Подписаться
Читать в телеграм
В обновлении представлена функциональность экспериментального анализа, позволяющая пользователям системы опробовать в действии последние возможности обнаружения уязвимостей в коде, находящиеся в проработке у разработчиков системы.
Также расширена поддержка языков программирования за счет анализа приложений на LotusScript, а в интерфейсе анализатора появился информационный уровень критичности уязвимостей.
«Для быстрой доставки технологических инноваций пользователям в Solar appScreener 3.8 был добавлен режим анализа приложений, написанных на языках Java, Scala и Kotlin. В его основе лежит сложный математический алгоритм, позволяющий увеличить точность и количество получаемых результатов при сканировании кода. Чтобы активировать эту функцию при анализе, необходимо выбрать соответствующий параметр в интерфейсе. При этом нашим клиентам гарантировано сохранение наработанной годами стабильности функционирования системы: если экспериментальный режим анализа пользователю не нужен, он может его не использовать и продолжать работать в прежнем режиме».
Даниил Чернов,
директор Центра решений безопасности ПО компании «Ростелеком-Солар»
В данной версии разработчики «Ростелеком-Солар» расширили набор языков программирования, добавив объектно-ориентированный язык LotusScript, на базе которого функционируют многие системы IBM и HCL. Этот язык применяется в разработке в Европе и США для создания приложений семейства Lotus – систем автоматизации бизнес-процессов, групповой деятельности в компаниях (корпоративная почта, чаты, мессенджеры и т.п.) Поддержка LotusScript реализована для расширения горизонтов развития продукта на международных рынках. На январь 2021 года в активе Solar appScreener уже 35 языков.
Значимым изменением версии стало появление в системе классификации уязвимостей информационного уровня критичности. Параметр является показателем некачественного кода, который пока уязвимостью не является, но в перспективе, в случае его модификации, в приложении могут образовываться бреши. В более ранних версиях системы информацию об этом можно было найти в разделе «Уязвимости с низким уровнем критичности». Начиная с Solar appScreener 3.8 данные вынесены в отдельный информационный блок и больше не влияют на общий рейтинг безопасности приложения.
Вместе с тем у пользователей данной версии появилась возможность самостоятельно создавать в интерфейсе системы карточки с правилами поиска уязвимостей. Данная функциональность особенно востребована компаниями, которые внедрили у себя процесс безопасной разработки на базе Solar appScreener. Например, с помощью собственных правил можно обнаруживать в коде разрабатываемых приложений признаки, указывающие на возможность осуществления технического фрода в системе.
Теперь пользователь может самостоятельно создать карточку с описанием, примерами и рекомендациями по устранению уязвимости, а затем добавить собственные паттерны поиска в формате XML. При этом заданные в системе правила отныне будут недоступны для редактирования: ранее изменённые системные правила автоматически преобразуются в пользовательские.
Для соответствия продукта регуляторным требованиям отдельных международных юрисдикций специалисты «Ростелеком-Солар» добавили возможность просмотра пользовательского соглашение (EULA) в любой момент, а не только при первом входе в систему.
