Сканеры программного кода

2020. Github запустил бесплатный поиск ошибок в ПО



Крупнейший в мире хостинг ИТ-проектов Github запустил бесплатный сервис по выявлению уязвимостей в исходном коде программ. Инструмент, получивший название “Code scanning” («Сканирование кода»), функционирует на базе движка для семантического анализа кода CodeQL. Сервис автоматически сканирует каждый запрос на включение кода в репозиторий (pull-запроса) на основании преднастроенных шаблонов. Эти шаблоны содержат описания типовых ошибок, совершаемых программистами. В системе их на данный момент более 2 тыс., и пользователи сервиса могут добавлять свои собственные шаблоны. Инструмент доступен бесплатно для использования с общедоступными репозиториями.


2018. «Конфидент» разработал «песочницу» для СЗИ Dallas Lock 8.0

Центр защиты информации ГК «Конфидент» разработал Безопасную среду в составе СЗИ Dallas Lock 8.0. «Безопасная среда», или «песочница» - это среда для безопасного исполнения приложений, в которую можно поместить любое потенциально опасное, «воспламеняющееся» ПО и безопасно наблюдать за его действиями. Вы можете запустить любое программное обеспечение и протестировать его в изолированной, защищённой среде. Ресурсы операционной системы, при этом, будут в безопасности. Безопасная среда теперь будет входить в состав СЗИ Dallas Lock 8.0 и являться частью модуля Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock. В основе «песочницы» лежат технологии частичной виртуализации, позволяющие виртуализировать файловую систему и системный реестр ОС Windows.


2018. «Ростелеком-Solar» впустила новую версию Solar inCode с возможностью инкрементального анализа

«Ростелеком-Solar», провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью, объявила о выходе новой версии Solar inCode, решения для контроля защищенности исходного кода. Список языков программирования, который распознает и анализирует Solar inCode 2.9, пополнился за счет Groovy и Kotlin. При этом анализ приложений, написанных на Kotlin, возможен даже без доступа к их исходному коду. Также, в Solar inCode 2.9 была реализована возможность инкрементального анализа. Благодаря этому при сравнении разных сборок приложения разработчики смогут сканировать только ту часть кода, которая была добавлена в более новой версии. Аналогично, в отчеты Solar inCode 2.9 теперь можно включать только те уязвимости, которые ранее не были обнаружены в данном ПО. Кроме того, при необходимости можно исключать из сканирования стандартные библиотеки, проверяя на ошибки и потенциальный уязвимости только собственный код.

2018. Вышла новая версия Solar inCode с функцией анализа исполняемых файлов для macOS

Solar Security выпустила новую версию решения Solar inCode 2.7 с поддержкой статического анализа кода бинарных файлов для macOS.  В новой версии добавлены новые правила для поиска уязвимостей в коде, а также улучшены алгоритмы анализа при поиске уязвимостей для языков Java/Scala и Java for Android. Отчеты о сканированиях теперь можно выгружать в соответствии с классификацией уязвимостей OWASP Top 10 2017. Кроме того, найденные уязвимости могут быть ранжированы в соответствии с OWASP Mobile Top 10 2016, PCI DSS и HIPAA, что упрощает задачу по соответствию требованиям регуляторов. Главным отличием Solar inCode от конкурирующих решений является возможность статического анализа исполняемых с автоматическим восстановлением высокоуровневого кода. В целях усиления данного конкурентного преимущества в версии Solar inCode 2.7 реализован модуль анализа исполняемых файлов приложений для операционной системы macOS (расширение .app).


2017. «Эшелон» запустил первый в стране лицензированный центр мониторинга по информационной безопасности

Группа компаний «Эшелон» объявила о запуске центра мониторинга и управления информационной безопасностью ((Echelon Security Operation Center, ESOC). Решение первым в России получило соответствующую лицензию ФСТЭК России. Продукт базируется на технических решениях НПО «Эшелон» и накопленном опыте реализации комплексных проектов по информационной безопасности. В основе технической платформы лежат такие ИТ-решения, как SIEM-система «Комрад», система комплексного анализа защищенности «Сканер-ВС», средство анализа безопасности исходного кода AppChecker. Основными услугами ESOC являются непрерывный мониторинг событий информационной безопасности, собираемых с различных объектов ИТ-инфраструктуры заказчиков, контроль защищенности в виде периодических тестов на проникновение, расследование инцидентов и оперативное противодействие компьютерным атакам, а также аудит безопасности кода.


