Solar appScreener (ранее Solar inCode)

Продукт
Разработчики: Ростелеком-Solar (ранее Solar Security, Солар Секьюрити)
Дата премьеры системы: 2015/10/29
Дата последнего релиза: 2019/07/11
Технологии: Средства разработки приложений

Содержание

Solar appScreener (ранее Solar inCode) — анализатор приложений на наличие уязвимостей и недекларированных возможностей (НДВ).

2019

Выпуск Solar appScreener версии 3.2

11 июля 2019 года компания «Ростелеком-Солар» выпустила очередную версию анализатора защищенности приложений Solar appScreener, которая теперь поддерживает 29 языков программирования, в том числе популярный в России язык приложений «». Кроме того, в Solar appScreener были добавлены ссылки на уязвимости в реестре Банка данных угроз безопасности информации ФСТЭК.

Solar appScreener
«
Благодаря поддержке языка «1С» очередная версия нашего анализатора может выявлять уязвимости и НДВ в приложении, с которым работают практически все российские организации. «1С. Предприятие». При этом на каждом конкретном предприятии используются кастомизированные конфигурации этого ПО, которые реализуются многочисленными партнерами «1С». В процессе разработки модификаций и версий в приложение могут быть случайно внесены уязвимости или умышленно заложены НДВ,
отмечает Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар»
»

Кроме того, Solar appScreener 3.2 поддерживает язык программирования VBA – Visual Basic для приложений. Этот язык встроен в линейку продуктов Microsoft Office, включая версии для Mac OS, а также во многие другие программные пакеты (AutoCAD, CorelDRAW, бухгалтерские и финансовые программы). VBA активно используется разработчиками, поскольку позволяет вносить изменения в приложения. Теперь пользователи анализатора могут осуществлять проверку приложений на VBA, предназначенных для управления производством, технической поддержки, торговли, строительной инженерии, телефонии, обработки данных, управления потоками документов, финансового обслуживания, юридической поддержки, медицины.

Также версия Solar appScreener 3.2 поддерживает популярный фреймворк ASP.NET, который активно применяется при разработке веб-приложений и базируется на веб-сервисах, программной инфраструктуре и модели программирования Microsoft. На ASP.NET реализован ряд востребованных высоконагруженных приложений.

Помимо поддержки 29-ти языков программирования, что на июль 2019 года превосходит возможности всех конкурирующих решений, в данной версии пользователям доступны ссылки на соответствующие уязвимости в реестре Банка данных угроз безопасности информации ФСТЭК с возможностью их выгрузки в отчеты. Это важно для специалистов, которые работают с уязвимостями в российском ПО, так как в международных реестрах уязвимостей типа CVE (Common Vulnerabilities and Exposures) эти уязвимости могут отсутствовать. А также для офицеров безопасности, занимающихся защитой ГИС, ИСПДн и АСУ ТП на объектах КИИ. На июль 2019 года в Банке данных ФСТЭК содержится порядка 22 тысяч записей, полторы сотни из которых не представлены в базе CVE.

В направлении развития интеграции со сторонними средствами разработки ПО в Solar appScreener 3.2 был расширен список поддерживаемых сервисов непрерывной интеграции и доставки CI/CD. Теперь кроме Jenkins и TeamCity решение интегрируется с Azure DevOps Server 2019 (ранее Team Foundation Server, или TFS) от Microsoft, которым пользуются тысячи разработчиков по всему миру.

Выпуск Solar appScreener версии 3.1

11 апреля 2019 года компания Ростелеком-Solar сообщила о выпуске очередной версии анализатора защищенности приложений Solar appScreener 3.1. Теперь система поддерживает 26 языков программирования.

Среди добавленных языков, взятых на вооружение в этой версии, – TypeScript и VBScript, что существенно расширяет охват сегмента веб-приложений, доступных для анализа с помощью Solar appScreener. Кроме того, в анализаторе реализована поддержка Apeх – языка CRM-системы Salesforce. Это позволит компании Ростелеком-Solar увеличить продажи на зарубежных рынках.

Даниил Чернов, руководитель направления Solar appScreener отметил:

«
В развитии своего продукта мы делаем ставку на две принципиально важные составляющие – совершенствование функциональности анализатора и повышение удобства работы с системой. Версия 3.1, благодаря поддержке ряда дополнительных языков, позволит нашим заказчикам расширить спектр защищаемых приложений. С каждой очередной версией проверка ПО на уязвимости и НДВ становится все проще и эффективнее.

»

В Solar appScreener 3.1 появился ряд возможностей для более тонкой настройки под нужды заказчика. В частности, теперь можно отслеживать изменения в участках кода, содержащих уязвимости или недекларированные возможности, сравнивая результаты сканирований за любой промежуток времени (ранее сравнение было доступно лишь для двух последних сканирований). Это позволяет проводить полный ретроспективный анализ с пониманием, когда были обнаружены уязвимости и какие действия предпринимались в их отношении. Возможность указать прямую ссылку на участок кода значительно упрощает и ускоряет взаимодействие ИБ-специалиста с командой разработки, способствуя оперативному устранению уязвимостей.

По просьбам заказчиков в анализатор добавили опцию разделения ролей комментирования и редактирования результатов сканирования, поскольку в крупных организациях право на редактирование должен иметь лишь узкий круг сотрудников. Редактирование результатов сканирования позволяет заказчику отфильтровать уязвимости, которые он не считает критичными (например, сложноэксплуатируемые уязвимости и т.п.)

В Solar appScreener 3.1 продолжена доработка внешнего вида и эргономики пользовательского интерфейса. Кроме того, представленная версия легче встраивается в жизненный цикл разработки ПО благодаря улучшению функциональности плагина для интеграции с Jenkins и расширенным возможностям для интеграции с Jira. Также разработчики системы значительно дополнили базу правил поиска уязвимостей и доработали алгоритмы анализа для более эффективного выявления уязвимостей и дальнейшего снижения количества ложных срабатываний.

Ребрендинг и выпуск Solar appScreener 3.0

24 января 2019 года компания «Ростелеком-Solar» объявила о масштабном обновлении своего анализатора приложений на наличие уязвимостей и недекларированных возможностей (НДВ). Начиная с версии 3.0, продукт будет представлен на рынке под названием — Solar appScreener — вместо предшествующего Solar inCode. Ребрендинг продиктован технологической эволюцией продукта: реализованные в нем технологии декомпиляции и деобфускации позволяют не просто сканировать исходный код, но и анализировать приложения в виде исполняемых файлов, пояснили в «Ростелеком-Solar».

Ключевым изменением Solar appScreener 3.0 стала полностью обновленная система взаимодействия решения с пользователями. Значительным изменениям подвергся как графический интерфейс решения, так и функциональность системы.

Solar appScreener 3.0

С выходом предыдущей версии анализатора Solar inCode 2.10 было запущено бета-тестирование графического интерфейса и по итогам собраны отклики и пожелания пользователей по возможным улучшениям. Кроме того, компания провела ряд специализированных UX/UI-тестов, по результатам которых эргономику интерфейса доработали — например, свели к минимуму количество кликов, необходимое для доступа пользователей к функциям системы. Также была полностью переработана страница управления группами пользователей: в представленной версии при ее создании можно гибко настраивать права группы пользователей, отметили в «Ростелеком-Solar».

Со слов разработчика, в обновленном интерфейсе также появились удобная навигация по проектам и результатам анализа, быстрый поиск, более наглядное и подробное представление статистической информации о проектах и дополнительные фильтры для проектов, а также переработана страница администрирования. Пользователи, предпочитающие предыдущий интерфейс, смогут пользоваться им вплоть до выхода версии 3.1.

Изменения, реализованные в Solar appScreener 3.0

Согласно заявлению разработчика, в Solar appScreener 3.0 повысилось удобство использования модуля Fuzzy Logic Engine, который позволяет минимизировать количество ложных срабатываний, не пропуская при этом реальные уязвимости. Благодаря увеличению покрытия базы правил поиска уязвимостей в представленной версии можно настраивать отображение результатов с учетом вероятности ложного срабатывания.

Одно из важнейших требований, которые предъявляют к современным анализаторам защищенности приложений, — возможность интеграции в процесс безопасной разработки. Для расширения такой возможности в Solar appScreener 3.0 реализована интеграция с Microsoft Active Directory, которая позволяет автоматически соблюсти действующие в компании политики информационной безопасности и права доступа разработчиков и офицеров безопасности к различным информационным системам. Таким образом, по утверждению разработчика, Solar appScreener 3.0 повышает общий уровень корпоративной информационной безопасности и сокращает время, которое требуется для управления полномочиями пользователей.

Solar appScreener 3.0

Как считают в «Ростелеком-Solar», за счет обновленных методов анализа потока данных и метода генерации диаграммы распространения данных для уязвимостей версия решения 3.0 более эффективно анализирует уязвимости приложений, написанных на языках Java, Scala, Kotlin и Java for Android.

Реализованная в Solar appScreener 3.0 поддержка legacy-языка COBOL позволит проверять на уязвимости унаследованные системы, от которых по тем или иным причинам невозможно отказаться. COBOL часто использовали для разработки банковских приложений, и его поддержка была реализована по запросам клиентов и партнеров «Ростелеком-Solar» на зарубежных рынках, отметил разработчик.

2018

Версия Solar inCode 2.10 c обновленной технологией снижения ложных срабатываний

17 октября 2018 года Ростелеком-Solar сообщил о выпуске очередной версии решения для контроля защищенности исходного кода приложений. В Solar inCode 2.10 встроен усовершенствованный модуль Fuzzy Logic Engine, который задает отраслевой стандарт в области борьбы с ложными срабатываниями. Кроме того, в вышедшей версии запущено бета-тестирование абсолютно другого, полностью переработанного интерфейса решения.

Модуль Fuzzy Logic Engine – технологическое решение компании Ростелеком-Solar, созданное для минимизации количества ложных срабатываний (False Positive) и пропуска уязвимостей в коде (False Negative). Он использует математический аппарат нечеткой логики, который позволяет определить вероятность ложного срабатывания в текущем проекте, основываясь на результатах прошлых сканирований. Параметры работы фильтров модуля Fuzzy Logic Engine определяются базой знаний, которая постоянно пополняется по результатам проведенных проектов.

«
Количество ложных срабатываний и пропусков уязвимостей – один из ключевых параметров эффективности любого анализатора кода, поэтому технологическое развитие Fuzzy Logic Engine имеет для нас высокий приоритет. Заложенные в нем алгоритмы – это результат многолетних научных разработок, и за каждым обновлением стоит большой объем исследований. Этот модуль был реализован в продукте еще в 2015 году, но только в 2018 удалось серьезно усовершенствовать технологию и выпустить крупное обновление.
Даниил Чернов, руководитель направления Solar inCode компании Ростелеком-Solar.
»

В версии Solar inCode 2.10 офицер безопасности может настроить отображение результатов сканирования с учетом вероятности ложного срабатывания, что существенно сокращает время, необходимое для обработки отчета и постановки разработчикам задач по исправлению ошибок и уязвимостей в коде. Кроме того, пользователь получает возможность работать с фильтрами Fuzzy Fuzzy Logic Engine напрямую для достижения еще более высокой точности результатов.

Однако какой бы сложной ни была технология, Ростелеком-Solar всегда стремится преподнести ее пользователю в простом и понятном виде. Поэтому в Solar inCode 2.10 запущено бета-тестирование принципиально другого, полностью переработанного графического интерфейса, финальный вариант которого будет представлен в следующей версии решения. В Solar inCode 2.10 пользователи по умолчанию будут видеть привычный интерфейс, но для тех, кто захочет протестировать будущий интерфейс и прислать свои отклики и идеи, реализована кнопка переключения.

В Solar inCode 2.10 добавлены правила для поиска уязвимостей для поддерживаемых языков программирования, в особенности для Groovy и Kotlin, поддержка которых была реализована в предыдущей версии решения. Отдельно были доработаны алгоритмы анализа при поиске уязвимостей для языков C/C++.

Для сокращения продолжительности сканирования приложений, написанных на языке JavaScript, в версию Solar inCode встроена функциональность по анализу их состава. Решение определяет используемые внешние библиотеки и позволяет исключить их из анализа.

Сертификация ФСТЭК России

20 сентября 2018 года компания «Ростелеком-Solar» сообщила о получении сертификата ФСТЭК России на Solar inCode, решение для контроля защищенности исходного кода приложений.

Использование сертифицированного программного обеспечения является обязательным требованием для государственных, а также многих коммерческих организаций. Как сообщили в «Ростелеком-Solar», сертификат соответствия № 4007, выданный ФСТЭК России, удостоверяет, что решение Solar inCode отвечает требованиям к программному обеспечению по 4 уровню контроля отсутствия недекларированных возможностей (НДВ). Solar inCode также входит в Единый реестр российских программ для электронных вычислительных машин и баз данных, что позволяет использовать его в организациях, реализующих программу импортозамещения в области ИБ-решений.

Функциональность, позволяющая решению даже без доступа к исходному коду приложений проверять их на наличие ошибок и уязвимостей методом статического анализа, делает Solar inCode, по мнению разработчика, оптимальным инструментом для контроля защищенности унаследованного и стороннего ПО. Также в число преимуществ решения входят широкий список детектируемых уязвимостей, низкий процент ложных срабатываний и поддержка большинства современных языков программирования.

Выпуск версии 2.9

25 июня 2018 года компания Solar Security сообщила о выходе очередной версии Solar inCode, решения для контроля защищенности исходного кода.

Список языков программирования, который распознает и анализирует Solar inCode 2.9, пополнился за счет Groovy и Kotlin. При этом анализ приложений, написанных на Kotlin, возможен даже без доступа к их исходному коду.

«
При формировании дорожной карты развития продукта очень важно следить за тенденциями в разработке ПО. Одни языки постепенно уходят в прошлое, другие приходят на их место, и мы должны оперативно реагировать на потребности рынка. Groovy и Kotlin – языки разработки приложений, которые сейчас оказались в тренде и продолжают набирать популярность, поэтому мы включили их в Solar inCode 2.9. В прошлой версии была реализована поддержка языка Go, и в нынешнем релизе эта функциональность также была улучшена благодаря существенному расширению базы правил поиска уязвимостей.
Даниил Чернов, руководитель направления Solar inCode компании «Ростелеком-Solar»
»

Архитектура Solar inCode
Архитектура Solar inCode

Еще один стратегический вектор развития Solar inCode – поддержка процессов непрерывной интеграции и жизненного цикла безопасной разработки приложений. В рамках развития данного направления в Solar inCode 2.9 была реализована возможность инкрементального анализа. Благодаря этому при сравнении разных сборок приложения разработчики смогут сканировать только ту часть кода, которая была добавлена в последней версии. Аналогично, в отчеты Solar inCode 2.9 теперь можно включать только те уязвимости, которые ранее не были обнаружены в данном ПО. Кроме того, при необходимости можно исключать из сканирования стандартные библиотеки, проверяя на ошибки и потенциальный уязвимости только собственный код.

В дополнение к классификациям OWASP Mobile Top 10 2016, OWASP Top 10 2017, PCI DSS и HIPAA Solar inCode 2.9 позволяет ранжировать найденные уязвимости в соответствии с CWE/SANS Top 25. Также данная версия содержит дополнительные правила поиска уязвимостей для поддерживаемых языков программирования, а также улучшенные, более детальные описания уязвимостей.

Выпуск версии 2.8

Компания Solar Security 19 апреля 2018 года выпустила обновление решения для проверки безопасности приложений Solar inCode 2.8 с поддержкой языка программирования Go, также известного как Golang.

«
Поддержка Go — это функциональность, которая была включена в дорожную карту развития продукта вследствие большого количества соответствующих запросов от заказчиков. Учитывая то, какими темпами этот язык набирает популярность, думаю, мы будем углублять его поддержку в последующих версиях Solar inCode, — сообщил Даниил Чернов, руководитель направления Solar inCode компании Solar Security.
»

С первых версий Solar inCode поддерживает инструменты непрерывной интеграции (Continuous Integration) и безопасной разработки приложений (SDLC), позволяющие автоматизировать данные процессы. В рамках развития этого направления в Solar inCode 2.8 была встроена поддержка TeamCity, популярного сервера непрерывной интеграции.

Еще одним шагом в направлении бесшовной интеграции в SDLC стала поддержка JSON API, реализованная в дополнение к Command Line Interface. Эта функциональность позволит встраивать Solar inCode в ряд внешних систем, используемых в рамках процесса безопасной разработки.

В совокупности это позволит наладить непрерывный процесс контроля качества, автоматизировать проверку защищенности сборок ПО и сократить временные затраты на процесс целиком, считают в Solar Security.

Кроме того, в Solar inCode 2.8 расширен список правил поиска уязвимостей, а также добавлены их расширенные описания, которые помогут пользователям, не имеющим глубокой технической экспертизы, корректно интерпретировать данные отчетов.

Выпуск версии 2.7

1 февраля 2018 года компания Solar Security сообщила о выпуске очередной версии решения Solar inCode с поддержкой статического анализа кода бинарных файлов для mac OS.

