Solar appScreener расширил возможности анализа и стал меньше ошибаться

Татьяна Никитина 02 Июля 2024 - 20:45

Корпорации

ГК «Солар»

Solar appScreener

Системы для анализа защищенности информационных систем

Сканеры исходного кода

...

Solar appScreener расширил возможности анализа и стал меньше ошибаться

ГК «Солар» анонсировала выпуск новой версии Solar appScreener — 3.14.9. Добавленный в прошлом году модуль SCA претерпел качественные изменения, снижено число ложных срабатываний, появилась возможность интеграции решений класса ASOC.

Сканер кода также научился комбинировать анализ SCA и SAST для Java, JavaScript, Golang, Python и C# (список языков будет расширяться). В результате вывод с Solar appScreener теперь может содержать не только уязвимости, выявленные в сторонних библиотеках, но также трассировку вызовов этих компонентов, что экономит время на верификацию находок.

У модуля SCA появилась собственная, регулярно обновляемая база уязвимостей. Минимизировать количество ложных срабатываний помогает уникальная технология Fuzzy Logic Engine, позволяющая приоритизировать уязвимости высокой степени риска по EPSS.

«Согласно Linux Foundation, от 70% до 90% современных приложений содержат ПО с открытым исходным кодом, что открывает перед киберпреступниками широкие возможности для атак, — отметил Антон Прокофьев, эксперт «Солара» по контролю безопасности Solar appScreener. — Один из последних ярких примеров — бэкдор в популярной утилите XZ Utils для Linux, который позволяет получить несанкционированный удаленный доступ ко всей системе»,

Арсенал appScreener теперь можно расширить за счет интеграции ASOC-инструментов DefectDojo и AppSecHub и получить еще более полную картину безопасности приложения в одном интерфейсе.

У пользователей появилась опция сборки Java-проектов собственными инструментами, упрощающая автоматизацию безопасной разработки. Добавлены правила поиска уязвимостей для 15 языков программирования (теперь поддерживаются 36), в том числе 1C, PHP и Python.

Ряд нововведений нацелен на повышение удобства использования анализатора:

появились системная роль «Модератор», шаблоны ролей;
в настройки добавлена возможность удаления проектов и сканов вручную;
на этапе предобработки файлов для статического анализа выполняются оптимизация и преобразование в удобный для чтения формат;
технологии анализа сторонних компонентов (SCA, SCS, SAST + SCA, лицензионные риски) объединены в модуль OSA и теперь доступны из единой вкладки в интерфейсе;
реализована поддержка плагинов Jenkins, TeamCity, Azure и CLT для модулей DAST и OSA.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 19 Января 2026 - 20:04

САКУРА Корпорации Сетевая безопасность Системы контроля сетевого доступа Системы защиты от утечек конфиденциальной информации (DLP)Системы мониторинга событий безопасности Системы мониторинга эффективности сотрудников Средства управления информационной безопасностью Системы реагирования и управления инцидентами (IRP) ИТ-Экспертиза (IT-Expertise)

САКУРА 2.37.2 получила поддержку Wayland и Astra Linux МКЦ

Компания «ИТ-Экспертиза» выпустила обновлённую версию программного комплекса информационной безопасности САКУРА 2.37.2. В релизе разработчики сосредоточились на расширении функциональности, повышении стабильности и доработке инструментов контроля рабочих мест.

Одним из ключевых изменений стала поддержка протокола Wayland в Linux. Это расширило список совместимых дистрибутивов и позволило сделать работу агентов более стабильной и менее ресурсоёмкой — что особенно важно для рабочих станций с ограниченными аппаратными возможностями.

Кроме того, агент САКУРА теперь совместим с Astra Linux в режиме мандатного контроля целостности (МКЦ). Благодаря этому программный комплекс можно использовать в средах с повышенными требованиями к безопасности — в том числе в корпоративных и государственных инфраструктурах, где необходим дополнительный уровень защиты.

В системе отчётности появилось небольшое, но практичное улучшение: в отчётах об установленном ПО добавлен фильтр «архивности» рабочих мест. Он позволяет исключать устаревшие или неактуальные данные, упрощая аналитику и помогая точнее оценивать потребности в лицензиях.

Разработчики также поработали над внутренними механизмами. Был повышен надёжность и скорость передачи метрик с агента на сервер, за счёт чего система быстрее реагирует на нарушения и сокращает время между обнаружением проблемы и её устранением. Доработана интеграция с OpenVPN: агент теперь получает имя VPN-пользователя из сертификата, что упрощает управление доступом для удалённых сотрудников и делает его более прозрачным.

Ещё одно заметное изменение касается пользовательских уведомлений. В версии 2.37.2 реализован единый механизм оповещений на рабочих станциях с использованием кросс-платформенного фреймворка Fyne. Это позволило унифицировать внешний вид уведомлений в Windows, macOS и Linux и снизить зависимость от нативных библиотек.

В обновлении также исправлен ряд ошибок. В частности, устранена проблема, из-за которой мог игнорироваться параметр уведомления пользователей при нарушении правил контроля. Исправлены сбои при восстановлении VPN-соединений через КриптоПро NGate, а также некорректное отображение пользовательских уведомлений для собственных правил контроля.

Группа компаний «ИТ-Экспертиза» занимается разработкой и внедрением решений в сфере информационной безопасности, а программный комплекс САКУРА входит в Реестр отечественного ПО. Новый релиз продолжает развитие продукта в сторону более гибкой работы с Linux-средами, удалённым доступом и высокозащищёнными ИТ-ландшафтами.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »