Всё о секретах программного обеспечения и онлайновых сервисов
Яндекс.Метрика

Выявление уязвимостей и недекларированных возможностей в коде ПО

Как произвести всестороннее и максимально полное экспертное исследование программного продукта на предмет наличия уязвимостей и недекларированных разработчиком возможностей? Для решения этой непростой задачи российская компания Solar Security создала инструмент Solar inCode, позволяющий проверять безопасность приложений методом статического анализа и функционирующий не только при наличии у проверяющего исходного кода, но и при отсутствии доступа к нему.

Solar inCode анализирует ПО, написанное на Java, Scala, PHP, Objective-C, Java for Android, JavaScript, Swift, Python 2, Python 3, PL/SQL и C#. Таким образом, решение охватывает наиболее распространённые языки программирования и способно анализировать все мобильные и большинство веб-приложений. По результатам проверки Solar inCode выдаёт детальные рекомендации по устранению уязвимостей на русском языке с описанием способов их эксплуатации. Рекомендации делятся на два типа: рекомендации по корректировке исходного кода и рекомендации по настройке компенсирующих мер на средствах SIEM, WAF, FW, NGFW.

Выявление уязвимостей и недекларированных возможностей в коде ПО

Для упрощения работы в ходе регулярных проверок кода Solar inCode позволяет редактировать правила поиска уязвимостей и отмечать ложные срабатывания. Такое обучение позволяет создавать развитые механизмы выявления ложноположительных срабатываний, а также определять новые типы брешей в коде ПО и недекларированных возможностей.

Дополнительные сведения о системе опубликованы на сайте компании-разработчика solarsecurity.ru/products/solar_incode. Продукт представлен в форматах локальной и облачной версий.