Каталог средств защиты информации

Solar appScreener (Solar inCode)

Статический анализатор безопасности приложений, мировой лидер по количеству поддерживаемых языков программирования. Может анализировать исполняемые файлы без debug info и ориентирован на службу ИБ, а не на разработчиков.
image representing a theme in this article Сертификат ФСТЭК № 4007 от 29.08.2018 (до 29.08.2023), техподдержка до 29.08.2033
программный комплекс Solar inCode версии 2.4 - Соответствует требованиям документов: РД НДВ(4), ТУ
Схема сертификации: серия, испытательная лаборатория: АО «Лаборатория ППШ», орган сертификации: АО «НПО «Эшелон», заявитель: ООО «СОЛАР СЕКЬЮРИТИ».


Solar appScreener (Solar inCode) позволяет при отсутствии исходного кода просто загрузить в сканер рабочий файл приложения. Проверка кода мобильных приложений может осуществляться простым копированием в меню сканера ссылки на приложение с Google Play или Apple Store.В случае наличия исходного кода, продукт легко интегрируется с репозиториями.

Solar appScreener (Solar inCode) выдает детальные рекомендации по устранению уязвимостей на русском языке с описанием способов их эксплуатации. Рекомендации делятся на два типа: рекомендации по корректировке исходного кода и рекомендации по настройке компенсирующих мер на средствах SIEM, WAF, FW, NGFW.

Преимущества продукта Solar appScreener (Solar inCode)

  • Не требует исходных кодов для анализа приложений
  • Выдает результаты анализа в формате конкретных рекомендаций по устранению уязвимостей
  • Формирует детальные рекомендации по настройке средств защиты: SIEM, WAF, FW, NGFW
  • Выявляет большее количество уязвимостей за счет наличия различных технологий анализа кода
  • Имеет интуитивно понятный интерфейс – сканирование запускается в два клика
  • Легко интегрируется в процесс безопасной разработки ПО

Проблемы, решаемые Solar appScreener (Solar inCode)

  • Веб-приложения и мобильные приложения доступны внешним пользователям, подразделение ИБ на их защищенность повлиять не может, но в случае инцидентов несет ответственность
  • Сложная коммуникация ИБ и разработки: код для анализа не передается совсем, либо выдается архив, в котором крайне сложно разобраться
  • Долгое устранение ошибок в коде веб-приложений
  • Утечка данных через закладки, оставленные разработчиками в коде приложений, и контроль над приложениями
  • Отсутствие инструмента контроля над безопасностью используемых в компании приложений

Факты о продукте Solar appScreener (Solar inCode)

  • Первый в России инструмент анализа приложений без исходных кодов методом «белого ящика»
  • Технология Fuzzy Logic Engine снижает количество ложных срабатываний
  • Представлен в форматах локальной и облачной версий
  • В составе команды разработки — три кандидата наук, двое из которых защитили диссертации по декомпиляции кода
  • 4 различных технологий анализа кода, включая taint-анализ

Использование Solar appScreener (Solar inCode) необходимо, если в организации

  • Внешним пользователям предоставляются онлайн-сервисы
  • Собственное подразделение разработки или внешние разработчики создают критичные системы и приложения
  • Необходим усиленный контроль над внешней или внутренней разработкой, в том числе, из-за отсутствия доступа к исходным кодам
  • Внедрена методология SDLC: сотрудники службы ИБ принимают участие в приемке кода от разработчиков
  • Есть необходимость соответствовать требованиям стандартов и регуляторов в части анализа программного кода

Источник


Дополнительные связанные ссылки