Верхний баннер в шапке

Solar appScreener усилил контроль безопасности приложений модулем анализа безопасности цепочки поставок ПО

09:2804 декабря

По оценке регуляторов и экспертов ИБ, в настоящее время атаки на цепочку поставок являются одним из самых популярных векторов атак. Добавление модуля анализа безопасности цепочки поставок ПО (Supply Chain Security, SCS) в комплексное решение Solar appScreener позволяет обеспечить проактивную защиту кода.


Новый модуль SCS позволяет проводить анализ компонентов безопасности на всех этапах пути, по которому ПО попадает в организацию, от момента их создания или покупки обновлений до этапа использования. Специалисты ГК «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) с применением инструментов искусственного интеллекта анализируют данные из открытых источников и прогнозируют риски, связанные с авторством сторонних компонентов. 


Анализ supply chain позволяет проверять уровень доверия к используемым внешним компонентам на основе 8 метрик (репутация автора, активность сообщества, внимание к безопасности и др.), а также выдавать на основе этих метрик рейтинг безопасности используемой библиотеки.



- Как правило, анализ каждого стороннего компонента специалистами по ИБ проводится вручную или с применением инструментов анализа состава сторонних компонентов (Software Composition Analysis, SCA). Внедрение метода SCS существенно оптимизирует данный процесс. Применение технологии анализа безопасности цепочки поставок в составе комплексного продукта Solar appScreener позволяет проводить сканирование SBOM-файлов и получать общий рейтинг доверия к компонентам. На основе этого рейтинга принимается решение о запрете или разрешении использования компонента в разработке, — говорит Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».



С добавлением нового модуля расширился и уже существующий функционал продукта Solar appScreener, который является единственным на российском рынке решением, объединяющим в едином интерфейсе три ключевые виды анализа – статический (SAST), динамический (DAST) и анализ состава ПО (SCA), обеспечивающие комплексный контроль безопасной разработки приложений.  


В обновленной версии модуль SCA дополнили анализом лицензионных рисков, позволяющим не только узнать, какие уязвимости есть в сторонней библиотеке, но и понять, можно ли ее использовать в соответствии с ее лицензионной политикой.


В модуль SAST добавили более 100 новых правил поиска уязвимостей, а также статистику по классификациям безопасности. Теперь информация о нарушенных пунктах международных и отечественных стандартов представлена в наглядном формате на странице «Обзор» проведенного сканирования.


А в модуле DAST появились новый метод авторизации через заголовки, а также возможность выбора режима сканирования, позволяющая настраивать агрессивность атак в один клик в зависимости от целей сканирования.


Кроме того, Solar appScreener можно развернуть как на собственных вычислительных мощностях организации, так и использовать его как услугу из облака по модели SaaS.

Источник фото:Фото предоставлено компанией
6460