продукта на международных рынках. На январь 2021 года в активе Solar appScreener уже 35 языков.
Значимым изменением версии стало появление в системе классификации уязвимостей информационного уровня критичности. Параметр является показателем некачественного кода, который пока уязвимостью не является, но в перспективе, в случае его модификации, в приложении могут образовываться бреши. В более ранних версиях системы информацию об этом можно было найти в разделе «Уязвимости с низким уровнем критичности». Начиная с Solar appScreener 3.8 данные вынесены в отдельный информационный блок и больше не влияют на общий рейтинг безопасности приложения.
Вместе с тем у пользователей данной версии появилась возможность самостоятельно создавать в интерфейсе системы карточки с правилами поиска уязвимостей. Данная функциональность особенно востребована компаниями, которые внедрили у себя процесс безопасной разработки на базе Solar appScreener. Например, с помощью собственных правил можно обнаруживать в коде разрабатываемых приложений признаки, указывающие на возможность осуществления технического фрода в системе.
Теперь пользователь может самостоятельно создать карточку с описанием, примерами и рекомендациями по устранению уязвимости, а затем добавить собственные паттерны поиска в формате XML. При этом заданные в системе правила отныне будут недоступны для редактирования: ранее изменённые системные правила автоматически преобразуются в пользовательские.
Для соответствия продукта регуляторным требованиям отдельных международных юрисдикций специалисты «Ростелеком-Солар» добавили возможность просмотра пользовательского соглашение (EULA) в любой момент, а не только при первом входе в систему.
2020
Solar appScreener 3.7 с поддержкой интегрированных сред разработки
Компания «Ростелеком-Солар» выпустила очередное обновление анализатора кода приложений Solar appScreener 3.7. Об этом стало известно 14 октября 2020 года. Ключевым изменением данной версии стала поддержка интегрированных сред разработки IntelliJ IDEA от JetBrains и Visual Studio от Microsoft для исправления уязвимостей на более ранних стадиях создания ПО.
IntelliJ IDEA представляет собой среду разработки для многих языков программирования, в частности Java, JavaScript, Python, разработанную компанией JetBrains. В свою очередь Visual Studio от Microsoft является инструментом разработки программного обеспечения, используемого для создания веб-приложений, веб-сайтов, мобильных приложений и программ Windows. Реализованная в обновленной версии Solar appScreener поддержка IDE-сред позволяет встраивать статический анализ приложений на уязвимости в процесс разработки уже на этапе сборки кода.
Помимо раннего обнаружения уязвимостей авторы системы поработали и над ускорением запуска сканирований. В личном кабинете Solar appScreener появился подраздел «Настройки» для создания шаблонов сканирований. Теперь пользователь анализатора может сохранить свои шаблоны настроек сканирования и использовать их для быстрого запуска проектов.
Наряду с поддержкой наибольшего числа языков программирования среди всех аналогичных рыночных решений и расширением интеграционных возможностей нашего продукта мы значительное внимание уделяем и улучшению его функциональности. Ключевые изменения нам подсказывают сами пользователи, ориентируясь на них, мы стремимся сделать Solar appScreener самым удобным сканером кода, – отмечает Даниил Чернов, директор центра решений безопасности ПО компании «Ростелеком-Солар». |
В соответствии с этой целью в Solar appScreener 3.7 была дополнена и значительно улучшена функциональность пользовательского интерфейса. Так, в разделе «О продукте» появилось руководство администратора системы. Все инструкции по установке, обновлению и настройке анализатора теперь можно скачать непосредственно из интерфейса системы, а не запрашивать у вендора.
Кроме того, повышена производительность раздела интерфейса «Подробные результаты»: теперь страница загружается быстрее, и работать с большим количеством уязвимостей будет удобнее. А в разделе «Формы создания/редактирования групп проектов, наборов правил, паттернов» появились радиокнопки «Приватный» и «Публичный», которые позволяют настроить видимость тех или иных элементов проекта сразу для всех пользователей анализатора или только для ограниченного круга лиц. В предыдущих версиях эта функциональность была представлена менее интуитивно понятным чекбоксом «Для всех пользователей».
Для повышения эффективности выявления уязвимостей в версии 3.7 разработчики дополнили базу правил паттернами поиска уязвимостей для поддерживаемых языков программирования, а также расширили описания уязвимостей.
Включение в сингапурскую государственную программу грантов
Сингапурский ИКТ и медиа-регулятор IMDA (Infocomm Media Development Authority) включил российский анализатор кода приложений Solar appScreener в государственную программу грантов, которые могут получить малые и средние ИТ-предприятия страны на закупку систем информационной безопасности. Об этом Rostelecom-Solar сообщил 17 сентября 2020 года. Поставщиком решения в рамках данной программы выбран сингапурский партнер Solar appScreener – компания Athena Dynamics.
Сингапур активно стимулирует малые и средние компании внедрять цифровые решения для повышения производительности и трансформации бизнеса. В этой связи одной из приоритетных задач для местных ИТ-вендоров IMDA считает обеспечение высокого уровня защищенности создаваемых ими технологий и решений. Чтобы ИКТ-компании смогли быстрее повысить безопасность разрабатываемых систем, регулятор запустил программу грантов GoSecure Program.
В рамках программы малые и средние предприятия ИТ-сферы Сингапура смогут получить грант на покупку решений по кибербезопасности из утвержденного IMDA списка для дальнейшего использования при разработке и внедрении своих систем. Регулятор предоставит участникам программы субсидию в размере до 80% от стоимости закупаемых решений информационной безопасности.
Технология статического анализа бинарного кода является особенностью Solar appScreener, востребованной во всем мире. Мы рады предложить рынку Сингапура весь спектр возможностей нашей системы, чтобы местные ИТ-компании смогли сделать свои разработки более защищенными, а значит, повысить привлекательность своих решений в глазах клиентов. Особенно приятно получить столь высокую оценку от регулятора, выбравшего наш продукт для программы поддержки предприятий своей отрасли, – отметил Олег Слепов, директор специальных проектов компании «Ростелеком-Солар». |
Solar appScreener – статический анализатор кода приложений на наличие уязвимостей и недекларированных возможностей. Отличительной особенностью Solar appScreener является статический анализ не только исходного кода, но и исполняемых файлов (бинарного кода) без файла debug info. Это обеспечивает более качественные и быстрые результаты, чем в случае использования динамических анализаторов приложений (DAST). Система осуществляет анализ приложений, написанных на 34 языках программирования или скомпилированных в одном из 9 различных форматов исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS.
Выпуск Solar appScreener версии 3.6
16 июля 2020 года компания «Ростелеком-Солар» объявила о выходе обновленной версии анализатора защищенности приложений Solar appScreener 3.6. Система позволяет проводить тестирование программного обеспечения на уязвимости и НДВ для соответствия четвертому оценочному уровню доверия (ОУД4) согласно требованиям положений Банка России.
