Возможности Solar inCode

Solar inCode – инструмент статического анализа кода, предназначенный для выявления уязвимостей информационной безопасности и недекларированных возможностей (НДВ). Основной отличительной чертой продукта является возможность восстанавливать исходный код приложений из рабочего файла с использованием технологии декомпиляции (обратной инженерии).

rights_2.pngСтатический анализ кода

Solar inCode позволяет проводить анализ исходного кода, написанного на следующих языках:

  • Java
  • Scala 
  • Java for Android
  • PHP 
  • Objective-C
  • С#
  • PL/SQL
  • JavaScript
  • Python 2, Python 3
  • Swift
  • T-SQL
  • C/C++
  • Visual Basic 6.0
  • Ruby

Исходный код может загружаться для анализа, как простой загрузкой файлов с исходным кодом в сканер, так и напрямую из репозитория.

В случаях, когда исходный код не доступен, можно загрузить в Solar inCode рабочие файлы приложения: как для web-приложений, так и для мобильных приложений. В частности, для мобильных приложений достаточно просто скопировать в сканер ссылку на приложение из Google Play или Apple Store. Приложение будет автоматически скачано, декомпилировано и проверено.

Динамический и интерактивный анализ кодаДинамический и интерактивный анализ кода

Solar inCode 2.2 включает в себя модули динамического и интерактивного анализа (DAST/IAST) с двумя режимами работы – fuzzing-методов и fuzzing-запросов. Совместное использование статического, динамического и интерактивного анализа позволяет добиться более полных результатов проверки на уязвимости, ошибки и закладки в исходном коде приложений.

rights_6.pngПоиск потенциальных НДВ

Поиск недекларированных возможностей является нетривиальной задачей, даже если ее решать в «ручном режиме» в идеальных условиях: когда есть исходный код, подробная документация к нему и большое количество времени. В Solar inCode реализован ряд алгоритмов автоматического поиска НДВ. Эти алгоритмы являются нашей собственной базой знаний и постоянно пополняются. Конечно, нельзя утверждать, что сканер сможет выявить все НДВ в приложении. Но, учитывая, что алгоритм поиска автоматизирован, количество выявляемых НДВ достаточно велико.

Проверяя исходный код с помощью Solar inCode, пользователь имеет возможность редактировать правила поиска уязвимостей и отмечать ложные срабатывания. В ходе такого обучения системы, удаётся создавать развитые механизмы выявления ложноположительных срабатываний, а также определять новые типы уязвимостей и недекларированных возможностей.

partnership.png Рекомендации по настройке наложенных средств защиты

Значительной долей приложений, которые наши клиенты проверяют на наличие уязвимостей, являются web-приложения. Эти приложения находятся на рубеже периметра защиты и как правило в них обрабатывается важная информация, которая привлекает злоумышленников. Риски достаточно велики, но в ряде случаев для устранения обнаруженной в коде уязвимости разработчики называют непреемлемый срок, например в несколько месяцев. Это может быть связано как с ресурсными сложностями разработчиков, так и с объективной необходимостью внести большие архитектурные изменения в код приложения. Определенное количество опасных уязвимостей можно закрыть наложенными средствами защиты, пока не будет исправлен код приложения. Для этого в Solar inCode реализован функционал генерации детальных рекомендаций со скриншотами для настроек ряда уязвимостей наложенными средствами защитами (СЗИ). Этот функционал реализован для многих популярных в России СЗИ, например, Imperva WAF, Cisco, Check Point.

partnership.png Интеграция в разработку

Solar InCode интегрируется с системами непрерывной интеграции (Continuous Integration – CI), позволяя наладить непрерывный процесс контроля качества, снижая временные затраты на контроль качества исходного кода. Кроме этого, Solar InCode помогает автоматизировать проверку новых сборок ПО, и может быть встроен в процесс безопасной разработки (SDLC). Решение позволяет разграничить доступ пользователей к ПО, чтобы каждый разработчик мог контролировать уровень безопасности и наличие ошибок только в своей части проекта.

partnership.png Понятный интерфейс

Интерфейс Solar InCode отличается простотой и удобством, в его основу заложена облегчённая логика взаимодействия с пользователем, не требующая глубоких технических знаний для интерпретации результатов сканирования. На выбор пользователя предлагается русский и английский язык интерфейса. Также поддерживается работа с решением через командную строку.

partnership.png Выгрузка отчетов

Помимо удобного интерфейсного представления результатов, в Solar inCode реализован гибкий функционал генерации отчетов в форматах .pdf, .html, а также в формате системы Solar inView. Отчеты формируются автоматически, а их содержание и наполнение может быть выбрано пользователем.


^ Наверх