ГК «Астра» анализирует код своего ПО с помощью Solar appScreener

В ближайшее время анализатор будет встроен в процесс безопасной разработки ПО в качестве автоматизированного решения. Solar appScreener интегрируется с репозиториями, средами разработки, системами отслеживания ошибок и другими средствами, которые используются в ходе создания ПО.

«Сегодня многие компании, которые занимаются разработкой ПО, стали более требовательны к проверке кода на уязвимости. Это необходимо даже на самых ранних стадиях создания продукта, а в идеале — на всех этапах этого цикла в рамках единого автоматизированного процесса, — отмечает Даниил Чернов, директор Центра Solar appScreener компании «РТК-Солар». — Максимально эффективно решать задачи по повышению безопасности ПО помогает использование всех доступных способов анализа кода. Для ИТ-продуктов, которые рекомендованы при работе с персональными данными, объектами КИИ, информацией ограниченного доступа, это критически важно».

Среди преимуществ Solar appScreener в ГК «Астра» отметили меньшее количество ложных срабатываний по сравнению с другими анализаторами. Чтобы минимизировать их число, в решении реализована собственная запатентованная технология Fuzzy Logic Engine. Кроме того, повысить качество проверки помогают комбинация статического и динамического анализа кода в рамках единого интерфейса Solar appScreener и возможность корреляции их результатов.

«При выборе решения для повышения безопасности кода мы тестировали различные продукты, но Solar appScreener показал наиболее высокие результаты, — рассказал Максим Фокин, директор по информационной безопасности ГК «Астра». — Другие инструменты, используемые нами в рамках тестирования, не смогли выявить ряд конструкций, которые обнаружил Solar appScreener».

Эксперты ГК «Астра» также оценили возможность анализировать код, который написан на интерпретируемых языках программирования. Solar appScreener — мировой лидер по количеству поддерживаемых языков. На текущий момент их 36. Кроме того, решение автоматически определяет язык, на котором написана программа, и может анализировать приложения, написанные сразу на нескольких языках.