По информации компании, по запросам российских клиентов в обновленной версии предусмотрена возможность тестирования приложений на уязвимости и НДВ для соответствия четвертому оценочному уровню доверия (ОУД4), согласно пункту 7.6 национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013. Такое тестирование актуально для заказчиков финансовой сферы, поскольку нормативные документы Банка России обязывают организации данной отрасли с 1 июля 2020 года проводить анализ уязвимостей прикладного ПО, используемого в платежных и иных финансовых операциях. Теперь пользователям Solar appScreener доступен отчет о содержащихся в приложении уязвимостях и НДВ непосредственно в формате ОУД4.
Разработчики реализовали в версии 3.6 поддержку языка программирования Pascal. Этот язык, который является предшественником Delphi, лежит в основе разнообразных legacy-систем, активно используемых западными организациями для внутренних нужд.
В 90-х годах прошлого века варианты языка Pascal широко использовались для создания различного ПО, начиная с исследовательских приложений и заканчивая компьютерными играми. На июль 2020 года производный язык Object Pascal применяется для разработки некоторых Windows-приложений. Теперь, вместе с поддержкой Pascal, Solar appScreener может анализировать приложения на 34 языках программирования. подчеркнул Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар» |
Важным шагом в направлении развития автоматизации сканирования кода на уязвимости стала более тесная интеграция Solar appScreener с системами хранения и управления версиями кода (репозиториями) GitLab, GitHub и Bitbucket. Данная интеграция позволяет анализатору самостоятельно отслеживать появление обновленной версии кода в репозитории, автоматически запускать анализ частей кода на уязвимости с возможностью последующей отправки результатов сканирования ответственному сотруднику. Ранее эта функциональность требовала ручной настройки, а начиная с версии 3.6, доступна «из коробки». Стоит отметить, что отслеживание появления другого кода в репозитории теперь реализовано не через CI/CD-сервер, а непосредственно из репозитория через push- и tag-события. Такой способ отслеживания удобен для компаний, в которых не используются CI/CD-сервера или же разработка ведется, минуя их.
Также в обновленной версии был сделан ряд доработок, направленных на повышение удобства и комфорта работы с системой. Так, в интерфейсе анализатора появилась опция создания пустых проектов без сканирований с возможностью предварительной настройки интеграции с репозиториями для проведения автоматизированного анализа кода в будущем. Эта функция актуальна, например, в тех случаях, когда разработчики не успевают подготовить код к завершению внедрения Solar appScreener в компании, а заказчик хотел бы начать отслеживание уязвимостей в приложении с более-менее полной версии.
Кроме того, в интерфейсе была реализована возможность скачать журналы событий (логи). Эта информация полезна, например, когда при запуске сканирования была допущена какая-либо ошибка и процесс анализа не выполнен корректно, но заказчик самостоятельно не может разобраться в причине. В этом случае теперь пользователь сможет за пару кликов выгрузить из системы необходимые лог-файлы, и специалисты технической поддержки Solar appScreener смогут оперативно устранить ошибку и помочь корректно запустить процесс.
А для крупных компаний, в которых уже используется мониторинг работоспособности систем с помощью инструментов мультиплатформенной аналитики Prometheus и интерактивной визуализации Grafana, дополнительным преимуществом станет реализованная в версии 3.6 поддержка этих инструментов мониторинга. Эта функциональность востребована заказчиками, для которых важно иметь актуальную информацию о состоянии анализатора в конкретный момент времени: данные о наличии каких-либо задержек в процессах или сбоев, загруженности и производительности системы и т.п.
Выпуск Solar appScreener 3.5 c поддержкой языка программирования Rust
23 апреля 2020 года компания «Ростелеком-Солар» сообщила о выпуске следующей версии анализатора защищенности приложений Solar appScreener 3.5. В версии реализована поддержка набирающего популярность языка программирования Rust, а также интеграция с системой управления версиями Subversion.
Rust – язык программирования общего назначения, используемый для разработки разного рода внутренних систем, а также для системного программирования, в частности для создания ядер операционных систем. В стабильной версии язык существует с 2015 года и стремительно набирает популярность в среде разработчиков.
Этот язык сопоставим с С++ по возможностям, но при этом превосходит его с точки зрения безопасности. В нем лучше реализованы различные механизмы ограничения, в частности, при работе с памятью. Rust – достаточно молодой язык, однако в последнее время мы получали все больше запросов от наших заказчиков на его поддержку, поэтому и реализовали эту возможность в следующей версии, – подчеркнул Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар» |
Solar appScreener 3.5 поддерживает интеграцию с Subversion – системой управления версиями в разработке, второй по популярности после Git. Subversion, в отличие от Git, является свободным ПО, за счет чего приобрела популярность среди разработчиков. Следующая версия Solar appScreener позволяет запустить анализ кода приложения непосредственно по ссылке на репозиторий Subversion.
Кроме того, в версии 3.5 реализована экспериментальная поддержка базы данных PostgreSQL, которую в последующих версиях планируется перевести в стадию промышленной эксплуатации. Также теперь можно установить анализатор на ОС Astra Linux SE, сертифицированную СЗИ ФСТЭК России. Обе эти возможности ориентированы прежде всего на удовлетворение бизнес-потребностей компаний государственной сферы.
Текущую версию отличает и ряд заметных улучшений, направленных на повышение удобства использования анализатора. Так, теперь язык интерфейса Solar appScreener определяется автоматически в зависимости от языка анализируемой системы и нет необходимости переключаться между языками вручную.
Значительные изменения коснулись анализа конфигурационных файлов. В предыдущих версиях системы эти файлы сканировались в общем потоке, и отдельная статистика по ним не отображалась. Начиная с версии 3.5 конфигурационные файлы выведены в отдельные настройки. В подробных результатах сканирования появилась возможность применить фильтр по уязвимостям в конфигурационных файлах. А в мультиязыковом приложении результаты сканирований конфигурационных файлов сразу же группируются по языкам – их просмотр стал гораздо удобнее.
Часто при сканировании кода возникает необходимость исключить из проверки сторонние библиотеки. В Solar appScreener давно существует возможность отключения анализа заимствованных компонент – в новой же версии существенно расширен набор библиотек, определяемых анализатором как сторонние.
Выпуск Solar appScreener версии 3.4
23 января 2020 года «Ростелеком-Солар» сообщил о выпуске следующей версии анализатора защищенности приложений Solar appScreener 3.4. Версию отличает продвинутая среди всех конкурирующих решений система отчетности, более детальная верификация уязвимостей и поддержка языка программирования VB.NET Microsoft.
В Solar appScreener 3.4 значительно переработаны навигация и конфигурация системы отчетности, а также само содержание отчетов. Последние теперь представляют собой не статичный перечень обнаруженных проблем и ошибок в коде, как было ранее, а динамический документ с кросс-ссылками на детальные описания обнаруженных уязвимостей. Таким образом, если по разным причинам специалист ИБ-службы не может предоставить разработчикам доступ в интерфейс анализатора, представленной в отчете информации будет достаточно для оперативного устранения всех выявленных уязвимостей.
Пользователи версии могут выбирать, какую информацию по результатам анализа необходимо включить в отчет. Ранее отфильтровать уязвимости (по языкам программирования, с применением технологии Fuzzy Logic Engine, по наличию задачи в Jira и т.д.) можно было лишь в интерфейсе Solar appScreener. В отчет же загружалась вся полученная в результате сканирования информация об уязвимостях, без возможности ее фильтрации. Теперь фильтрацию можно использовать и при формировании отчетов. Например, при работе с ложными срабатываниями можно выгрузить в отчет лишь уязвимости со степенью достоверности от 3-х до 5-ти баллов по 5-балльной шкале.
Кроме того, теперь в отчёт можно включить более подробную информацию о самом анализируемом проекте: историю всех сканирований, диаграммы со статистикой уязвимостей в разных разрезах, сравнение с предшествующим сканированием, комментарии к уязвимостям, диаграмму потока данных и другие данные.
Переработанная система отчетности, которая доступна в следующей версии, основана на наиболее приоритетных запросах, озвученных пользователями нашего анализатора. В процессе совершенствования отчетов мы сравнивали аналогичные возможности других решений данного класса, доступных не только российским, но и зарубежным заказчикам. В итоге мы с уверенностью можем сказать, что в Solar appScreener 3.4 пользователи получат наиболее продвинутую на рынке систему формирования максимально кастомизированных отчетов, - отметил Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар» |
Также по запросу заказчиков разработчики реализовали в следующей версии более детальную систему верификации уязвимостей. В пользовательский интерфейс были добавлены статусы верификации «Подтверждено», «Отклонено», «Не обработано» (ранее можно было отметить уязвимости лишь как false). Статусы автоматически сохраняются во всех последующих сессиях, что существенно облегчает процедуру верификации уязвимостей в масштабных проектах, содержащих несколько миллионов строк кода.
В продолжение стратегии по поддержке максимально широкого спектра языков программирования в версии 3.4 доступен анализ приложений, разработанных на VB.NET семейства .NET|.NET Microsoft. Этот язык наиболее часто используется для создания интерфейсов веб и десктоп-приложений. Теперь Solar appScreener поддерживает два наиболее используемых Microsoft языка разработки приложений – C # и VB.NET. Всего же в арсенале анализатора от «Ростелеком-Солар» на данный момент – 32 поддерживаемых языка программирования.
В части непрерывной работы по улучшению качества анализа кода в данную версию были добавлены такие расширения файлов, как .bsp (язык ABAP), .pso (Cobol) и ряд других. В частности, это улучшение будет полезно крупным компаниям, использующим приложения для SAP, а также пользователям унаследованных систем, от которых по тем или иным причинам невозможно отказаться.
2019
Выпуск Solar appScreener версии 3.3
10 октября 2019 года компания «Ростелеком-Солар» сообщила о выпуске очередной версии анализатора защищенности приложений Solar appScreener 3.3. В обновлении реализована поддержка языков программирования Perl и Vyper, а также интеграция c SonarQube – платформой непрерывной проверки качества кода.
Perl – язык программирования, предназначенный для работы с отчетами и используемый для обработки больших массивов данных. Его поддержка в Solar appScreener 3.3 позволяет дополнительно осуществлять анализ защищенности модулей отчетностей CRM-систем, а также систем класса Know Your Customer, используемых в финансовом секторе, сфере пассажирских перевозок и некоторых других отраслях. Не осталась без внимания разработчиков анализатора и технология блокчейн: обновленная версия в дополнение к Solidity поддерживает и язык программирования Vyper, используемый как альтернатива Solidity для создания смарт-контрактов платформы Ethereum.
Solar appScreener не только интенсивно наращивает собственную функциональность, но и активно интегрируется с другими передовыми системами, предназначенными для повышения безопасности разрабатываемого кода. Так, в представленной версии анализатора предусмотрена возможность интеграции с платформой непрерывной проверки качества кода SonarQube. Теперь Solar appScreener 3.3 поставляет платформе данные об обнаруженных в приложениях уязвимостях и позволяет дополнить этой информацией отчет SonarQube. На октябрь 2019 года возможности платформы используют мировые брэнды Siemens, Deutsche Bank, AirFrance, Bosch, Canon, Audi и многие другие. Среди российских клиентов – 1С, Альфа Банк, Банк России, Газпром и др.
В данной версии был сделан значительный шаг вперед в развитии анализа приложений. Теперь для исполняемых файлов мобильных приложений доступен анализ кода на всех языках программирования, поддерживаемых Solar appScreener при сканировании исходного кода (ранее только на Java/Scala/Kotlin и Objective-C/Swift). Кроме того, к семи форматам исполняемых файлов, поддерживаемым в предыдущей версии, добавилось еще два – AAR и EAR.
Также разработчики внесли ряд улучшений в пользовательский интерфейс Solar appScreener 3.3. В частности, была переработана система навигации – сделан более удобным переход от вкладок к пунктам бокового меню, добавлен навигационный инструмент «хлебные крошки». А в доработанном разделе аналитики реализовано автоматическое обновление групп проектов и графиков после редактирования, а также сохранение выбранных для отображения групп проектов при обновлении страницы.
Выпуск Solar appScreener версии 3.2
11 июля 2019 года компания «Ростелеком-Солар» выпустила очередную версию анализатора защищенности приложений Solar appScreener, которая теперь поддерживает 29 языков программирования, в том числе популярный в России язык приложений «1С». Кроме того, в Solar appScreener были добавлены ссылки на уязвимости в реестре Банка данных угроз безопасности информации ФСТЭК.
Благодаря поддержке языка «1С» очередная версия нашего анализатора может выявлять уязвимости и НДВ в приложении, с которым работают практически все российские организации. «1С. Предприятие». При этом на каждом конкретном предприятии используются кастомизированные конфигурации этого ПО, которые реализуются многочисленными партнерами «1С». В процессе разработки модификаций и версий в приложение могут быть случайно внесены уязвимости или умышленно заложены НДВ, отмечает Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар»
|
Кроме того, Solar appScreener 3.2 поддерживает язык программирования VBA – Visual Basic для приложений. Этот язык встроен в линейку продуктов Microsoft Office, включая версии для Mac OS, а также во многие другие программные пакеты (AutoCAD, CorelDRAW, бухгалтерские и финансовые программы). VBA активно используется разработчиками, поскольку позволяет вносить изменения в приложения. Теперь пользователи анализатора могут осуществлять проверку приложений на VBA, предназначенных для управления производством, технической поддержки, торговли, строительной инженерии, телефонии, обработки данных, управления потоками документов, финансового обслуживания, юридической поддержки, медицины.
Также версия Solar appScreener 3.2 поддерживает популярный фреймворк ASP.NET, который активно применяется при разработке веб-приложений и базируется на веб-сервисах, программной инфраструктуре и модели программирования Microsoft. На ASP.NET реализован ряд востребованных высоконагруженных приложений.
Помимо поддержки 29-ти языков программирования, что на июль 2019 года превосходит возможности всех конкурирующих решений, в данной версии пользователям доступны ссылки на соответствующие уязвимости в реестре Банка данных угроз безопасности информации ФСТЭК с возможностью их выгрузки в отчеты. Это важно для специалистов, которые работают с уязвимостями в российском ПО, так как в международных реестрах уязвимостей типа CVE (Common Vulnerabilities and Exposures) эти уязвимости могут отсутствовать. А также для офицеров безопасности, занимающихся защитой ГИС, ИСПДн и АСУ ТП на объектах КИИ. На июль 2019 года в Банке данных ФСТЭК содержится порядка 22 тысяч записей, полторы сотни из которых не представлены в базе CVE.
В направлении развития интеграции со сторонними средствами разработки ПО в Solar appScreener 3.2 был расширен список поддерживаемых сервисов непрерывной интеграции и доставки CI/CD. Теперь кроме Jenkins и TeamCity решение интегрируется с Azure DevOps Server 2019 (ранее Team Foundation Server, или TFS) от Microsoft, которым пользуются тысячи разработчиков по всему миру.
Выпуск Solar appScreener версии 3.1
11 апреля 2019 года компания Ростелеком-Solar сообщила о выпуске очередной версии анализатора защищенности приложений Solar appScreener 3.1. Теперь система поддерживает 26 языков программирования.
Среди добавленных языков, взятых на вооружение в этой версии, – TypeScript и VBScript, что существенно расширяет охват сегмента веб-приложений, доступных для анализа с помощью Solar appScreener. Кроме того, в анализаторе реализована поддержка Apeх – языка CRM-системы Salesforce. Это позволит компании Ростелеком-Solar увеличить продажи на зарубежных рынках.
Даниил Чернов, руководитель направления Solar appScreener отметил:
В развитии своего продукта мы делаем ставку на две принципиально важные составляющие – совершенствование функциональности анализатора и повышение удобства работы с системой. Версия 3.1, благодаря поддержке ряда дополнительных языков, позволит нашим заказчикам расширить спектр защищаемых приложений. С каждой очередной версией проверка ПО на уязвимости и НДВ становится все проще и эффективнее. |
В Solar appScreener 3.1 появился ряд возможностей для более тонкой настройки под нужды заказчика. В частности, теперь можно отслеживать изменения в участках кода, содержащих уязвимости или недекларированные возможности, сравнивая результаты сканирований за любой промежуток времени (ранее сравнение было доступно лишь для двух последних сканирований). Это позволяет проводить полный ретроспективный анализ с пониманием, когда были обнаружены уязвимости и какие действия предпринимались в их отношении. Возможность указать прямую ссылку на участок кода значительно упрощает и ускоряет взаимодействие ИБ-специалиста с командой разработки, способствуя оперативному устранению уязвимостей.
По просьбам заказчиков в анализатор добавили опцию разделения ролей комментирования и редактирования результатов сканирования, поскольку в крупных организациях право на редактирование должен иметь лишь узкий круг сотрудников. Редактирование результатов сканирования позволяет заказчику отфильтровать уязвимости, которые он не считает критичными (например, сложноэксплуатируемые уязвимости и т.п.)
В Solar appScreener 3.1 продолжена доработка внешнего вида и эргономики пользовательского интерфейса. Кроме того, представленная версия легче встраивается в жизненный цикл разработки ПО благодаря улучшению функциональности плагина для интеграции с Jenkins и расширенным возможностям для интеграции с Jira. Также разработчики системы значительно дополнили базу правил поиска уязвимостей и доработали алгоритмы анализа для более эффективного выявления уязвимостей и дальнейшего снижения количества ложных срабатываний.
Ребрендинг и выпуск Solar appScreener 3.0
24 января 2019 года компания «Ростелеком-Solar» объявила о масштабном обновлении своего анализатора приложений на наличие уязвимостей и недекларированных возможностей (НДВ). Начиная с версии 3.0, продукт будет представлен на рынке под названием — Solar appScreener — вместо предшествующего Solar inCode. Ребрендинг продиктован технологической эволюцией продукта: реализованные в нем технологии декомпиляции и деобфускации позволяют не просто сканировать исходный код, но и анализировать приложения в виде исполняемых файлов, пояснили в «Ростелеком-Solar».
Ключевым изменением Solar appScreener 3.0 стала полностью обновленная система взаимодействия решения с пользователями. Значительным изменениям подвергся как графический интерфейс решения, так и функциональность системы.
С выходом предыдущей версии анализатора Solar inCode 2.10 было запущено бета-тестирование графического интерфейса и по итогам собраны отклики и пожелания пользователей по возможным улучшениям. Кроме того, компания провела ряд специализированных UX/UI-тестов, по результатам которых эргономику интерфейса доработали — например, свели к минимуму количество кликов, необходимое для доступа пользователей к функциям системы. Также была полностью переработана страница управления группами пользователей: в представленной версии при ее создании можно гибко настраивать права группы пользователей, отметили в «Ростелеком-Solar».
Со слов разработчика, в обновленном интерфейсе также появились удобная навигация по проектам и результатам анализа, быстрый поиск, более наглядное и подробное представление статистической информации о проектах и дополнительные фильтры для проектов, а также переработана страница администрирования. Пользователи, предпочитающие предыдущий интерфейс, смогут пользоваться им вплоть до выхода версии 3.1.
Изменения, реализованные в Solar appScreener 3.0
Согласно заявлению разработчика, в Solar appScreener 3.0 повысилось удобство использования модуля Fuzzy Logic Engine, который позволяет минимизировать количество ложных срабатываний, не пропуская при этом реальные уязвимости. Благодаря увеличению покрытия базы правил поиска уязвимостей в представленной версии можно настраивать отображение результатов с учетом вероятности ложного срабатывания.
Одно из важнейших требований, которые предъявляют к современным анализаторам защищенности приложений, — возможность интеграции в процесс безопасной разработки. Для расширения такой возможности в Solar appScreener 3.0 реализована интеграция с Microsoft Active Directory, которая позволяет автоматически соблюсти действующие в компании политики информационной безопасности и права доступа разработчиков и офицеров безопасности к различным информационным системам. Таким образом, по утверждению разработчика, Solar appScreener 3.0 повышает общий уровень корпоративной информационной безопасности и сокращает время, которое требуется для управления полномочиями пользователей.
Как считают в «Ростелеком-Solar», за счет обновленных методов анализа потока данных и метода генерации диаграммы распространения данных для уязвимостей версия решения 3.0 более эффективно анализирует уязвимости приложений, написанных на языках Java, Scala, Kotlin и Java for Android.
