По оценке регуляторов и экспертов ИБ, в настоящее время атаки на цепочку поставок являются одним из самых популярных векторов атак. Добавление модуля анализа безопасности цепочки поставок ПО (Supply Chain Security, SCS) в комплексное решение Solar appScreener позволяет обеспечить проактивную защиту кода.
Новый модуль SCS позволяет проводить анализ компонентов безопасности на всех этапах пути, по которому ПО попадает в организацию, от момента их создания или покупки обновлений до этапа использования. Специалисты ГК «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) с применением инструментов искусственного интеллекта анализируют данные из открытых источников и прогнозируют риски, связанные с авторством сторонних компонентов.
Анализ supply chain позволяет проверять уровень доверия к используемым внешним компонентам на основе 8 метрик (репутация автора, активность сообщества, внимание к безопасности и др.), а также выдавать на основе этих метрик рейтинг безопасности используемой библиотеки.
- Как правило, анализ каждого стороннего компонента специалистами по ИБ проводится вручную или с применением инструментов анализа состава сторонних компонентов (Software Composition Analysis, SCA). Внедрение метода SCS существенно оптимизирует данный процесс. Применение технологии анализа безопасности цепочки поставок в составе комплексного продукта Solar appScreener позволяет проводить сканирование SBOM-файлов и получать общий рейтинг доверия к компонентам. На основе этого рейтинга принимается решение о запрете или разрешении использования компонента в разработке, — говорит Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».
С добавлением нового модуля расширился и уже существующий функционал продукта Solar appScreener, который является единственным на российском рынке решением, объединяющим в едином интерфейсе три ключевые виды анализа – статический (SAST), динамический (DAST) и анализ состава ПО (SCA), обеспечивающие комплексный контроль безопасной разработки приложений.
В обновленной версии модуль SCA дополнили анализом лицензионных рисков, позволяющим не только узнать, какие уязвимости есть в сторонней библиотеке, но и понять, можно ли ее использовать в соответствии с ее лицензионной политикой.
В модуль SAST добавили более 100 новых правил поиска уязвимостей, а также статистику по классификациям безопасности. Теперь информация о нарушенных пунктах международных и отечественных стандартов представлена в наглядном формате на странице «Обзор» проведенного сканирования.
А в модуле DAST появились новый метод авторизации через заголовки, а также возможность выбора режима сканирования, позволяющая настраивать агрессивность атак в один клик в зависимости от целей сканирования.
Кроме того, Solar appScreener можно развернуть как на собственных вычислительных мощностях организации, так и использовать его как услугу из облака по модели SaaS.
