Вышел Solar appScreener с корреляцией результатов SAST и DAST

Екатерина Быстрова 07 Декабря 2022 - 21:53

Корпорации

ГК «Солар»

Solar appScreener

Системы для анализа защищенности информационных систем

Средства тестирования на проникновение

Аудит информационной безопасности

Сканеры исходного кода

...

Вышел Solar appScreener с корреляцией результатов SAST и DAST

Компания «РТК-Солар» представила обновление Solar appScreener, комплексного решения для контроля безопасности программного обеспечения и информационных систем. В новой версии появилась возможность корреляции результатов статического анализа кода (SAST) с результатами динамического сканирования (DAST).

Корреляция результатов статического и динамического анализа позволит снизить количество ложных срабатываний. Благодаря этому внимание пользователей будет сконцентрировано в первую очередь на тех уязвимостях и НДВ, которые подтверждены, и устранение которых является задачей первого приоритета.

В версии Solar appScreener 3.12 в дополнение к статическому анализу кода (SAST) реализована возможность провести динамическое сканирование (DAST) приложения. При динамическом анализе происходит выявление уязвимостей через эмуляцию внешних атак. По ответу от приложения система делает вывод, есть ли в нем уязвимости. При статическом анализе не происходит выполнения программы, а анализируется весь ее код. Преимуществом метода является покрытие большего количества уязвимостей.

Для проверки приложения в Solar appScreener 3.12 достаточно указать URL приложения и запустить сканирование. По результатам корреляции результатов двух методов анализа пользователь Solar appScreener 3.12 предоставляет единый отчет. В нем отражены уязвимости и НДВ, обнаруженные с помощью статического анализа кода, и отдельно выделены те из них, которые были подтверждены динамическим тестированием приложения. Отчет, как и прежде, содержит подробные рекомендации по устранению выявленных ошибок и повышению безопасности тестируемого ПО.

Даниил Чернов, директор центра Solar appScreener компании «РТК-Солар»: «Ранее специалисты по безопасности ПО вынуждены вручную сопоставлять результаты сканирования, проведенные с помощью отдельных SAST и DAST-решений. Разработав алгоритмы корреляции результатов двух методов анализа, нам удалось снизить количество ложных срабатываний и достичь более точных результатов поиска уязвимостей и НДВ. Это позволит значительно сократить время обработки результатов анализа уязвимостей, полученных из двух различных инструментов SAST и DAST, благодаря чему — снизить нагрузку на специалистов, отвечающих за безопасность приложений и информационных систем. В будущем мы планируем развивать модуль корреляции, добавляя другие технологии, что позволит еще более эффективно выявлять уязвимости в ПО».

В новой версии Solar appScreener внесен целый ряд изменений для повышения удобства пользователей при работе с анализатором. В частности, в интерфейсе теперь отображается процесс загрузки файлов на анализ, что позволит избежать ошибок при загрузке больших проектов. Кроме того, улучшена работа с группами уязвимостей, благодаря чему пользователь может выбрать любые уязвимости в списке и изменить статус/критичность или оставить комментарий для всей группы. Дополнительно была оптимизирована работа с приватными репозиториями благодаря интеграции при помощи авторотационных токенов и SSH-ключей из интерфейса SolarappScreener.

В обновлении изменилась логика работы с шаблонами экспорта отчета. В системе появилась возможность создать глобальный шаблон, не привязанный к определенному проекту. Начиная с Solar appScreener 3.12 пользователи смогут запускать сканирование по расписанию и настраивать автоматическую отправку отчетов, указав адреса конкретных получателей.

Сегодня Solar appScreener поддерживает 36 языков программирования и 9 форматов исполняемых файлов и является мировым лидером по этому показателю. В новой версии решения были добавлены новые паттерны поиска уязвимостей для поддерживаемых языков программирования, расширена база правил для Android, улучшен taint-анализ для Python и поддержка проектов на Java 17. Кроме этого, добавлена возможность сканирования только по исходному коду приложения на Java и появилась поддержка фреймворка Symphony языка PHP.

На днях Anti-Malware.ru поговорил с Даниилом Черновым о новой версии Solar appScreener, ставшей самым ожидаемым релизом, невероятном скачке российского рынка, собственном патентованном ядре Fuzzy Logic Engine и корреляции данных анализа SAST и DAST.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Яков Шпунт 25 Марта 2026 - 09:19

Соответствие законодательству РФ Общее

Банкиры против подтверждения операций через MAX

Участники финансового рынка выступили против идеи дублировать подтверждение операций через мессенджер MAX. По их мнению, это приведёт к росту расходов банков, не повысит безопасность транзакций и будет противоречить действующим требованиям Банка России. Национальный совет финансового рынка (НСФР) направил в ЦБ и правительство письмо с просьбой скорректировать соответствующую норму законопроекта «Антифрод 2.0».

Документ, который оказался в распоряжении «Коммерсанта», предусматривает обязательное подтверждение «значимых» операций сразу двумя способами: через СМС и через мессенджер MAX.

В НСФР считают такую схему избыточной и затратной. Там указывают, что двойное подтверждение в среднем удвоит стоимость уведомлений. Кроме того, в самом законопроекте, как отмечают участники рынка, не определено, какие именно операции следует считать «значимыми».

«При массовых пользовательских сценариях это может привести к многомиллиардным ежегодным дополнительным расходам, снижению рентабельности и росту цен для пользователей», — заявил глава НСФР Андрей Емелин.

Отдельные вопросы у участников рынка вызывает и сама идея опоры на один мессенджер. В НСФР предупреждают, что использование MAX формирует единую точку отказа и в целом повышает риски информационной безопасности. По словам Андрея Емелина, любой серьёзный сбой или атака на MAX может затронуть работу всей финансовой системы. Кроме того, технически отправка односторонних сообщений от юридического лица физическому лицу без предварительного запроса на диалог со стороны клиента сейчас невозможна.

Сбои в работе MAX уже фиксировались. Кроме того, через него оказалось невозможно доставлять пуш-уведомления, что, как ранее сообщалось, мешает использовать мессенджер для экстренного оповещения.

Поэтому представители финансового сообщества предлагают рассмотреть другие способы уведомления клиентов. Одновременно они просят либо закрепить безвозмездное использование MAX для таких целей, либо установить для этого специальный регулируемый тариф.

Опрошенные изданием эксперты в целом согласны с тем, что дублирование подтверждений через MAX не даст заметного прироста безопасности. Как отметил глава правления ассоциации «Финансовые инновации» Роман Прохоров, такая мера также малоэффективна против схем социальной инженерии, которыми пользуются злоумышленники.

«Национальный мессенджер MAX, поскольку он построен по современным принципам сквозного шифрования и жёстко привязан к конкретному экземпляру устройства, надёжнее СМС, хотя уступает по надёжности биометрии или аппаратным ключам», — напоминает председатель Координационного совета негосударственной сферы безопасности РФ Игорь Бедеров.

По оценке ведущего инженера CorpSoft24 Михаила Сергеева, более безопасной альтернативой любым мессенджерам остаются пуш-уведомления в банковских приложениях и TOTP-коды, например в Яндекс ID. Кроме того, такие механизмы не зависят от мобильной сети.

Генеральный директор SafeTech Денис Калемберг, в свою очередь, заявил, что использование мессенджера для подтверждения операций прямо противоречит текущим требованиям ЦБ, которые предполагают применение криптографических средств защиты.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!