Solar appScreener получил модуль SCA и поддержку классификации OWASP MASVS

Екатерина Быстрова 30 Июня 2023 - 15:08

Малый и средний бизнес

Корпорации

ГК «Солар»

Solar appScreener

Системы для анализа защищенности информационных систем

Сканеры исходного кода

...

Solar appScreener получил модуль SCA и поддержку классификации OWASP MASVS

Статический анализатор кода приложений Solar appScreener, разработанный компанией «РТК-Солар», теперь объединяет в едином интерфейсе три основных вида анализа: SAST, DAST и SCA. Это позволяет обеспечить комплексный контроль безопасной разработки приложений.

Особенностью нового модуля SCA является возможность более быстро выявлять и устранять уязвимости. Система автоматически обнаруживает все сторонние компоненты, используя большие базы данных уязвимостей, а также собственный реестр данных, регулярно обновляемый экспертами компании. Применение уникальной технологии Fuzzy Logic Engine помогает минимизировать количество ложных срабатываний.

Директор Центра Solar appScreener компании «РТК-Солар», Даниил Чернов, комментирует:

«Приложения и библиотеки с открытым исходным кодом стали одной из основных угроз в области информационной безопасности. Согласно данным Linux Foundation, от 70% до 90% современных приложений содержат такое ПО, и уязвимости в сторонних компонентах предоставляют злоумышленникам значительные возможности. Примером может служить уязвимость в библиотеке Apache Log4j, используемой в миллионах корпоративных приложений. Также наблюдается увеличение случаев намеренного внедрения вредоносного кода в Open Source. Поэтому очень важно проверять на уязвимости не только собственный код, но и сторонние компоненты».

В новой версии продукта также добавлена поддержка классификации уязвимостей OWASP MASVS и обновлена поддерживаемая версия PCI DSS с 3.2.1 до 4.0. База правил поиска уязвимостей для языков программирования Java и C# значительно расширена, а также добавлены новые паттерны поиска для ряда других языков. В настоящее время Solar appScreener лидирует по количеству поддерживаемых языков, их общее число составляет 36. Сканер автоматически определяет язык программирования и способен анализировать приложения, написанные на нескольких языках одновременно.

Компания также внесла ряд улучшений, направленных на повышение удобства работы пользователя с системой. Теперь при первом входе в систему отображаются интерактивные подсказки. Добавлена возможность управления очередью сканирования, позволяющая задавать приоритеты и отслеживать прогресс сканирования на новой странице раздела «Проекты». Была упрощена работа офицеров безопасности компаний, внедряющих Solar appScreener в процессы безопасной разработки, с возможностью автоматического создания задач в Jira на основе результатов сканирования.

Также были внесены изменения в логику работы с пользователями протокола LDAP, что облегчило процесс контроля доступа к системе для сотрудников, подключающихся через данный протокол. Теперь также возможно отслеживать количество пользователей, соответствующих лицензии, в рамках данного протокола.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 07 Октября 2025 - 09:10

Мошенничество Онлайн-мошенничество Домашние пользователи F6

F6 выявила сеть мошеннических ресурсов по продаже ветпрепаратов

Компания F6 выявила сеть из 20 телеграм-каналов и фейковый сайт ветеринарной клиники. Мошенники обманывали владельцев домашних животных, предлагая по 100% предоплате поставки импортных ветеринарных препаратов, ставших дефицитом из-за санкций.

По данным F6, злоумышленники действуют под брендом «Зооаптека PRO». Их схема работает с мая, однако, как сообщает ТАСС, первые жалобы от пострадавших появились ещё в апреле.

Чаще всего мошенники предлагают купить препараты против блох и клещей – «Бравекто», «Симпарику», «Апоквел», NexGard. Эти средства стали труднодоступными после введения санкций, а указанные цены близки к рыночным, что делает предложения правдоподобными.

Как отмечают в F6, сайт и телеграм-каналы злоумышленников индексируются в российских поисковиках. Кроме того, создан отдельный канал с поддельными положительными отзывами, где нельзя оставлять комментарии. При этом в компании уточняют, что до конца не установили, каким именно образом мошенники привлекают новых жертв.

Заказы принимаются через аккаунт «менеджера» в одном из телеграм-каналов. Реквизиты для оплаты постоянно меняются, а от покупателей требуют полную предоплату. После этого с клиентом связывается «логист».

Если человек требует вернуть деньги, запускается второй этап атаки: жертву направляют на сайт-двойник банка и просят заполнить форму с полными платёжными реквизитами. В результате средства списываются повторно. Средний ущерб от одной «покупки» составляет 7–10 тысяч рублей.

Мошеннические схемы с предоплатой применяются уже не первый год. Так, осенью 2020 года фиксировалась волна атак с использованием клонов сайта ЦИАН. В 2025 году подобные схемы применялись при сборе предзаказов на новинки Apple, продаже «горящих» туров и мошенничестве вокруг обхода утильсбора на автомобили.