Отличием Solar inCode является возможность статического анализа исполняемых с автоматическим восстановлением высокоуровневого кода (.apk-, .jar-, .war-, .ipa-, .exe- и .dll-файлы). В целях усиления данного отличия в версии Solar inCode 2.7 реализован модуль анализа исполняемых файлов приложений для операционной системы macOS (расширение .app).

«
«Семейство операционных систем macOS – второе по распространенности для десктопов после Windows, поэтому статический анализ бинарных файлов для ОС от Apple – важный шаг в развитии продукта. В ближайших версиях Solar inCode мы планируем сфокусироваться на дальнейшем развитии этой функциональности».
»

Еще одно отличие Solar inCode – простой и удобный интерфейс. Благодаря продуманной логике взаимодействия с пользователем он интуитивно понятен и не требует дополнительного времени на изучение. Запуск сканирования осуществляется в два клика, а визуальное представление отчетов реализовано так, чтобы они были информативными и для пользователя без навыков программной разработки.

«
«Самый удобный интерфейс нуждается в постоянном развитии – как с точки зрения графического дизайна, так и с позиций эргономики и просто соответствия последним тенденциям в этой области. Поэтому мы внесли в интерфейс Solar inCode 2.7 ряд изменений, доработав визуальное решение страниц проектов и результатов, кнопки быстрых действий, добавив индикатор выполнения сканирования».
»

Также в версии Solar inCode 2.7 добавлены правила для поиска уязвимостей и улучшены алгоритмы анализа при поиске уязвимостей для языков Java/Scala и Java for Android.

Отчеты о сканированиях можно выгружать в соответствии с классификацией уязвимостей OWASP Top 10 2017. Найденные уязвимости могут быть ранжированы в соответствии с OWASP Mobile Top 10 2016, PCI DSS и HIPAA, что упрощает задачу по соответствию требованиям регуляторов.

2017

Выпуск версии 2.6

Компания Solar Security 17 октября 2017 года представила очередную версию Solar inCode. Ключевым обновлением версии 2.6 стала поддержка языка программирования Solidity, который используется для создания смарт-контрактов, предназначенных для заключения сделок в рамках технологии блокчейн.

«
Смарт-контакты опасны тем, что популярность этих инструментов опережает их защищенность, при том что в случае успешной атаки пользователи могут потерять реальные деньги. Поэтому мы считаем важным быстро адаптировать Solar inCode к изменяющимся потребностям рынка, — подчеркнул Даниил Чернов, руководитель направления Solar inCode компании Solar Security.
»

Кроме того, Solar inCode теперь умеет искать ошибки и уязвимости в HTML5, что позволяет разработчикам быть уверенными не только в современности и удобстве, но и в защищенности создаваемых веб-приложений.

Технология анализа приложений, написанных на C/C++, также была улучшена и доработана. Анализ исходного кода теперь поддерживает сборку проектов с помощью Visual Studio, а база правил поиска уязвимостей была расширена. Также дополнена база правил поиска уязвимостей для языков ABAP и Delphi.

В то же время, в версии 2.6 впервые реализована возможность загружать с локального компьютера проект в виде архива с расширениями .7z, .ear, .aar, .rar, .tar.bz2, .tar.gz, .tar, .cpio. В рамках повышения общего уровня usability интерфейс решения также дополнительно доработан.

Еще одно важное направление — легкое встраивание Solar inCode в процесс безопасной разработки приложений (SDLC) — получило поддержку в виде плагина к серверу непрерывной интеграции Jenkins и возможности отслеживать статус сканирования по электронной почте.

При этом отчеты о сканированиях теперь можно выгружать в соответствии с классификацией уязвимостей по HIPAA — в дополнение к классификациям OWASP Top 10 2013, OWASP Mobile Top 10 2014, OWASP Mobile Top 10 2016 и PCI DSS, что упрощает разработчикам задачу по соответствию нормам и стандартам регуляторов.

Выпуск версии 2.4

12 июля 2017 года компания Solar Security объявила о выходе версии 2.4 сканера кода Solar inCode.

Разработчики усовершенствовали технологии работы с уже поддерживаемыми языками программирования и добавили поддержку новых[1].