Реализованная в Solar appScreener 3.0 поддержка legacy-языка COBOL позволит проверять на уязвимости унаследованные системы, от которых по тем или иным причинам невозможно отказаться. COBOL часто использовали для разработки банковских приложений, и его поддержка была реализована по запросам клиентов и партнеров «Ростелеком-Solar» на зарубежных рынках, отметил разработчик.
2018
Версия Solar inCode 2.10 c обновленной технологией снижения ложных срабатываний
17 октября 2018 года Ростелеком-Solar сообщил о выпуске очередной версии решения для контроля защищенности исходного кода приложений. В Solar inCode 2.10 встроен усовершенствованный модуль Fuzzy Logic Engine, который задает отраслевой стандарт в области борьбы с ложными срабатываниями. Кроме того, в вышедшей версии запущено бета-тестирование абсолютно другого, полностью переработанного интерфейса решения.
Модуль Fuzzy Logic Engine – технологическое решение компании Ростелеком-Solar, созданное для минимизации количества ложных срабатываний (False Positive) и пропуска уязвимостей в коде (False Negative). Он использует математический аппарат нечеткой логики, который позволяет определить вероятность ложного срабатывания в текущем проекте, основываясь на результатах прошлых сканирований. Параметры работы фильтров модуля Fuzzy Logic Engine определяются базой знаний, которая постоянно пополняется по результатам проведенных проектов.
Количество ложных срабатываний и пропусков уязвимостей – один из ключевых параметров эффективности любого анализатора кода, поэтому технологическое развитие Fuzzy Logic Engine имеет для нас высокий приоритет. Заложенные в нем алгоритмы – это результат многолетних научных разработок, и за каждым обновлением стоит большой объем исследований. Этот модуль был реализован в продукте еще в 2015 году, но только в 2018 удалось серьезно усовершенствовать технологию и выпустить крупное обновление. Даниил Чернов, руководитель направления Solar inCode компании Ростелеком-Solar.
|
В версии Solar inCode 2.10 офицер безопасности может настроить отображение результатов сканирования с учетом вероятности ложного срабатывания, что существенно сокращает время, необходимое для обработки отчета и постановки разработчикам задач по исправлению ошибок и уязвимостей в коде. Кроме того, пользователь получает возможность работать с фильтрами Fuzzy Fuzzy Logic Engine напрямую для достижения еще более высокой точности результатов.
Однако какой бы сложной ни была технология, Ростелеком-Solar всегда стремится преподнести ее пользователю в простом и понятном виде. Поэтому в Solar inCode 2.10 запущено бета-тестирование принципиально другого, полностью переработанного графического интерфейса, финальный вариант которого будет представлен в следующей версии решения. В Solar inCode 2.10 пользователи по умолчанию будут видеть привычный интерфейс, но для тех, кто захочет протестировать будущий интерфейс и прислать свои отклики и идеи, реализована кнопка переключения.
В Solar inCode 2.10 добавлены правила для поиска уязвимостей для поддерживаемых языков программирования, в особенности для Groovy и Kotlin, поддержка которых была реализована в предыдущей версии решения. Отдельно были доработаны алгоритмы анализа при поиске уязвимостей для языков C/C++.
Для сокращения продолжительности сканирования приложений, написанных на языке JavaScript, в версию Solar inCode встроена функциональность по анализу их состава. Решение определяет используемые внешние библиотеки и позволяет исключить их из анализа.
Сертификация ФСТЭК России
20 сентября 2018 года компания «Ростелеком-Solar» сообщила о получении сертификата ФСТЭК России на Solar inCode, решение для контроля защищенности исходного кода приложений.
Использование сертифицированного программного обеспечения является обязательным требованием для государственных, а также многих коммерческих организаций. Как сообщили в «Ростелеком-Solar», сертификат соответствия № 4007, выданный ФСТЭК России, удостоверяет, что решение Solar inCode отвечает требованиям к программному обеспечению по 4 уровню контроля отсутствия недекларированных возможностей (НДВ). Solar inCode также входит в Единый реестр российских программ для электронных вычислительных машин и баз данных, что позволяет использовать его в организациях, реализующих программу импортозамещения в области ИБ-решений.
Функциональность, позволяющая решению даже без доступа к исходному коду приложений проверять их на наличие ошибок и уязвимостей методом статического анализа, делает Solar inCode, по мнению разработчика, оптимальным инструментом для контроля защищенности унаследованного и стороннего ПО. Также в число преимуществ решения входят широкий список детектируемых уязвимостей, низкий процент ложных срабатываний и поддержка большинства современных языков программирования.
Выпуск версии 2.9
25 июня 2018 года компания Solar Security сообщила о выходе очередной версии Solar inCode, решения для контроля защищенности исходного кода.
Список языков программирования, который распознает и анализирует Solar inCode 2.9, пополнился за счет Groovy и Kotlin. При этом анализ приложений, написанных на Kotlin, возможен даже без доступа к их исходному коду.
При формировании дорожной карты развития продукта очень важно следить за тенденциями в разработке ПО. Одни языки постепенно уходят в прошлое, другие приходят на их место, и мы должны оперативно реагировать на потребности рынка. Groovy и Kotlin – языки разработки приложений, которые сейчас оказались в тренде и продолжают набирать популярность, поэтому мы включили их в Solar inCode 2.9. В прошлой версии была реализована поддержка языка Go, и в нынешнем релизе эта функциональность также была улучшена благодаря существенному расширению базы правил поиска уязвимостей. Даниил Чернов, руководитель направления Solar inCode компании «Ростелеком-Solar»
|
Еще один стратегический вектор развития Solar inCode – поддержка процессов непрерывной интеграции и жизненного цикла безопасной разработки приложений. В рамках развития данного направления в Solar inCode 2.9 была реализована возможность инкрементального анализа. Благодаря этому при сравнении разных сборок приложения разработчики смогут сканировать только ту часть кода, которая была добавлена в последней версии. Аналогично, в отчеты Solar inCode 2.9 теперь можно включать только те уязвимости, которые ранее не были обнаружены в данном ПО. Кроме того, при необходимости можно исключать из сканирования стандартные библиотеки, проверяя на ошибки и потенциальный уязвимости только собственный код.
В дополнение к классификациям OWASP Mobile Top 10 2016, OWASP Top 10 2017, PCI DSS и HIPAA Solar inCode 2.9 позволяет ранжировать найденные уязвимости в соответствии с CWE/SANS Top 25. Также данная версия содержит дополнительные правила поиска уязвимостей для поддерживаемых языков программирования, а также улучшенные, более детальные описания уязвимостей.
Выпуск версии 2.8
Компания Solar Security 19 апреля 2018 года выпустила обновление решения для проверки безопасности приложений Solar inCode 2.8 с поддержкой языка программирования Go, также известного как Golang.
Поддержка Go — это функциональность, которая была включена в дорожную карту развития продукта вследствие большого количества соответствующих запросов от заказчиков. Учитывая то, какими темпами этот язык набирает популярность, думаю, мы будем углублять его поддержку в последующих версиях Solar inCode, — сообщил Даниил Чернов, руководитель направления Solar inCode компании Solar Security. |
С первых версий Solar inCode поддерживает инструменты непрерывной интеграции (Continuous Integration) и безопасной разработки приложений (SDLC), позволяющие автоматизировать данные процессы. В рамках развития этого направления в Solar inCode 2.8 была встроена поддержка TeamCity, популярного сервера непрерывной интеграции.
Еще одним шагом в направлении бесшовной интеграции в SDLC стала поддержка JSON API, реализованная в дополнение к Command Line Interface. Эта функциональность позволит встраивать Solar inCode в ряд внешних систем, используемых в рамках процесса безопасной разработки.
В совокупности это позволит наладить непрерывный процесс контроля качества, автоматизировать проверку защищенности сборок ПО и сократить временные затраты на процесс целиком, считают в Solar Security.
Кроме того, в Solar inCode 2.8 расширен список правил поиска уязвимостей, а также добавлены их расширенные описания, которые помогут пользователям, не имеющим глубокой технической экспертизы, корректно интерпретировать данные отчетов.
Выпуск версии 2.7
1 февраля 2018 года компания Solar Security сообщила о выпуске очередной версии решения Solar inCode с поддержкой статического анализа кода бинарных файлов для mac OS.
Отличием Solar inCode является возможность статического анализа исполняемых с автоматическим восстановлением высокоуровневого кода (.apk-, .jar-, .war-, .ipa-, .exe- и .dll-файлы). В целях усиления данного отличия в версии Solar inCode 2.7 реализован модуль анализа исполняемых файлов приложений для операционной системы macOS (расширение .app).
«Семейство операционных систем macOS – второе по распространенности для десктопов после Windows, поэтому статический анализ бинарных файлов для ОС от Apple – важный шаг в развитии продукта. В ближайших версиях Solar inCode мы планируем сфокусироваться на дальнейшем развитии этой функциональности». |
Еще одно отличие Solar inCode – простой и удобный интерфейс. Благодаря продуманной логике взаимодействия с пользователем он интуитивно понятен и не требует дополнительного времени на изучение. Запуск сканирования осуществляется в два клика, а визуальное представление отчетов реализовано так, чтобы они были информативными и для пользователя без навыков программной разработки.
«Самый удобный интерфейс нуждается в постоянном развитии – как с точки зрения графического дизайна, так и с позиций эргономики и просто соответствия последним тенденциям в этой области. Поэтому мы внесли в интерфейс Solar inCode 2.7 ряд изменений, доработав визуальное решение страниц проектов и результатов, кнопки быстрых действий, добавив индикатор выполнения сканирования». |
Также в версии Solar inCode 2.7 добавлены правила для поиска уязвимостей и улучшены алгоритмы анализа при поиске уязвимостей для языков Java/Scala и Java for Android.
Отчеты о сканированиях можно выгружать в соответствии с классификацией уязвимостей OWASP Top 10 2017. Найденные уязвимости могут быть ранжированы в соответствии с OWASP Mobile Top 10 2016, PCI DSS и HIPAA, что упрощает задачу по соответствию требованиям регуляторов.
2017
Выпуск версии 2.6
Компания Solar Security 17 октября 2017 года представила очередную версию Solar inCode. Ключевым обновлением версии 2.6 стала поддержка языка программирования Solidity, который используется для создания смарт-контрактов, предназначенных для заключения сделок в рамках технологии блокчейн.
Смарт-контакты опасны тем, что популярность этих инструментов опережает их защищенность, при том что в случае успешной атаки пользователи могут потерять реальные деньги. Поэтому мы считаем важным быстро адаптировать Solar inCode к изменяющимся потребностям рынка, — подчеркнул Даниил Чернов, руководитель направления Solar inCode компании Solar Security. |
Кроме того, Solar inCode теперь умеет искать ошибки и уязвимости в HTML5, что позволяет разработчикам быть уверенными не только в современности и удобстве, но и в защищенности создаваемых веб-приложений.
Технология анализа приложений, написанных на C/C++, также была улучшена и доработана. Анализ исходного кода теперь поддерживает сборку проектов с помощью Visual Studio, а база правил поиска уязвимостей была расширена. Также дополнена база правил поиска уязвимостей для языков ABAP и Delphi.
В то же время, в версии 2.6 впервые реализована возможность загружать с локального компьютера проект в виде архива с расширениями .7z, .ear, .aar, .rar, .tar.bz2, .tar.gz, .tar, .cpio. В рамках повышения общего уровня usability интерфейс решения также дополнительно доработан.
Еще одно важное направление — легкое встраивание Solar inCode в процесс безопасной разработки приложений (SDLC) — получило поддержку в виде плагина к серверу непрерывной интеграции Jenkins и возможности отслеживать статус сканирования по электронной почте.
При этом отчеты о сканированиях теперь можно выгружать в соответствии с классификацией уязвимостей по HIPAA — в дополнение к классификациям OWASP Top 10 2013, OWASP Mobile Top 10 2014, OWASP Mobile Top 10 2016 и PCI DSS, что упрощает разработчикам задачу по соответствию нормам и стандартам регуляторов.
Выпуск версии 2.4
12 июля 2017 года компания Solar Security объявила о выходе версии 2.4 сканера кода Solar inCode.
Разработчики усовершенствовали технологии работы с уже поддерживаемыми языками программирования и добавили поддержку новых[1].
В Solar inCode 2.4 расширены базы правил поиска уязвимостей для бинарного кода C/С++ (.exe- и .dll-файлы). Список поддерживаемых языков программирования дополнился Delphi и ABAP (Advanced Business Application Programming), который используется для разработки приложений под платформу SAP. Поддержка ABAP позволит компаниям контролировать уровень защищенности бизнес-приложений SAP. Solar inCode оптимизирован для интеграции в процесс безопасной разработки приложений (SDLC), версия 2.4 помогает заказчикам повысить уровень безопасности приложений под SAP, не меняя привычные процессы разработки и тестирования.
Ранние версии продукта поддерживали преимущественно языки разработки мобильных и веб-приложений. Постепенно мы дополняли этот список, чтобы расширить пул решений, с которыми может работать Solar inCode. За такой функциональностью, как возможность сканирования кода на языке ABAP или бинарного кода C/С++ стоят серьезные научно-технические исследования, и мы рады, что они наконец нашли практическое воплощение в Solar inCode. Даниил Чернов, руководитель направления Solar inCode компании Solar Security |
Процесс работы решения в рамках SDLC оптимизирован для повышения уровня автоматизации. Solar inCode 2.4 позволяет производить сравнение результатов сканирования и отслеживать количество устраненных уязвимостей. Это упрощает контроль защищенности разрабатываемого ПО и делает работу с Solar inCode удобнее и интуитивно понятнее.
