Вышел Solar appScreener 3.5 c поддержкой языка программирования Rust

Олег Иванов 23 Апреля 2020 - 18:52

Системы для анализа защищенности информационных систем

...

Вышел Solar appScreener 3.5 c поддержкой языка программирования Rust

Компания «Ростелеком-Солар» выпустила новую версию анализатора защищенности приложений Solar appScreener 3.5. В версии реализована поддержка набирающего популярность языка программирования Rust, а также интеграция с системой управления версиями Subversion.

Rust – язык программирования общего назначения, используемый для разработки разного рода внутренних систем, а также для системного программирования, в частности для создания ядер операционных систем. В стабильной версии язык существует с 2015 года и стремительно набирает популярность в среде разработчиков. На сегодняшний день Solar appScreener является единственной системой анализа кода на уязвимости, в которой реализована поддержка языка Rust.

«Этот язык сопоставим с С++ по возможностям, но при этом превосходит его с точки зрения безопасности. В нем лучше реализованы различные механизмы ограничения, в частности, при работе с памятью. Rust – достаточно молодой язык, однако в последнее время мы получали все больше запросов от наших заказчиков на его поддержку, поэтому и реализовали эту возможность в новой версии», – подчеркнул Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар».

Solar appScreener 3.5 поддерживает интеграцию с Subversion – системой управления версиями в разработке, второй по популярности после Git. Subversion, в отличие от Git, является свободным ПО, за счет чего приобрела популярность среди разработчиков. Новая версия Solar appScreener позволяет запустить анализ кода приложения непосредственно по ссылке на репозиторий Subversion.

Кроме того, в версии 3.5 реализована экспериментальная поддержка базы данных PostgreSQL, которую в последующих версиях планируется перевести в стадию промышленной эксплуатации. Также теперь можно установить анализатор на ОС Astra Linux SE, сертифицированную СЗИ ФСТЭК России. Обе эти новые возможности ориентированы прежде всего на удовлетворение бизнес-потребностей компаний государственной сферы.

Новую версию отличает и ряд заметных улучшений, направленных на повышение удобства использования анализатора. Так, теперь язык интерфейса Solar appScreener определяется автоматически в зависимости от языка анализируемой системы и нет необходимости переключаться между языками вручную.

Значительные изменения коснулись анализа конфигурационных файлов. В предыдущих версиях системы эти файлы сканировались в общем потоке, и отдельная статистика по ним не отображалась. Начиная с версии 3.5 конфигурационные файлы выведены в отдельные настройки. В подробных результатах сканирования появилась возможность применить фильтр по уязвимостям в конфигурационных файлах. А в мультиязыковом приложении результаты сканирований конфигурационных файлов сразу же группируются по языкам – их просмотр стал гораздо удобнее.

Часто при сканировании кода возникает необходимость исключить из проверки сторонние библиотеки. В Solar appScreener давно существует возможность отключения анализа заимствованных компонент – в новой же версии существенно расширен набор библиотек, определяемых анализатором как сторонние.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 21:02

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Лаборатория Касперского

Мошенники угоняют аккаунты Telegram с помощью встроенных приложений

Специалисты «Лаборатории Касперского» выявили новую схему массового угона телеграм-аккаунтов. Авторы атак используют встроенные в мессенджер вредоносные приложения, собирающие коды аутентификации на вход с нового устройства.

Мошеннические сообщения-приманки, как правило, распространяются в многолюдных группах. Получателей извещают о переносе чата из-за потери доступа к админ-аккаунту.

Ложное уведомление содержит ссылку «Перейти в новосозданный чат». При ее активации открывается окно встроенной телеграм-проги с полем для ввода пятизначного кода.

Если пользователь выполнит это действие, в его аккаунт будет добавлено устройство злоумышленников, и они смогут продолжить провокационные рассылки — уже от имени жертвы.

Эксперты не преминули отметить, что обманом полученный доступ к учетной записи Telegram будет вначале ограниченным: мошенники сразу не смогут изучить всю переписку жертвы и заблокировать его устройства. Эти возможности появятся позже, как и блокировка законного владельца аккаунта.

Характерной особенностью данной схемы является иллюзия легитимности: фишинговые ресурсы не используются, мошенническая ссылка привязана к Telegram и ведет в приложение в этом мессенджере. Известие о пересоздании чата тоже вряд ли вызовет подозрения из-за участившихся взломов.

По данным Kaspersky, вредоносные приложения, нацеленные на сбор кодов верификации, объявились в Telegram в конце прошлой недели. Если жертва будет действовать быстро, она сможет вернуть контроль над учётной записью через настройки мессенджера (=> «Конфиденциальность» => «Активные сессии» => «Завершить все другие сеансы»).

«Аккаунты в популярных мессенджерах остаются лакомым куском для злоумышленников, — комментирует Сергей Голованов, главный эксперт ИБ-компании. — Мы напоминаем о необходимости быть крайне внимательными, не переходить по подозрительным ссылкам и ни при каких условиях нигде не вводить код аутентификации, полученный от Telegram, а также устанавливать на все используемые устройства надёжные защитные решения».

Отметим, похожую схему угона телеграм-аккаунтов, тоже с использованием легитимной функциональности мессенджера и социальной инженерии, недавно обнародовала CYFIRMA. Выявленный метод тоже не предполагает взлома, обхода шифрования либо эксплойта уязвимостей; умело спровоцированный юзер сам выдает разрешение на доступ к его учетной записи.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »