Вышел Solar appScreener с корреляцией результатов SAST и DAST

Екатерина Быстрова 07 Декабря 2022 - 21:53

Корпорации

ГК «Солар»

Solar appScreener

Системы для анализа защищенности информационных систем

Средства тестирования на проникновение

Аудит информационной безопасности

Сканеры исходного кода

...

Вышел Solar appScreener с корреляцией результатов SAST и DAST

Компания «РТК-Солар» представила обновление Solar appScreener, комплексного решения для контроля безопасности программного обеспечения и информационных систем. В новой версии появилась возможность корреляции результатов статического анализа кода (SAST) с результатами динамического сканирования (DAST).

Корреляция результатов статического и динамического анализа позволит снизить количество ложных срабатываний. Благодаря этому внимание пользователей будет сконцентрировано в первую очередь на тех уязвимостях и НДВ, которые подтверждены, и устранение которых является задачей первого приоритета.

В версии Solar appScreener 3.12 в дополнение к статическому анализу кода (SAST) реализована возможность провести динамическое сканирование (DAST) приложения. При динамическом анализе происходит выявление уязвимостей через эмуляцию внешних атак. По ответу от приложения система делает вывод, есть ли в нем уязвимости. При статическом анализе не происходит выполнения программы, а анализируется весь ее код. Преимуществом метода является покрытие большего количества уязвимостей.

Для проверки приложения в Solar appScreener 3.12 достаточно указать URL приложения и запустить сканирование. По результатам корреляции результатов двух методов анализа пользователь Solar appScreener 3.12 предоставляет единый отчет. В нем отражены уязвимости и НДВ, обнаруженные с помощью статического анализа кода, и отдельно выделены те из них, которые были подтверждены динамическим тестированием приложения. Отчет, как и прежде, содержит подробные рекомендации по устранению выявленных ошибок и повышению безопасности тестируемого ПО.

Даниил Чернов, директор центра Solar appScreener компании «РТК-Солар»: «Ранее специалисты по безопасности ПО вынуждены вручную сопоставлять результаты сканирования, проведенные с помощью отдельных SAST и DAST-решений. Разработав алгоритмы корреляции результатов двух методов анализа, нам удалось снизить количество ложных срабатываний и достичь более точных результатов поиска уязвимостей и НДВ. Это позволит значительно сократить время обработки результатов анализа уязвимостей, полученных из двух различных инструментов SAST и DAST, благодаря чему — снизить нагрузку на специалистов, отвечающих за безопасность приложений и информационных систем. В будущем мы планируем развивать модуль корреляции, добавляя другие технологии, что позволит еще более эффективно выявлять уязвимости в ПО».

В новой версии Solar appScreener внесен целый ряд изменений для повышения удобства пользователей при работе с анализатором. В частности, в интерфейсе теперь отображается процесс загрузки файлов на анализ, что позволит избежать ошибок при загрузке больших проектов. Кроме того, улучшена работа с группами уязвимостей, благодаря чему пользователь может выбрать любые уязвимости в списке и изменить статус/критичность или оставить комментарий для всей группы. Дополнительно была оптимизирована работа с приватными репозиториями благодаря интеграции при помощи авторотационных токенов и SSH-ключей из интерфейса SolarappScreener.

В обновлении изменилась логика работы с шаблонами экспорта отчета. В системе появилась возможность создать глобальный шаблон, не привязанный к определенному проекту. Начиная с Solar appScreener 3.12 пользователи смогут запускать сканирование по расписанию и настраивать автоматическую отправку отчетов, указав адреса конкретных получателей.

Сегодня Solar appScreener поддерживает 36 языков программирования и 9 форматов исполняемых файлов и является мировым лидером по этому показателю. В новой версии решения были добавлены новые паттерны поиска уязвимостей для поддерживаемых языков программирования, расширена база правил для Android, улучшен taint-анализ для Python и поддержка проектов на Java 17. Кроме этого, добавлена возможность сканирования только по исходному коду приложения на Java и появилась поддержка фреймворка Symphony языка PHP.

На днях Anti-Malware.ru поговорил с Даниилом Черновым о новой версии Solar appScreener, ставшей самым ожидаемым релизом, невероятном скачке российского рынка, собственном патентованном ядре Fuzzy Logic Engine и корреляции данных анализа SAST и DAST.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 21 Мая 2026 - 10:37

GenAI (генеративный искусственный интеллект) Корпорации

ИИ-бум ударил по телеком-оборудованию: вендорам не хватает комплектующих

Вендоры сетевого оборудования во всём мире, включая российских производителей, столкнулись с дефицитом ключевых компонентов. Речь идёт о специализированных процессорах, модулях памяти, накопителях, лазерах и других оптических элементах. Это приводит к росту цен и увеличению сроков поставок.

Как сообщают «Известия» со ссылкой на производителей сетевого оборудования, одной из прямых причин дефицита стал продолжающийся мировой бум строительства центров обработки данных для инфраструктуры сервисов с искусственным интеллектом (ИИ).

Как отметил генеральный директор «Иртея» Дмитрий Лаконцев, из-за этого сроки доставки комплектующих в Россию достигли полугода.

Эксперты, опрошенные изданием, отмечают, что ИИ-бум в США и Китае привёл к активной скупке процессоров, в том числе специализированных, памяти и устройств хранения по всему миру. Такая ситуация наблюдается с осени 2025 года и, по мнению аналитиков, продлится как минимум до конца 2027-го. В последнее время возник также дефицит лазеров.

«Многие ИИ-центры обработки данных — распределённые объекты, поэтому для их работы требуется большое количество оборудования передачи данных с использованием лазерных технологий DWDM, и в мире возник дефицит лазеров. Всё это приводит к недостатку серверов и телеком-оборудования, а также к росту цен на них», – рассказывает партнёр ComNews Research Леонид Коник.

По мнению эксперта НТИ по беспроводной связи Олега Яблокова, текущая ситуация сильнее всего сказывается на производителях базовых станций, транспортного и коммутационного оборудования для магистральных сетей. В таких устройствах особенно высока доля зарубежных и узкоспециализированных компонентов.

Как заявил Дмитрий Лаконцев, стоимость оборудования уже выросла в среднем на 20%. Технический директор РТК-ЦОД Алексей Забродин оценил рост цен на оборудование в 30% с начала года и в два раза в годовом выражении. В «Вымпелкоме» также согласились с тем, что цены на оборудование растут.

При этом, как отметил генеральный директор оператора ЕСК Алхас Мирзабеков, укрепление рубля не повлияло на ситуацию с ценами на оборудование. По его мнению, говорить о полноценном дефиците комплектующих пока преждевременно, однако нехватка ряда компонентов действительно наблюдается. Наиболее проблемным сегментом Алхас Мирзабеков назвал системы хранения данных, используемые в облачных сервисах.

«В перспективе это может негативно сказаться на модернизации и строительстве сетей. Недостаток оборудования не позволит операторам полноценно развиваться, что повлияет на качество связи», – делает вывод Мирзабеков. По его оценке, наиболее остро эти сложности скажутся на крупных операторах.

По оценке Леонида Коника, некоторые российские компании, выигравшие тендеры на поставку оборудования летом и осенью 2025 года, сейчас не способны выполнить обязательства по зафиксированной цене. Это может привести к тому, что крупные компании начнут отказываться от строительства и расширения собственных корпоративных ЦОД и переходить к использованию коммерческих площадок. Такой подход позволит снизить издержки, однако не даст оптимизировать использование коммуникационного оборудования, что может сказаться на развитии сетей.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!