В версии появилась диаграмма распространения данных (трассы) для уязвимостей Java/Scala- и Android-приложений.
Специально для разработчиков мобильных приложений в Solar inCode 2.4 в дополнение к OWASP и PCI DSS реализована возможность выгрузки отчетов согласно классификации уязвимостей OWASP Mobile Top 10 2016.
Интерфейс Solar inCode 2.4 усовершенствован, чтобы процесс работы с продуктом был интуитивно понятным.
Solar Security следует идеологии, в соответствии с которой даже самые сложные технологии должны быть представлены пользователям через простые и понятные интерфейсы. Поэтому оптимизация и доработка интерфейса Solar inCode ведутся постоянно, от версии к версии. Нам очень важно, чтобы и разработчик, и безопасник могли с одинаковой легкостью использовать этот инструмент проверки уровня защищенности кода. |
Solar inCode 2.3
19 апреля 2017 года компания Solar Security заявила о выпуске версии сканера кода Solar inCode 2.3. Основные особенности — «коробочная» интеграция с JIRA, анализ мультиязычных приложений и модуль бинарного анализа приложений на C/C++.
Solar inCode 2.3 выполняет статический анализ .exe- и .dll-файлов, написанных на С/С++ для архитектуры х64 и х86. Эта функциональность Solar inCode 2.3 позволит службе безопасности проверять уровень защищенности используемых в компании приложений без доступа к исходному коду — в случаях с так называемым «унаследованным ПО» или приложениями, разработка которых отдана на аутсорсинг[2].
Мы фокусируемся на усилении возможности анализировать приложения без доступа к исходному коду. Очередным шагом в этом направлении стал статический анализ .exe- и .dll-файлов, написанных на С/С++. Мы получали от клиентов много запросов на функциональность, но ввиду специфики языков С/С++ реализовать ее в продукте было достаточно сложно. У нас ушло много времени на исследования и разработку. Даниил Чернов, руководитель направления Solar inCode компании Solar Security |
Если в приложении используется несколько языков программирования, Solar inCode 2.3 автоматически определит их и сканирует приложение в обычном режиме. При этом пользователь может выбрать - сканировать приложение целиком или только часть кода на определенном языке.
Solar inCode 2.3 предлагает пользователям коробочную интеграцию с JIRA. После сканирования приложения пользователь может сразу создать задачу по исправлению найденных уязвимостей - через интерфейс Solar inCode.
В этой версии содержится ряд доработок имеющейся функциональности: в Solar inCode 2.3 появились новые описания уязвимостей, правила поиска уязвимостей для поддерживаемых языков программирования. Алгоритмы анализа потоков данных при поиске уязвимостей для языка PHP также дополнительно оптимизированы.
Усовершенствования затронули интерфейс Solar inCode 2.3.
Solar inCode 2.2
7 февраля 2017 года компания Solar Security объявила о выходе версии Solar inCode. Основное усовершенствование в этой версии - модули динамического и интерактивного анализа (DAST/IAST) с двумя режимами работы — fuzzing-методов и fuzzing-запросов.
Сейчас, когда продукт вышел на определенный уровень зрелости, мы определяем направления развития, исходя из потребностей наших клиентов. Это касается списка поддерживаемых языков, отчетности, интерфейса, новых технологий и так далее. Несмотря на сложность технологий, лежащих в основе Solar inCode, мы, как и раньше, стремимся сделать использование продукта простым и понятным, в том числе для сотрудников безопасности, у которых не всегда есть опыт разработки. Даниил Чернов, руководитель направления Solar inCode компании Solar Security |
В этой версии расширен список поддерживаемых языков программирования:
- C/C++ (в том числе с использованием OpenMP),
- Ruby,
- T-SQL
- Visual Basic 6.0.
В состав Solar inCode 2.2 вошли правила поиска уязвимостей для языков программирования, поддерживаемых в ранних версиях — Java, Scala, PHP, Objective-C, Java for Android, JavaScript, Swift, Python 2, Python 3, PL/SQL и C# [3].
Solar inCode 2.2 предлагает расширенные возможности анализа iOS-приложений. Поддержка языка программирования Swift 3, интеграция со средой разработки XCode 8 и компилятором Apple Clang 8.0 обеспечивают максимальный охват iOS-приложений, доступных для анализа, подчеркнули в Solar Security. Модуль загрузки iOS-приложений из App Store поддерживает все актуальные версии операционной системы iOS.
Результаты сканирования можно выгружать, приоритизируя уязвимости согласно классификации OWASP Top 10 2013, OWASP Mobile Top 10 2014 или PCI DSS 3.2.
В версии 2.2 разработчики уделили внимание развитию аналитических инструментов. Встроенный модуль межпроектной аналитики позволяет объединять проекты в группы для получения совокупной информации по проектам в рамках группы. Пользователям доступна статистика по количеству операций сканирования, времени сканирования, количеству строк кода, рейтингу безопасности и количеству уязвимостей с выбором уровня критичности. Все показатели могут представляться в виде графиков, отражающих динамику изменений.
С версии 2.2 продукт совместим с операционными системами CentOS и macOS.
2016
Solar inCode SaaS
26 октября 2016 года компания Solar Security объявила о предоставлении выводе Solar inCode в доступ по модели Software-as-a-Service (SaaS).
Solar inCode в облачном формате ориентирован на компании, где потребности в проверке безопасности кода приложений возникают время от времени[4].
Solar inCode из "облака" — это, по сути, enterprise-решение в розничной конфигурации. Компании, которым не подходят стандартные лицензии на большое число сканирований, раньше не могли воспользоваться нашим продуктом. Теперь мы готовы предложить Solar inCode и этой категории заказчиков, что позволит популяризовать саму технологию и повысить уровень защищенности российских компаний. |
Solar inCode 2.0 — технология для проверки безопасности приложений методом статического анализа, которое функционирует при наличии у проверяющего исходного кода и при отсутствии доступа к нему. Solar inCode 2.0 помогает выявить уязвимости и незадекларированные возможности в программном обеспечении. Решение способно анализировать наиболее распространенные языки программирования, все мобильные и большинство веб-приложений.
Solar inCode 2.0
Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила летом 2016 года обновление Solar inCode — решения, способного проверять безопасность приложений методом статического анализа даже при отсутствии исходного кода. Solar inCode 2.0 предлагает расширенный список анализируемых языков, интуитивно понятный пользовательский интерфейс, а также оптимизированные технологии выявления уязвимостей и недекларированных возможностей в программном обеспечении.
По словам разработчиков, большое число изменений в данной версии Solar inCode направлено на упрощение логики взаимодействия с пользователем. Дизайн интерфейса был переработан и улучшен так, что интерпретация данных, полученных от Solar inCode, больше не требует от пользователя глубокой технической экспертизы.
