Solar appScreener усилил контроль безопасности приложений модулем анализа безопасности цепочки поставок ПО
Дата публикации: 4 декабря 2023 года в 16:37.
Категория: Экономика.
Фото пресс-службы Ростелеком
Новый модуль SCS позволяет проводить анализ компонентов безопасности на всех этапах пути, по которому ПО попадает в организацию, от момента их создания или покупки обновлений до этапа использования. Специалисты ГК «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) с применением инструментов искусственного интеллекта анализируют данные из открытых источников и прогнозируют риски, связанные с авторством сторонних компонентов.
Анализ supply chain позволяет проверять уровень доверия к используемым внешним компонентам на основе 8 метрик (репутация автора, активность сообщества, внимание к безопасности и др.), а также выдавать на основе этих метрик рейтинг безопасности используемой библиотеки.
«Как правило, анализ каждого стороннего компонента специалистами по ИБ проводится вручную или с применением инструментов анализа состава сторонних компонентов (Software Composition Analysis, SCA). Внедрение метода SCS существенно оптимизирует данный процесс. Применение технологии анализа безопасности цепочки поставок в составе комплексного продукта Solar appScreener позволяет проводить сканирование SBOM-файлов и получать общий рейтинг доверия к компонентам. На основе этого рейтинга принимается решение о запрете или разрешении использования компонента в разработке», — говорит Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».
С добавлением нового модуля расширился и уже существующий функционал продукта Solar appScreener, который является единственным на российском рынке решением, объединяющим в едином интерфейсе три ключевые виды анализа – статический (SAST), динамический (DAST) и анализ состава ПО (SCA), обеспечивающие комплексный контроль безопасной разработки приложений.
В обновленной версии модуль SCA дополнили анализом лицензионных рисков, позволяющим не только узнать, какие уязвимости есть в сторонней библиотеке, но и понять, можно ли ее использовать в соответствии с ее лицензионной политикой.
В модуль SAST добавили более 100 новых правил поиска уязвимостей, а также статистику по классификациям безопасности. Теперь информация о нарушенных пунктах международных и отечественных стандартов представлена в наглядном формате на странице «Обзор» проведенного сканирования.
А в модуле DAST появились новый метод авторизации через заголовки, а также возможность выбора режима сканирования, позволяющая настраивать агрессивность атак в один клик в зависимости от целей сканирования.
Кроме того, Solar appScreener можно развернуть как на собственных вычислительных мощностях организации, так и использовать его как услугу из облака по модели SaaS.
Solar appScreener — комплексное решение для контроля безопасности приложений, сочетающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности цепочки поставок ПО (SAST, DAST, SCA, SCS). Продукт сертифицирована ФСТЭК России, внесен в Единый реестр отечественного ПО и может интегрироваться с другими системами для встраивания в цикл безопасной разработки.
О компании
Группа компаний «Солар» — ведущий поставщик решений кибербезопасности в России, архитектор комплексной кибербезопасности. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, обучение ИБ-специалистов, аналитика и исследование киберинцидентов.
С 2015 года предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солара» – более 850 крупнейших компаний России. Продукты и сервисы «Солара» объединены в домены экспертизы: Безопасная разработка программного обеспечения, Управление доступом, Защита корпоративных данных, Детектирование угроз и хакерских атак. Домены экспертизы закрывают все потребности заказчиков и включают собственные разработки, решения партнеров, услуги по созданию стратегии и архитектуры ИБ, консалтинг, обучение персонала.
Компания предлагает сервисы первого и крупнейшего в России коммерческого SOC — Solar JSOC, экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, межсетевой экран нового поколения Solar NGFW, IdM-систему Solar inRights, PAM-систему Solar SafeInspect, анализатор кода Solar appScreener и другие.
ГК «Солар» развивает платформу для практической отработки навыков защиты от киберугроз «Солар Кибермир». Работа центра исследования киберугроз Solar 4RAYS нацелена на изучение тактик киберпреступников. Полученные аналитические данные обогащают разработки Центра технологий кибербезопасности.
Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Совместно с Минцифры в рамках национального проекта «Цифровая экономика» реализует всероссийскую программу кибергигиены, направленную на повышение цифровой грамотности населения.