В Solar inCode 2.4 расширены базы правил поиска уязвимостей для бинарного кода C/С++ (.exe- и .dll-файлы). Список поддерживаемых языков программирования дополнился Delphi и ABAP (Advanced Business Application Programming), который используется для разработки приложений под платформу SAP. Поддержка ABAP позволит компаниям контролировать уровень защищенности бизнес-приложений SAP. Solar inCode оптимизирован для интеграции в процесс безопасной разработки приложений (SDLC), версия 2.4 помогает заказчикам повысить уровень безопасности приложений под SAP, не меняя привычные процессы разработки и тестирования.

«
Ранние версии продукта поддерживали преимущественно языки разработки мобильных и веб-приложений. Постепенно мы дополняли этот список, чтобы расширить пул решений, с которыми может работать Solar inCode. За такой функциональностью, как возможность сканирования кода на языке ABAP или бинарного кода C/С++ стоят серьезные научно-технические исследования, и мы рады, что они наконец нашли практическое воплощение в Solar inCode.

Даниил Чернов, руководитель направления Solar inCode компании Solar Security
»

Процесс работы решения в рамках SDLC оптимизирован для повышения уровня автоматизации. Solar inCode 2.4 позволяет производить сравнение результатов сканирования и отслеживать количество устраненных уязвимостей. Это упрощает контроль защищенности разрабатываемого ПО и делает работу с Solar inCode удобнее и интуитивно понятнее.

В версии появилась диаграмма распространения данных (трассы) для уязвимостей Java/Scala- и Android-приложений.

Специально для разработчиков мобильных приложений в Solar inCode 2.4 в дополнение к OWASP и PCI DSS реализована возможность выгрузки отчетов согласно классификации уязвимостей OWASP Mobile Top 10 2016.

Интерфейс Solar inCode 2.4 усовершенствован, чтобы процесс работы с продуктом был интуитивно понятным.

«
Solar Security следует идеологии, в соответствии с которой даже самые сложные технологии должны быть представлены пользователям через простые и понятные интерфейсы. Поэтому оптимизация и доработка интерфейса Solar inCode ведутся постоянно, от версии к версии. Нам очень важно, чтобы и разработчик, и безопасник могли с одинаковой легкостью использовать этот инструмент проверки уровня защищенности кода.
»

Solar inCode 2.3

19 апреля 2017 года компания Solar Security заявила о выпуске версии сканера кода Solar inCode 2.3. Основные особенности — «коробочная» интеграция с JIRA, анализ мультиязычных приложений и модуль бинарного анализа приложений на C/C++.

Solar inCode 2.3 выполняет статический анализ .exe- и .dll-файлов, написанных на С/С++ для архитектуры х64 и х86. Эта функциональность Solar inCode 2.3 позволит службе безопасности проверять уровень защищенности используемых в компании приложений без доступа к исходному коду — в случаях с так называемым «унаследованным ПО» или приложениями, разработка которых отдана на аутсорсинг[2].

«
Мы фокусируемся на усилении возможности анализировать приложения без доступа к исходному коду. Очередным шагом в этом направлении стал статический анализ .exe- и .dll-файлов, написанных на С/С++. Мы получали от клиентов много запросов на функциональность, но ввиду специфики языков С/С++ реализовать ее в продукте было достаточно сложно. У нас ушло много времени на исследования и разработку.

Даниил Чернов, руководитель направления Solar inCode компании Solar Security
»

Если в приложении используется несколько языков программирования, Solar inCode 2.3 автоматически определит их и сканирует приложение в обычном режиме. При этом пользователь может выбрать - сканировать приложение целиком или только часть кода на определенном языке.

Solar inCode 2.3 предлагает пользователям коробочную интеграцию с JIRA. После сканирования приложения пользователь может сразу создать задачу по исправлению найденных уязвимостей - через интерфейс Solar inCode.

В этой версии содержится ряд доработок имеющейся функциональности: в Solar inCode 2.3 появились новые описания уязвимостей, правила поиска уязвимостей для поддерживаемых языков программирования. Алгоритмы анализа потоков данных при поиске уязвимостей для языка PHP также дополнительно оптимизированы.

Усовершенствования затронули интерфейс Solar inCode 2.3.

Solar inCode 2.2

7 февраля 2017 года компания Solar Security объявила о выходе версии Solar inCode. Основное усовершенствование в этой версии - модули динамического и интерактивного анализа (DAST/IAST) с двумя режимами работы — fuzzing-методов и fuzzing-запросов.

«
Сейчас, когда продукт вышел на определенный уровень зрелости, мы определяем направления развития, исходя из потребностей наших клиентов. Это касается списка поддерживаемых языков, отчетности, интерфейса, новых технологий и так далее. Несмотря на сложность технологий, лежащих в основе Solar inCode, мы, как и раньше, стремимся сделать использование продукта простым и понятным, в том числе для сотрудников безопасности, у которых не всегда есть опыт разработки.

Даниил Чернов, руководитель направления Solar inCode компании Solar Security
»

В этой версии расширен список поддерживаемых языков программирования:

  • C/C++ (в том числе с использованием OpenMP),
  • Ruby,
  • T-SQL
  • Visual Basic 6.0.

В состав Solar inCode 2.2 вошли правила поиска уязвимостей для языков программирования, поддерживаемых в ранних версиях — Java, Scala, PHP, Objective-C, Java for Android, JavaScript, Swift, Python 2, Python 3, PL/SQL и C# [3].

Solar inCode 2.2 предлагает расширенные возможности анализа iOS-приложений. Поддержка языка программирования Swift 3, интеграция со средой разработки XCode 8 и компилятором Apple Clang 8.0 обеспечивают максимальный охват iOS-приложений, доступных для анализа, подчеркнули в Solar Security. Модуль загрузки iOS-приложений из App Store поддерживает все актуальные версии операционной системы iOS.

Результаты сканирования можно выгружать, приоритизируя уязвимости согласно классификации OWASP Top 10 2013, OWASP Mobile Top 10 2014 или PCI DSS 3.2.

В версии 2.2 разработчики уделили внимание развитию аналитических инструментов. Встроенный модуль межпроектной аналитики позволяет объединять проекты в группы для получения совокупной информации по проектам в рамках группы. Пользователям доступна статистика по количеству операций сканирования, времени сканирования, количеству строк кода, рейтингу безопасности и количеству уязвимостей с выбором уровня критичности. Все показатели могут представляться в виде графиков, отражающих динамику изменений.

С версии 2.2 продукт совместим с операционными системами CentOS и macOS.

2016

Solar inCode SaaS

26 октября 2016 года компания Solar Security объявила о предоставлении выводе Solar inCode в доступ по модели Software-as-a-Service (SaaS).

Solar inCode в облачном формате ориентирован на компании, где потребности в проверке безопасности кода приложений возникают время от времени[4].

Скриншот из презентации Solar inCode, (2015)
Скриншот из презентации Solar inCode, (2015)
«
Solar inCode из "облака" — это, по сути, enterprise-решение в розничной конфигурации. Компании, которым не подходят стандартные лицензии на большое число сканирований, раньше не могли воспользоваться нашим продуктом. Теперь мы готовы предложить Solar inCode и этой категории заказчиков, что позволит популяризовать саму технологию и повысить уровень защищенности российских компаний.

Даниил Чернов, руководитель направления Solar inCode компании Solar Security
»

Solar inCode 2.0 — технология для проверки безопасности приложений методом статического анализа, которое функционирует при наличии у проверяющего исходного кода и при отсутствии доступа к нему. Solar inCode 2.0 помогает выявить уязвимости и незадекларированные возможности в программном обеспечении. Решение способно анализировать наиболее распространенные языки программирования, все мобильные и большинство веб-приложений.

Solar inCode 2.0

Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила летом 2016 года обновление Solar inCode — решения, способного проверять безопасность приложений методом статического анализа даже при отсутствии исходного кода. Solar inCode 2.0 предлагает расширенный список анализируемых языков, интуитивно понятный пользовательский интерфейс, а также оптимизированные технологии выявления уязвимостей и недекларированных возможностей в программном обеспечении.

По словам разработчиков, большое число изменений в данной версии Solar inCode направлено на упрощение логики взаимодействия с пользователем. Дизайн интерфейса был переработан и улучшен так, что интерпретация данных, полученных от Solar inCode, больше не требует от пользователя глубокой технической экспертизы.

В дополнение к языкам программирования Java, Scala, PHP, Objective C, Java for Android, поддержка которых была реализована в первой версии решения, Solar inCode 2.0 теперь анализирует приложения, написанные на JavaScript, Swift, Python 2, Python 3, PL/SQL и C#. Таким образом, решение охватывает наиболее распространенные языки программирования и способно анализировать все мобильные и большинство веб-приложений.

Для упрощения работы в ходе регулярных проверок кода Solar inCode 2.0 позволяет редактировать правила поиска уязвимостей и отмечать ложные срабатывания. Такое обучение позволяет создавать развитые механизмы выявления ложноположительных срабатываний, а также определять новые типы уязвимостей и недекларированных возможностей.

Интерфейс Solar inCode, помимо русского, теперь локализован и на английский язык. Кроме того, в соответствии с пожеланиями пользователей в новой версии добавлена возможность работы через командную строку. Пользователи могут автоматизировать проверку новых сборок ПО и, как следствие, встроить Solar inCode в процесс безопасной разработки (SDLC). Новая версия также позволяет разграничить доступ пользователей к ПО, чтобы каждый разработчик мог контролировать уровень безопасности и наличие ошибок только в своей части проекта.

«В первой версии продукта акцент был сделан на технологиях деобфускации и декомпиляции, а также на системе отчетности с подробными рекомендациями по устранению найденных уязвимостей, — рассказал Чернов Даниил, руководитель направления Solar inCode компании Solar Security. — Вторая версия Solar inCode, помимо инновационных методов анализа ПО, предлагает простой, удобный и понятный интерфейс, что делает решение доступным для максимального числа пользователей и выводит его на новые сегменты рынка».

2015

Релиз Solar inCode

29 октября 2015 года компания Solar Security объявила о выпуске продукта для анализа программного обеспечения.

Анализ приложений проводится методом «белого ящика» и при отсутствии исходного кода. Технологии деобфускации и декомпиляции, реализованные в Solar inCode, позволяют восстановить исходный код с высокой степенью точности, даже если к нему применили обфусцирующие (запутывающие) преобразования. Для повышения качества анализа кода используются четыре различных технологических решения, включая taint-анализ, для снижения количества ложных срабатываний – технологический модуль Fuzzy Logic Engine с авторскими алгоритмами фильтрации уязвимостей.

«Можно сказать, что inCode – это продукт, в котором научная мысль нашла свое достойное техническое воплощение. В команде разработки три кандидата наук, двое из которых защитили свои диссертации по декомпиляции кода, поэтому заложенные в продукт технологии дают принципиально новый уровень его использования: как с точки зрения удобства, так и с точки зрения эффективности оценки защищенности приложений», – отметил Даниил Чернов, руководитель направления inCode компании Solar Security.

Solar inCode создан как инструмент для специалистов по безопасности - продукт выдает детальные рекомендации по настройке наложенных средств защиты (SIEM, WAF, NGFW), блокирующих возможности эксплуатации уязвимостей до их устранения. Для разработчиков же предусмотрены отчеты с описанием выявленных уязвимостей со ссылками на соответствующие участки кода и рекомендации по их устранению путем внесения изменений в код, что существенно упрощает задачи разработки.

На 29 октября 2015 года Solar inCode позволяет анализировать онлайн и мобильные приложения, написанные на самых популярных языках: Java, Scala, PHP, Objective C, Java for Android. В планах по развитию продукта расширение списка анализируемых языков: JavaScript, PL/SQL, и С#.

«За последнее время риски эксплуатации уязвимостей программного кода значительно выросли, – заявил Игорь Ляпунов, генеральный директор Solar Security, – по нашим данным, которые содержат отчеты JSOC, более 60 % успешных кибератак, нацеленных на внешние бизнес-приложения, реализуются через уязвимости в ПО. При том, что тема безопасности приложений достаточно нова, большинство профессионалов в области безопасности понимают, что от качества кода стала напрямую зависеть защищенность информации, денег, а подчас и целых компаний».

Solar inCode

На 29 октября 2015 года Solar inCode - инструмент статического анализа кода, предназначен для выявления уязвимостей и не декларированных возможностей (НДВ) в программном обеспечении.

Примечания



ПРОЕКТЫ (9) ИНТЕГРАТОРЫ (2) СМ. ТАКЖЕ (13)
ОТРАСЛИ (4)


Подрядчики-лидеры по количеству проектов

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

  Oracle (3, 4)
  IBM (2, 3)
  Abbyy Россия (Аби) (2, 2)
  Haulmont (Хоулмонт) (2, 2)
  Диасофт (Diasoft) (2, 2)
  Другие (13, 15)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год

  CUBA.platform - 2 (1, 1)
  Hyperledger Fabric - 2 (2, 0)
  IBM API Connect - 2 (2, 0)
  Java - 2 (2, 0)
  Diasoft MeNext - 2 (1, 1)
  Другие 17