ГК "Астра" внедрила автоматический сканер ошибок и уязвимостей в коде
С помощью сканера ГК "Астра" проверяют исходный код системного и прикладного программного обеспечения, а также серверных и веб-приложений для заказчиков. Для выявления ошибок и уязвимостей служит Solar appScreener.
В ближайшее время анализатор будет встроен в процесс безопасной разработки ПО в качестве автоматизированного решения. Solar appScreener интегрируется с репозиториями, средами разработки, системами отслеживания ошибок и другими средствами, которые используются в ходе создания ПО.
Среди преимуществ Solar appScreener в ГК "Астра" отметили меньшее количество ложных срабатываний по сравнению с другими анализаторами. Чтобы минимизировать их число, в решении реализована собственная запатентованная технология Fuzzy Logic Engine. Кроме того, повысить качество проверки помогают комбинация статического и динамического анализа кода в рамках единого интерфейса Solar appScreener и возможность корреляции их результатов.
Эксперты ГК "Астра" также оценили возможность анализировать код, который написан на интерпретируемых языках программирования. Solar appScreener поддерживает 36 языков программирования, являясь мировым лидером по этому показателю. Решение автоматически определяет язык, на котором написан код, а также умеет анализировать программы, написанные на разных языках.
"При выборе решения для повышения безопасности кода мы тестировали различные продукты, но Solar appScreener показал наиболее высокие результаты, – рассказал Максим Фокин, директор по информационной безопасности ГК "Астра". – Другие инструменты, используемые нами в рамках тестирования, не смогли выявить ряд конструкций, которые обнаружил Solar appScreener".
"Многие компании, которые занимаются разработкой ПО, стали более требовательны к проверке кода на уязвимости. Это необходимо даже на самых ранних стадиях создания продукта, а в идеале – на всех этапах этого цикла в рамках единого автоматизированного процесса, – отмечает Даниил Чернов, директор Центра Solar appScreener компании "РТК-Солар". – Максимально эффективно решать задачи по повышению безопасности ПО помогает использование всех доступных способов анализа кода. Для ИТ-продуктов, которые рекомендованы при работе с персональными данными, объектами КИИ, информацией ограниченного доступа, это критически важно".