Вышла новая версия Solar inCode с возможностью инкрементального анализа

«Ростелеком-Solar», компания группы ПАО «Ростелеком», национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью, объявляет о выходе новой версии SolarinCode, решения для контроля защищенности исходного кода.

Список языков программирования, который распознает и анализирует SolarinCode 2.9, пополнился за счет Groovy и Kotlin. При этом анализ приложений, написанных на Kotlin, возможен даже без доступа к их исходному коду.

«При формировании дорожной карты развития продукта очень важно следить за тенденциями в разработке ПО. Одни языки постепенно уходят в прошлое, другие приходят на их место, и мы должны оперативно реагировать на новые потребности рынка. Groovyи Kotlin– относительно новые языки разработки приложений, которые сейчас оказались в тренде и продолжают набирать популярность, поэтому мы включили их в SolarinCode2.9. В прошлой версии была реализована поддержка языка Go, и в нынешнем релизе эта функциональность также была улучшена благодаря существенному расширению базы правил поиска уязвимостей», — рассказал Даниил Чернов, руководитель направления SolarinCodeкомпании «Ростелеком-Solar».

Еще один стратегический вектор развития SolarinCode – поддержка процессов непрерывной интеграции (CI, англ. Continuous Integration) и жизненного цикла безопасной разработки приложений (SDL, англ. SecurityDevelopmentLifecycle). В рамках развития данного направления в SolarinCode 2.9 была реализована возможность инкрементального анализа. Благодаря этому при сравнении разных сборок приложения разработчики смогут сканировать только ту часть кода, которая была добавлена в более новой версии. Аналогично, в отчеты SolarinCode 2.9 теперь можно включать только те уязвимости, которые ранее не были обнаружены в данном ПО. Кроме того, при необходимости можно исключать из сканирования стандартные библиотеки, проверяя на ошибки и потенциальный уязвимости только собственный код.

«У нас достаточно зрелые, выстроенные процессы разработки, в рамках которых большое внимание уделяется безопасности приложений. Мы используем SolarinCodeкак часть SecurityDevelopment Lifecycle. Во многих отношениях продукт уже оптимизирован для этой задачи – он «из коробки» интегрируется с различными системами отслеживания ошибок и позволяет разграничить доступ пользователей, чтобы каждый разработчик мог контролировать уровень безопасности и наличие ошибок только в своей части проекта. Новая функциональность сделает SolarinCodeеще более удобным и комфортным в использовании», — считает Сергей Трошин, Chief Information Officer, компания EXANTE.

В дополнение к классификациям OWASP Mobile Top 10 2016, OWASP Top 10 2017, PCI DSS и HIPAA SolarinCode 2.9 позволяет ранжировать найденные уязвимости в соответствии с CWE/SANSTop 25. Также новая версия содержит новые правила поиска уязвимостей для поддерживаемых языков программирования, а также улучшенные, более детальные описания уязвимостей.

«Ростелеком-Solar», компания группы ПАО «Ростелеком», – национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью.

В основе наших технологий лежит понимание, что настоящая информационная безопасность возможна только через непрерывный мониторинг и удобное управление системами ИБ. Этот принцип реализован в продуктах и сервисах «Ростелеком-Solar», компании группы ПАО «Ростелеком».