Solar appScreener
Solar appScreener (ранее — Solar inCode) — статический анализатор кода приложений на наличие уязвимостей и недекларированных возможностей (НДВ). Его отличительной особенностью является возможность статического анализа не только исходного кода, но и исполняемых файлов, т.е. представленных в бинарном виде. Это обеспечивает более качественные результаты, чем в случае использования динамического анализа (DAST).
Solar appScreener состоит из двух основных частей: системы анализа, обрабатывающей исходный и бинарный коды, и системы отчетности, предоставляющей рекомендации по устранению уязвимостей и НДВ, а также настройке WAF. Возможности по интеграции с IDE, серверами CI/CD и системами отслеживания ошибок позволяют оперативно устранять найденные уязвимости и НДВ, обеспечивая Secure SDLC.
Поддерживается анализ приложений, написанных на 31 языке программирования или скомпилированных в одном из 9 различных форматов исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Проверка кода мобильных приложений может осуществляться простым копированием в меню анализатора ссылки на них в магазинах Google Play или App Store.

В основе системы статического анализа Solar appScreener лежат 10 методов статического анализа, технологии анализа исполняемых файлов на основе деобфускации и декомпиляции, а также собственная технология Fuzzy Logic Engine для снижения числа ложных срабатываний (false positive) и пропуска уязвимостей (false negative).
Система отчетности Solar appScreener позволяет получать рекомендации в формате как для службы ИБ, так и команды разработки:
- отчетность в формате разработки содержит детальные описания уязвимостей и НДВ, ссылки на содержащие их участки, а также рекомендации по их устранению путем внесения изменений в код;
- отчетность в формате ИБ представляет собой детальные рекомендации по устранению уязвимостей и НДВ с описанием способов их эксплуатации. Также данный формат содержит детальные рекомендации по настройке WAF, что позволяет заблокировать возможность эксплуатации уязвимостей в приложениях во время исправления кода.
- Анализ исходного кода
- Анализ исполняемых файлов
- Выявление уязвимостей
- Проверка унаследованного и заказного ПО
- Выявление недекларированных возможностей
- Сравнение результатов проверок
- Построение отчетов
- Разграничение прав разработчиков
- Подготовка рекомендаций для разработчиков
- Подготовка рекомендаций для офицеров безопасности
- Работа с системами отслеживания ошибок
- Интеграция в процесс разработки
ПРЕИМУЩЕСТВА
- Статический анализ бинарного кода
- Анализ 31 языка программирования
- 10+ методов статического анализа
- Подробные рекомендации
- Сложные правила поиска
- Быстрый запуск сканирования
- Современный графический интерфейс
- Не требует опыта разработки
- Широкий охват и высокая скорость
- Низкий процент ложных срабатываний
- Легкая интеграция в SDLC
- Сертификат ФСТЭК России
- Отечественное ПО