Группа компаний «Солар» представила обновлённую версию платформы Solar appScreener для анализа безопасности кода. В релизе 3.15.5 добавлена поддержка классификации уязвимостей в соответствии с национальным стандартом ГОСТ 71207-2014, который регулирует требования к безопасной разработке.
В стандарте используется понятие «критическая ошибка в программе» — ошибка, которая может привести к нарушению безопасности обрабатываемой информации.
Среди категорий — некорректное использование процедур безопасности, работа с конфиденциальными данными без проверки и другие дефекты, создающие риски.
По данным «Солара», уязвимости встречаются более чем в половине веб-приложений российских компаний. Причём 56% из них относятся к критичным и особо критичным. Чаще всего это недостатки контроля доступа, XSS, слабое шифрование, небезопасное хранение или обработка конфиденциальных данных (например, номеров карт или паролей). В 2024 году такие уязвимости стали причиной примерно 40% инцидентов, связанных с утечками данных.
Новый функционал в Solar appScreener позволяет при сканировании автоматически присваивать каждой найденной уязвимости код и описание класса по ГОСТ. В отчёте также указываются рекомендации по устранению, сроки и возможное влияние на безопасность продукта. Такой подход помогает разработчикам понять критичность проблемы и расставить приоритеты. Поддерживаются правила для языков Java, Scala, Kotlin, Python, C/C++, JavaScript, Go и C#.
Эксперты отмечают, что это упрощает аудит и позволяет выстраивать процесс разработки в соответствии с национальными стандартами информационной безопасности.
Solar appScreener доступен в двух вариантах:
- on-premise — с поддержкой SAST, DAST и OSA, а также комбинированного анализа для снижения числа ложных срабатываний и проверки сторонних компонентов;
- облачный — с модулем SCA для анализа open source-библиотек и зависимостей, проверки лицензионных рисков и оценки качества компонентов, даже если уязвимости пока не обнаружены.
Продукт входит в реестр российского ПО и соответствует актуальным стандартам кибербезопасности.
