Оновлений аналізатора коду DerScanner з модулем аналізу складу програмного забезпечення

Компанія DerSecur випустила оновлення свого комплексного програмного рішення для моніторингу безпеки DerScanner, яке поєднує можливості статичного (SAST) і динамічного (DAST) аналізу коду. Версія 3.13 додає модуль аналізу складу програмного забезпечення (SCA). SCA може прискорити виявлення вразливостей у компонентах стороннього програмного забезпечення при використанні бібліотек з відкритим кодом. Завдяки SAST і DAST DerScanner тепер поєднує в собі можливості трьох ключових типів аналізу, забезпечуючи комплексний контроль безпеки додатків. Крім того, версія 3.13 представляє можливість автоматично запускати завдання в Jira за результатами сканування, значно розширює базу правил пошуку вразливостей для деяких мов програмування та вносить ряд інших змін.

«Програми та бібліотеки з відкритим кодом стали однією з найактуальніших загроз інформаційній безпеці за останній рік», — каже Ден Чернов, головний виконавчий директор DerScanner . За даними Linux Foundation , від 70% до 90% сучасних програм містять відкритий код. програмне забезпечення та вразливості сторонніх компонентів відкривають великі можливості для зловмисників. Згадайте тільки історію про виявлену вразливість у бібліотеці Apache Log4j, яка використовується в мільйонах корпоративних програм. Крім того, почастішало навмисне впровадження шкідливого коду. Тому сьогодні дуже важливо перевіряти наявність вразливостей не лише у власному коді, а й у сторонніх компонентах».

SCA вже містить дані про конкретні версії бібліотеки з відкритим кодом і вразливості в них. Завдяки відсутності необхідності аналізувати код з нуля швидкість обробки збільшується. Система автоматично виявить усі сторонні компоненти та надасть повний список залежностей і вразливостей у них. Аналіз складу програмного забезпечення, реалізований у новій версії DerScanner, можна запускати на домашній сторінці, як і перевірку коду за допомогою статичного та динамічного аналізу. Пошук здійснюється за кількома джерелами – найбільші бази даних вразливостей і власна база даних, яка регулярно оновлюється експертами DerSecur. Використання SCA запобігає загрозам і знижує ризики інформаційної безпеки, які виникають через запозичення коду. Таким чином, DerScanner тепер забезпечує комплексний моніторинг безпеки програмного забезпечення за допомогою трьох ключових типів аналізу (SAST, DAST і SCA) в одному інтерфейсі. А для мінімізації помилкових тривог він використовує власну унікальну технологію Fuzzy Logic Engine.

Експерти DerSecur також додали підтримку класифікації вразливостей OWASP MASVS і оновили підтримувану версію PCI DSS з 3.2.1 до 4.0. Значно розширено базу правил пошуку вразливостей для Java і C#, а також додано нові шаблони пошуку вразливостей для ряду мов програмування. DerScanner залишається світовим лідером за кількістю підтримуваних мов – на сьогодні їх 36. Сканер автоматично визначає мову, на якій написаний код, а також може перевіряти програми, написані на кількох мовах одночасно.

У DerScanner 3.13 також внесено ряд змін для покращення взаємодії з користувачем. Зокрема, тепер можна керувати чергою сканування. Під час аналізу тепер ви можете призначити пріоритет сканування та відстежувати чергу на новій сторінці в розділі «Проекти». Крім того, інтерактивні підказки тепер з’являються, коли ви входите в систему вперше.

Ще одна зміна стосується логіки користувача LDAP. Тепер адміністратору DerScanner стане простіше контролювати доступ до системи тих співробітників, які підключаються до неї за цим протоколом, і відстежувати кількість користувачів, яким дозволено діючу ліцензію.

Нова версія DerScanner може автоматично створювати завдання в Jira на основі результатів сканування. Цей функціонал спрощує роботу офіцерів безпеки в компаніях, які впроваджують рішення в безпечні процеси розробки. Широкі можливості DerScanner дозволяють інтегрувати його зі сховищами, середовищами розробки, системами відстеження помилок і службами CI/CD. Максимальна автоматизація та безперервність процесу виявлення та пом’якшення вразливостей тепер є необхідністю для розробників програмного забезпечення.

Про DerSecur:

DerSecur займається передовими технологіями в галузі безпеки додатків з 2011 року. Зародившись у науково-дослідному інституті фундаментальних і прикладних досліджень у галузі інформатики, технології аналізу коду цієї компанії зараз використовуються в 30+ країнах світу. На даний час команда компанії складається з 70 науковців і дослідників.

DerScanner — це високотехнологічне комплексне рішення для захисту додатків, яке поєднує в одному інтерфейсі статичні (SAST), динамічні (DAST) і методи аналізу складу програмного забезпечення (SCA). DerScanner дозволяє виявляти вразливості та недокументовані функції в коді мобільних і веб-додатків.

DerScanner — унікальний інструмент, здатний аналізувати як вихідний, так і двійковий код. Це світовий лідер за кількістю підтримуваних мов програмування (36 мов), які також можуть розуміти поліглотні програми та значно зменшують помилкові спрацьовування за допомогою власної запатентованої технології Fuzzy Logic Engine.

Потрібна додаткова інформація? Тоді звертайтесь до постачальника рішень з інформаційної безпеки – компанії Ідеалсофт.