Solar appScreener

Solar appScreener (ранее — Solar inCode) — статический анализатор кода приложений на наличие уязвимостей и недекларированных возможностей (НДВ). Его отличительной особенностью является возможность статического анализа не только исходного кода, но и исполняемых файлов, т.е. представленных в бинарном виде. Это обеспечивает более качественные результаты, чем в случае использования динамического анализа (DAST).

Solar appScreener состоит из двух основных частей: системы анализа, обрабатывающей исходный и бинарный коды, и системы отчетности, предоставляющей рекомендации по устранению уязвимостей и НДВ, а также настройке WAF. Возможности по интеграции с IDE, серверами CI/CD и системами отслеживания ошибок позволяют оперативно устранять найденные уязвимости и НДВ, обеспечивая Secure SDLC.
 
Поддерживается анализ приложений, написанных на 31 языке программирования или скомпилированных в одном из 9 различных форматов исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Проверка кода мобильных приложений может осуществляться простым копированием в меню анализатора ссылки на них в магазинах Google Play или App Store.
В основе системы статического анализа Solar appScreener лежат 10 методов статического анализа, технологии анализа исполняемых файлов на основе деобфускации и декомпиляции, а также собственная технология Fuzzy Logic Engine для снижения числа ложных срабатываний (false positive) и пропуска уязвимостей (false negative).
 
Система отчетности Solar appScreener позволяет получать рекомендации в формате как для службы ИБ, так и команды разработки:
  1. отчетность в формате разработки содержит детальные описания уязвимостей и НДВ, ссылки на содержащие их участки, а также рекомендации по их устранению путем внесения изменений в код;
  2. отчетность в формате ИБ представляет собой детальные рекомендации по устранению уязвимостей и НДВ с описанием способов их эксплуатации. Также данный формат содержит детальные рекомендации по настройке WAF, что позволяет заблокировать возможность эксплуатации уязвимостей в приложениях во время исправления кода.
Возможности
  • Анализ исходного кода
  • Анализ исполняемых файлов
  • Выявление уязвимостей
  • Проверка унаследованного и заказного ПО
  • Выявление недекларированных возможностей
  • Сравнение результатов проверок
  • Построение отчетов
  • Разграничение прав разработчиков
  • Подготовка рекомендаций для разработчиков
  • Подготовка рекомендаций для офицеров безопасности
  • Работа с системами отслеживания ошибок
  • Интеграция в процесс разработки
 
ПРЕИМУЩЕСТВА
  • Статический анализ бинарного кода
  • Анализ 31 языка программирования
  • 10+ методов статического анализа
  • Подробные рекомендации
  • Сложные правила поиска
  • Быстрый запуск сканирования
  • Современный графический интерфейс
  • Не требует опыта разработки
  • Широкий охват и высокая скорость
  • Низкий процент ложных срабатываний
  • Легкая интеграция в SDLC
  • Сертификат ФСТЭК России
  • Отечественное ПО