ГК «Солар» выпустила обновленную версию Solar appScreener. Функционал платформы для анализа кода позволяет оптимизировать процесс DevSecOps за счет более эффективного использования ресурсов. Так, крупные компании софтверной индустрии, разработчики специализированного ПО для финтех и e-commerce-сектора смогут снизить ТСО на безопасную разработку до 15%. Эти данные получены на основе опроса среди заказчиков, которые используют Solar appScreener на постоянной основе, сообщила компания «Солар» в четверг.
Внедрение решений для анализа кода в процесс разработки снижает риски самых распространенных уязвимостей мобильных и веб-приложений. По данным Центра исследования киберугроз Solar 4RAYS за первое полугодие 2024 года, 43% хакерских проникновений в инфраструктуру компаний происходили через уязвимости в корпоративных приложениях. В списке критичных уязвимостей лидируют недостатки контроля доступа (75% и 60% для веб- и мобильных приложений соответственно), раскрытие отладочной и конфигурационной информации (73% и 60%), межсайтовые скрипты (XSS), раскрытие информации в исходном коде мобильных приложений (33% случаев).
«По оценкам экспертов рынка IT-разработки, стоимость владения ПО в корпоративном сегменте растет примерно на 10-20% в год. На этот фактор влияют сложности с закупкой оборудования, инвестиции в импортозамещение и дефицит кадров, которые в свою очередь также увеличивают себестоимость IT-продуктов. Поэтому при доработке Solar appScreener мы сделали ставку на возможности оптимизации – ресурсов сотрудников и времени – без потери качества и безопасности кода. Пользователи могут встроить наш продукт в общий цикл разработки, снизив риски, связанные с использованием систем и приложений, обеспечить их надежность и защиту данных конечных пользователей», — говорит Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.
Управление агентами сканирования в Solar appScreener позволяет IT-командам, которые работают над несколькими приложениями или проектами, приоритизировать и одновременно загружать на анализ кода несколько проектов в зависимости от их значимости и масштаба.
Разработчики также оптимизировали модули анализа, в том числе и по использованию ресурсов, что крайне актуально для создания масштабных проектов в миллионы строк кода. На синтетически тестах было отмечено снижение времени сканирования от 15 до 35%.
Переработанный дистрибутив упрощает установку системы и снижает требования к навыкам специалистов по анализу кода. Для ускорения процессов DevSecOps добавлены ограничения по глубине анализа кода, например, анализ только прямых зависимостей или отключение перекрестных библиотек с помощью SAST-анализа.
В новой версии Solar appScreener также усовершенствованы модули статического и динамического анализа кода. В базу SAST-модуля добавлены 500 новых правил поиска уязвимостей, в модуле DAST внедрены новые возможности авторизации в тестируемом ПО – протоколы сетевой аутентификации NTLM и расширенные API-спецификации.
С выходом нового релиза «Солар» обновил лицензионную политику для пользователей. Теперь работа с результатами анализа текущих проектов доступна независимо от состояния лицензии. Таким образом команды разработки могут снизить простои в случае временного прекращения лицензии. При продлении лицензии разработчикам доступна полная функциональность без потери данных.
Solar appScreener — комплексное решение для контроля безопасности приложений, сочетающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности сторонних компонентов ПО (SAST, DAST, OSA). Продукт может использоваться как для отдельных проверок кода, так и в качестве центрального элемента цикла безопасной разработки.
Анализатор поддерживает 36 языков программирования. Кроме базы правил поиска уязвимостей, которая регулярно обновляется, в Solar appScreener предусмотрена возможность создания своих собственных правил поиска. Их можно создать при помощи функций инструмента и применить при анализе проектов. Продукт сертифицирован ФСТЭК России, внесен в Единый реестр отечественного ПО и может интегрироваться с другими системами для встраивания в цикл безопасной разработки.
