Любое программное обеспечение неизбежно содержит уязвимости, причем на любом этапе своего жизненного цикла. Избавиться от изъянов невозможно, однако всегда полезно применять испытанные методы и приемы, позволяющие сократить число потенциальных брешей. Практический опыт создания безопасных программных продуктов, представленный с точки зрения активно развивающегося системного интегратора, пригодится и корпоративному, и индивидуальному разработчику.
Сканеры исходного кода
Системы и средства анализа исходного кода для выявления проблем безопасности
Истории использования
Если вы хотите поделиться опытом использования, то сообщите нам об этом
Практика
Системы класса ERP (Enterprise Resource Planning — планирование ресурсов предприятия) используются для оптимизации бизнес-процессов и позволяют эффективно связывать между собой многие важные операции; однако сведение воедино множества корпоративных данных — это не только удобство, но и неизбежные риски, примером борьбы с которыми послужит SafeERP Suite от компании «Газинформсервис».
Solar inCode — анализатор кода приложений на наличие уязвимостей и недокументированных возможностей. Его отличительной особенностью является возможность анализа не только исходного кода, но и исполняемых файлов (то есть представленных в бинарном виде), что позволяет значительно превзойти результаты, получаемые с помощью динамического анализа (DAST). Поддерживает 20+ языков программирования и 7 расширений файлов.
Поставки и внедрения
Международный центр по информатике и электронике ИнтерЭВМ внедрил комплексное решение SolarappScreener в разработку безопасного кода. В испытательной лаборатории сканер автоматизировал процесс выявления уязвимостей и дефектов в программном обеспечении.
Федеральное государственное бюджетное учреждение здравоохранения «Центр крови Федерального медико-биологического агентства» (ФГБУЗ Центр крови ФМБА России) внедрило статический анализатор кода Solar appScrener для проверки используемого программного обеспечения на уязвимости и недекларированные возможности. Это позволяет одной из ключевых в российском здравоохранении организаций повысить защищенность своей ИТ-инфраструктуры.
Казахстанская испытательная лаборатория SertSoft использует статический анализатор кода Solar appScreener для оказания услуг по проверке программного обеспечения заказчиков на соответствие требованиям информационной безопасности. Разработанный компанией «Ростелеком-Солар» сканер позволяет обнаружить уязвимости в коде и сформулировать рекомендации для разработчиков по исправлению ошибок. Проект по внедрению Solar appScreener в SertSoft реализовали совместно с дистрибьютором RSsecurity.
ГК «Самолет», один из крупнейших российских девелоперов, использует статический анализатор кода Solar appScreener, чтобы повысить защищенность собственных информационных систем и разрабатываемых в компании приложений. Продукт внедряется в качестве автоматизированного решения в рамках CI/CD-процессов, которые позволяют обеспечить непрерывную интеграцию программного обеспечения в процесс разработки.
Один из ведущих органов по сертификации в Республике Казахстан «ОТАН-СЕКЬЮРИТИ» внедрил Solar appScreener для проверки программного обеспечения на соответствие требованиям информационной безопасности. Анализатор кода позволяет организации выявлять уязвимости в тестируемом ПО и давать рекомендации по их устранению. Партнером проекта выступил интегратор AST Cyber Lab.
Казахстанская испытательная лаборатория KAZ Security Lab использует статический анализатор кода Solar appScreener для оказания услуг по проверке программного обеспечения заказчиков на соответствие требованиям информационной безопасности. Возможности продукта позволяют специалистам лаборатории обнаружить уязвимости в коде и сформулировать рекомендации для разработчиков по исправлению ошибок. Проект по внедрению Solar appScreener в KAZ Security Lab был реализован совместно с дистрибьютором RSsecurity.
Испытательная лаборатория ТОО "Global Information Security" использует статический анализатор безопасности приложений Solar appScreener для проведения испытательных работ для анализа соответствия требованиям информационной безопасности. Компания применяет инструмент для проверки исходного кода заказчиков на соответствие актуальным требованиям регулирующих органов. Партнером проекта стал интегратор ТОО «AST Cyber Lab».
Центр испытаний и сертификации МОУ «Институт инженерной физики» выбрал Solar appScreener для проведения анализа программного обеспечения на выполнение требований системы сертификации средств защиты информации (СЗИ) ФСТЭК России.
Учрежденное Правительством Республики Казахстан АО «Единый накопительный пенсионный фонд» (ЕНПФ) использует анализатор кода Solar appScreener, чтобы повысить безопасность обслуживания клиентов в цифровой среде. ЕНПФ применяет решение компании «Ростелеком-Солар» для своевременного выявления уязвимостей и недекларированных возможностей в программном коде мобильных и веб-приложений.
Банк Хоум Кредит проверил исходный код ПО с помощью анализатора защищенности исходного кода приложений ― PT Application Inspector, разработанного компанией Positive Technologies и сочетающего статический, динамический и интерактивный анализ. Это сокращает время на приемку кода в приложениях на стадии разработки. А в уже работающих приложениях он выявляет ошибки, не замеченные предыдущими проверками.