Solar appScreener 3.9 поддерживает язык Dart и выгрузку отчётов в CSV

Solar appScreener 3.9 поддерживает язык Dart и выгрузку отчётов в CSV

Solar appScreener 3.9 поддерживает язык Dart и выгрузку отчётов в CSV

Компания «Ростелеком-Солар» представила новую версию анализатора кода Solar appScreener 3.9. В обновление вошла поддержка нового языка программирования Dart, благодаря чему Solar appScreener продолжает удерживать лидирующую позицию по количеству поддерживаемых языков.

Для удобства работы с данными сканирования кода была добавлена возможность выгрузки отчетов в формате CSV. В новой версии также появилась возможность выбирать вручную файлы для анализа, что позволит отказаться от сканирования кода всего проекта, если необходимо проанализировать конкретную область.

В Solar appScreener 3.9 специалисты «Ростелеком-Солар» расширили список поддерживаемых языков программирования до рекордных среди анализаторов кода 36. В новой версии теперь доступен анализ объектно-ориентированного языка программирования Dart, который был разработан Google в 2011 году как альтернатива JavaScript. С его помощью разработчики создают мобильные, серверные и веб-приложения. Вместе с этим в рамках развития поддержки текущих языков специалисты «Ростелеком-Солар» добавили анализ фреймворка Vue.js для JavaScript и Flask для Python.

«В развитии продукта мы ориентируемся на современные тенденции на рынке разработки, поэтому расширяем пул поддерживаемых языков молодыми и стремительно набирающими популярность. В частности, в новой версии мы добавили поддержку Dart, и сейчас Solar appScreener – единственный инструмент, с помощью которого можно проанализировать код на языке Dart на наличие в нем уязвимостей» – отмечает Даниил Чернов, директор Центра решений безопасности ПО компании «Ростелеком-Солар».

В новой версии изменения коснулись также формата представления отчетности. Начиная с Solar appScreener 3.9 доступна возможность экспорта отчета в формате архива с CSV-файлами, что позволяет пользователям более гибко работать с данными: фильтровать их по конкретным категориям, а также получать аналитические выводы, строя графики на основании полученных значений. Возможность получения отчета в формате PDF останется, однако работать с информацией в этом формате сложнее, так как данные выгружаются в статическом виде.

В Solar appScreener 3.9 появилась возможность выбора конкретных файлов для анализа. При отправке приложения на сканирование можно посмотреть, какие файлы будут проанализированы, и при необходимости вручную исключить лишние, если их анализ не требуется. Если пользователь выберет сканирование проекта полностью, анализатор кода выявит набор файлов в загруженной директории, после чего проанализирует каждый из них на уязвимости и недекларированные возможности. После завершения результаты сканирования доступны в интерфейсе в разделе «Обзор» или в формате отдельного отчёта со статистикой по данным файлам.

 

В представленном обновлении появилась возможность запустить сразу несколько сканирований в одном проекте с разными настройками, приоритизировав их по очередности. Все статусы анализа защищенности ПО доступны в разделе «Сканирования».

Кроме того, специалисты «Ростелеком-Солар» добавили возможность удалять сканирования проектов. В новой версии пользователь может как архивировать, так и удалять сканирование безвозвратно. Вместе с этим была улучшена форма запуска анализа – в обновлении выбор файла и поле для ссылки на приложение объединены в одну вкладку, а начать новое сканирование проекта теперь можно со страницы «Сканирования».

Традиционно в каждой новой версии анализатора кода Solar appScreener расширяется база правил поиска уязвимостей. В Solar appScreener 3.9 разработчики добавили новые паттерны поиска и дополнили описания уязвимостей для поддерживаемых языков программирования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч

Эксперты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую аутсайдеру получить учетные данные всех пользователей системы видео-конференц-связи (ВКС) в целевой организации.

Патч включен в состав сборки 26.0.0.67 и давно доступен, однако далеко не все корпоративные клиенты провайдера удосужились его применить, в том числе в России. Тем, кто этого еще не сделал, рекомендуется обновить софт в кратчайшие сроки.

Уязвимость CVE-2024-48352 (7,5 балла CVSS) классифицируется как раскрытие конфиденциальной информации. Эксплойт осуществляется подачей на сервер HTTP-запроса с ID атакуемого предприятия.

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы, — уточнил старший специалист PT по пентесту Егор Димитренко. — Это означает, что атакующий мог бы входить в ВКС-систему от имени любого пользователя и перехватывать информацию внутри организации».

По данным ИБ-компании, в прошлом месяце в интернете присутствовал 461 непропатченный экземпляр Yealink Meeting Server. Больше половины установок расположены в Китае, 13% — в России.

 

В начале этого года исследователи из PT обнаружили в том же продукте Yealink еще одну, более опасную проблему — CVE-2024-24091 (инъекция команд, 9,8 балла CVSS). Использование обеих уязвимостей в связке, по словам экспертов, позволяет получить начальный доступ к корпоративной сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru