Компания Positive Technologies представила новую версию сканера защищенности кода веб-приложений PT Application Inspector 4.10 с улучшенным модулем анализа сторонних компонентов (SCA), основанным на собственной базе уязвимостей. Обновление позволило значительно – в некоторых проектах до 100% – снизить число ложноположительных срабатываний при проверке безопасности подключенных библиотек.
Для повышения точности результата сканирования разработчики Positive Technologies объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST), которые ранее использовались в продукте независимо друг от друга.
Благодаря синергии двух технологий PT Application Inspector получил новые возможности:
Анализ достижимости. PT Application Inspector 4.10 учитывает не только информацию об уязвимостях, содержащихся в используемых библиотеках, но и проверяет использование уязвимых функций. В результате система сигнализирует только о тех уязвимостях, которые реально могут быть поэксплуатированы злоумышленниками.
Поиск транзитивных зависимостей. Содержащаяся в коде библиотека может иметь зависимые функции от другой, которая, в свою очередь, через несколько зависимостей может быть связана с уязвимой библиотекой. PT Application Inspector теперь отслеживает такие связи и отображает их в виде графа зависимостей, что позволяет четко определить фактическую угрозу.
Результаты тестирования новой версии продукта на 193 открытых проектов с Github, использующих уязвимые компоненты, показали снижение ложноположительных срабатываний на 98-100%. Так, благодаря новым возможностям PT Application Inspector разработчики и специалисты по информационной безопасности экономят время на анализе срабатываний и могут сосредоточиться на исправлении реальных дефектов безопасности.
Сергей Синяков
руководитель продуктов application security, Positive Technologies.
Специалисты по кибербезопасности нередко избегают анализа сторонних компонентов, опасаясь утонуть в тысячах срабатываний, среди которых большинство окажется ложноположительными. В таком потоке велик риск пропустить реальную уязвимость, а значит, лишиться возможности заблаговременно ее устранить. Новая версия PT Application Inspector определяет, действительно ли уязвимый фрагмент кода присутствует в приложении, и только после этого уведомляет аналитиков об ошибке. Так как в большинстве случаев наличие уязвимости в коде не подтверждается, число срабатываний снижается в десятки раз.
В основе PT Application Inspector 4.10 лежит контекстный анализ, который предполагает поиск вариантов использования уязвимого компонента, соответствующих определенному критерию. В обновленном решении объектами контекстного поиска стали вызовы методов, наиболее вероятно приводящие к выполнению уязвимого кода. Дефекты безопасности, не требующие срочного вмешательства специалистов, переходят в статус потенциальных, их можно увидеть при выборе соответствующего фильтра.
Еще одна новая функция продукта – поддержка тегов для параллельного анализа нескольких git-веток одного репозитория. Теперь разработчики могут запускать сканирование разных веток одновременно, не опасаясь перезаписи результатов, а статусы уязвимостей, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами репозитория. Теги задаются через API при создании или редактировании проекта, что упрощает управление сканированиями. В веб-интерфейс добавлена фильтрация проектов по веткам и репозиториям для быстрого доступа к нужным данным. Функция позволяет минимизировать простои благодаря параллельной работе, объединять историю изменений уязвимостей из разных веток и гибко настраивать синхронизацию — например, включать или выключать перенос статусов и исключений файлов в зависимости от задач команды.
Компании, которые уже используют PT Application Inspector, могут обновить лицензию продукта и получить доступ к новой функциональности на специальных условиях, обратившись к своему менеджеру либо заполнив заявку на сайте компании.
ссылка на оригинал статьи https://habr.com/ru/articles/894908/
Добавить комментарий