В дополнение к языкам программирования Java, Scala, PHP, Objective C, Java for Android, поддержка которых была реализована в первой версии решения, Solar inCode 2.0 теперь анализирует приложения, написанные на JavaScript, Swift, Python 2, Python 3, PL/SQL и C#. Таким образом, решение охватывает наиболее распространенные языки программирования и способно анализировать все мобильные и большинство веб-приложений.
Для упрощения работы в ходе регулярных проверок кода Solar inCode 2.0 позволяет редактировать правила поиска уязвимостей и отмечать ложные срабатывания. Такое обучение позволяет создавать развитые механизмы выявления ложноположительных срабатываний, а также определять новые типы уязвимостей и недекларированных возможностей.
Интерфейс Solar inCode, помимо русского, теперь локализован и на английский язык. Кроме того, в соответствии с пожеланиями пользователей в новой версии добавлена возможность работы через командную строку. Пользователи могут автоматизировать проверку новых сборок ПО и, как следствие, встроить Solar inCode в процесс безопасной разработки (SDLC). Новая версия также позволяет разграничить доступ пользователей к ПО, чтобы каждый разработчик мог контролировать уровень безопасности и наличие ошибок только в своей части проекта.
«В первой версии продукта акцент был сделан на технологиях деобфускации и декомпиляции, а также на системе отчетности с подробными рекомендациями по устранению найденных уязвимостей, — рассказал Чернов Даниил, руководитель направления Solar inCode компании Solar Security. — Вторая версия Solar inCode, помимо инновационных методов анализа ПО, предлагает простой, удобный и понятный интерфейс, что делает решение доступным для максимального числа пользователей и выводит его на новые сегменты рынка».
2015
Релиз Solar inCode
29 октября 2015 года компания Solar Security объявила о выпуске продукта для анализа программного обеспечения.
Анализ приложений проводится методом «белого ящика» и при отсутствии исходного кода. Технологии деобфускации и декомпиляции, реализованные в Solar inCode, позволяют восстановить исходный код с высокой степенью точности, даже если к нему применили обфусцирующие (запутывающие) преобразования. Для повышения качества анализа кода используются четыре различных технологических решения, включая taint-анализ, для снижения количества ложных срабатываний – технологический модуль Fuzzy Logic Engine с авторскими алгоритмами фильтрации уязвимостей.
«Можно сказать, что inCode – это продукт, в котором научная мысль нашла свое достойное техническое воплощение. В команде разработки три кандидата наук, двое из которых защитили свои диссертации по декомпиляции кода, поэтому заложенные в продукт технологии дают принципиально новый уровень его использования: как с точки зрения удобства, так и с точки зрения эффективности оценки защищенности приложений», – отметил Даниил Чернов, руководитель направления inCode компании Solar Security.
Solar inCode создан как инструмент для специалистов по безопасности - продукт выдает детальные рекомендации по настройке наложенных средств защиты (SIEM, WAF, NGFW), блокирующих возможности эксплуатации уязвимостей до их устранения. Для разработчиков же предусмотрены отчеты с описанием выявленных уязвимостей со ссылками на соответствующие участки кода и рекомендации по их устранению путем внесения изменений в код, что существенно упрощает задачи разработки.
На 29 октября 2015 года Solar inCode позволяет анализировать онлайн и мобильные приложения, написанные на самых популярных языках: Java, Scala, PHP, Objective C, Java for Android. В планах по развитию продукта расширение списка анализируемых языков: JavaScript, PL/SQL, 1С и С#.
«За последнее время риски эксплуатации уязвимостей программного кода значительно выросли, – заявил Игорь Ляпунов, генеральный директор Solar Security, – по нашим данным, которые содержат отчеты JSOC, более 60 % успешных кибератак, нацеленных на внешние бизнес-приложения, реализуются через уязвимости в ПО. При том, что тема безопасности приложений достаточно нова, большинство профессионалов в области безопасности понимают, что от качества кода стала напрямую зависеть защищенность информации, денег, а подчас и целых компаний».
Solar inCode
На 29 октября 2015 года Solar inCode - инструмент статического анализа кода, предназначен для выявления уязвимостей и не декларированных возможностей (НДВ) в программном обеспечении.
Примечания
- ↑ Solar Security представила новую версию сканера кода Solar inCode
- ↑ Solar inCode 2.3 получил интеграцию с JIRA и модуль анализа приложений на С/С++
- ↑ Вышла новая версия Solar inCode с модулями динамического и интерактивного анализа
- ↑ Solar inCode для анализа безопасности приложений стал доступен по модели SaaS
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (46)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15)
Форсайт (11)
Axiom JDK (БеллСофт) ранее Bellsoft (10)
Бипиум (Bpium) (10)
Другие (393)
Солар (ранее Ростелеком-Солар) (8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
IFellow (АйФэлл) (2)
ЛАНИТ - Би Пи Эм (Lanit BPM) (2)
Консом групп, Konsom Group (КонсОМ СКС) (2)
Другие (30)
Солар (ранее Ростелеком-Солар) (10)
Форсайт (3)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
Cloud.ru (Облачные технологии) ранее SberCloud (2)
КРИТ (KRIT) (2)
Другие (13)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (ранее Ростелеком-Солар) (2, 48)
Microsoft (41, 47)
Oracle (49, 26)
Hyperledger (Open Ledger Project) (1, 23)
IBM (33, 18)
Другие (607, 308)
Солар (ранее Ростелеком-Солар) (1, 8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
Microsoft (4, 3)
Oracle (2, 3)
SAP SE (2, 2)
Другие (16, 19)
Солар (ранее Ростелеком-Солар) (1, 11)
Форсайт (1, 3)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3)
Сбербанк (1, 2)
Cloud.ru (Облачные технологии) ранее SberCloud (1, 2)
Другие (9, 9)
Солар (ранее Ростелеком-Солар) (1, 6)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
Мобильные ТелеСистемы (МТС) (1, 4)
Форсайт (1, 3)
Другие (14, 24)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 4)
Мобильные ТелеСистемы (МТС) (2, 3)
Солар (ранее Ростелеком-Солар) (1, 3)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2)
Оператор Газпром ИД (ГИД) (1, 1)
Другие (14, 14)
Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 48
Hyperledger Fabric - 23
Windows Azure - 20
FIS Platform - 15
EXpress Защищенный корпоративный мессенджер - 12
Другие 328
Solar appScreener (ранее Solar inCode) - 8
FIS Platform - 4
Siemens Xcelerator - 2
Парадокс: MES Builder - 2
Турбо X - 2
Другие 22
Solar appScreener (ранее Solar inCode) - 11
BSS Digital2Go - 3
Форсайт. Мобильная платформа (ранее HyperHive) - 3
Cloud ML Space - 2
Nexign Microservices Framework - 1
Другие 8