Solar appScreener 3.15.5: анализ кода по национальному стандарту ГОСТ 71207-2024
Группа компаний «Солар», архитектор комплексной кибербезопасности, выпустила новую версию платформы Solar appScreener, предназначенной для контроля безопасности приложений на уровне кода. В релизе 3.15.5 реализованы несколько обновлений, которые улучшают пользовательский опыт IT-разработчиков и расширяют функционал модуля статического анализа кода (SAST). Теперь все найденные уязвимости классифицируются по требованиям ГОСТ 71207-2024, регулирующего требования к безопасной разработке.
В ГОСТ Р 71207-2024 введен термин «критическая ошибка в программе» (п. 3.1.13.), эта ошибка может привести к нарушению безопасности обрабатываемой информации. В частности, классификация по ГОСТу включает такие категории, как ошибки непроверенного использования чувствительных данных, некорректное использование процедур безопасности и другие критические дефекты, которые могут привести к уязвимостям и нарушениям безопасности.
По данным ГК «Солар», более 50% веб-приложений российских компаний содержат уязвимости, при этом 56% от выявленных уязвимостей относятся к критичным и особо критичным. Например, в финансовых веб-приложениях чаще всего выявляются уязвимости, связанные с недостатками контроля доступа, межсайтовый скриптинг (XSS), недостаточный уровень шифрования, небезопасная обработка или хранение конфиденциальной информации (номера банковских карт, пароли, персональные данные). По оценке аналитиков «Солара», в 2024 году уязвимости веб-приложений также стали причиной 40% инцидентов, связанных с утечками данных.
«Требования к безопасной разработке становятся жестче по ряду причин. Важную роль играет баланс в скорости разработки, как быстро компания реагирует на запросы рынка, и информационной безопасности софта. Второй фактор, влияющий на рынок разработки ПО в России,— это позиция регуляторов рынка. Цена ошибки растет, ведь один успешный взлом приложения может привести к высоким штрафам или негативно сказаться на репутации компании. В случае с госорганизацией, корпорацией или компанией, которая сотрудничает с госсектором, на кону стоит доверие к продукту, который разрабатывается для миллионов пользователей»,— комментирует Лев Арманшин, менеджер по развитию бизнеса ПО Solar appScreener.
Новый функционал классификации уязвимостей по требованиям ГОСТ 71207 интегрирован в интерфейс Solar AppScreener: достаточно запустить сканирование, и в отчете каждая уязвимость получит код и описание класса. Для каждого класса указываются рекомендации по снижению рисков, примерные сроки устранения и потенциальное влияние на уровень безопасности продукта. Таким образом разработчики могут определить степень критичности уязвимости и расставить приоритеты в ее устранении. Тип уязвимости можно проверить в подробных результатах и в отчете при выборе способа классификации ГОСТ Р 71207-2024. Соответствие доступно для правил Java, Scala, Kotlin, Python, С/C++, Java Script,GO и C#.
ГК «Солар»
Реклама