2017. Solar inCode 2.3 получил интеграцию с JIRA и модуль анализа приложений на С/С++

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера кода Solar inCode. Ее основные особенности — «коробочная» интеграция с JIRA, анализ мультиязычных приложений и модуль бинарного анализа приложений на С/С++. Solar inCode способен производить статический анализ на уязвимости и НДВ без доступа к исходному коду приложений. Благодаря собственным исследованиям технологий декомпиляции и деобфускации, Solar inCode 2.3 осуществляет статический анализ .exe- и .dll-файлов, написанных на С/С++ для архитектуры х64 и х86. Эта функциональность Solar inCode 2.3 позволит службе безопасности проверять уровень защищенности используемых в компании приложений даже без доступа к их исходному коду — в случаях с так называемым «унаследованным ПО» или приложениями, разработка которых отдана на аутсорсинг.


2016. Solar inCode для анализа безопасности приложений стал доступен по модели SaaS

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, объявила о начале предоставления решения Solar inCode по модели Software-as-a-Service (SaaS). Первым реселлером облачной версии Solar inCode станет компания Softline. Solar inCode в облачном формате ориентирован на компании, у которых потребность в проверке безопасности кода приложений возникает время от времени. Лицензии на несколько сканирований можно приобрести на сайте Softline. Небольшие вендоры программного обеспечения и компании, использующие заказную работку, могут приобрести лицензии на необходимое число сканирований, через веб-интерфейс загрузить код в «облако» Solar inCode и проверить приложение на наличие уязвимостей и закладок. Интерфейс продукта позволяет управлять сканером в два клика, а интерпретация результатов сканирования не требует от пользователя глубокой технической экспертизы.


2016. Cloud4Y выпустила новое решение для поиска уязвимостей веб-приложений

Компания Cloud4Y анонсировала выход нового продукта — WebGuard Web Application Scanning (WAS) в формате SaaS (программное обеспечение как услуга). Для проверки веб-приложений WAS использует возможности масштабируемости облачной платформы для выполнения поиска, внесения в списки и проверки как отдельных, так и всех веб-приложений компаний. Служба проверки приложений необходима для осуществления анализа индивидуальных веб-приложений и определения уязвимостей, представляющих опасность для баз данных или способных помочь обойти средства управления доступом к приложениям. По словам сотрудников Cloud4Y, проверка веб-приложений является промышленной необходимостью для классификации наиболее критических рисков, с которыми могут сталкиваться компании. В их числе SQL-инъекции, межсайтовый скриптинг (XSS), подделка кросс-сайт запросов (CSRF) и перенаправление URL.


2016. Positive Technologies представил бесплатную утилиту для безопасной разработки



Компания Positive Technologies представила новую бесплатную утилиту Approof для поддержки безопасной разработки. Компании могут использовать Approof для проверки веб-приложений на наличие уязвимых компонентов. Функции утилиты включают в себя обнаружение уязвимостей в сторонних библиотеках, CMS и фреймворках, проверку конфигурации приложения, обнаружение незащищенных чувствительных данных (метаданные репозиториев, ключи шифрования), обнаружение веб-шеллов и вредоносного кода.


2015. Positive Technologies выводит на рынок продукты семейства Application Security

Компания Positive Technologies в конце 2014 г. представила новую линейку продуктов для анализа и защиты мобильных, веб- и ERP-приложений — PT Application Inspector и PT Application Firewall. Решения позволяют обеспечить безопасность систем ДБО и АБС, а также корпоративных приложений и порталов электронного правительства. Особенность нового самообучающегося межсетевого экрана PT AF заключается в том, что он способен устранять угрозы без обновления ПО защищаемого приложения. Механизм виртуальных патчей блокирует атаки через известные уязвимости до того, как будет исправлен небезопасный код. Вместе с системой анализа исходного кода PT AI данная функция обеспечивает непрерывный процесс выявления и блокирования уязвимостей. При этом вместо применения классического сигнатурного метода PT AF анализирует сетевой трафик и системные журналы для создания актуальной модели функционирования приложений и на ее основе выявляет аномальное поведение системы.