Разработчик отечественной операционной системы ГК «Астра» объявила, что будет использует анализатор Solar appScreener в качестве инструмента для выявления и устранения ошибок и уязвимостей. С его помощью в ГК «Астра» будут проверять исходный код системного и прикладного программного обеспечения, а также серверных и веб-приложений для заказчиков. В ближайшее время анализатор будет встроен в процесс безопасной разработки ПО в качестве автоматизированного решения. Solar appScreener интегрируется с репозиториями, средами разработки, системами отслеживания ошибок и другими средствами, которые используются в ходе создания ПО.
Точность и объем
Уже известно, что разработчики дистрибутива Astra Linux пользуются инструментом для динамического анализа программ Crusher, который является системой фаззинг-тестирования, разработанным Институтом системного программирования РАН им. В. П. Иванникова. Он позволяет проводить поиск неизвестных уязвимостей в работающих программах. Хотя у ИСП РАН также есть и аналогичный статический анализатор текстов Svace, тем не менее ГК «Астра» приняла решение о использовании разработок компании “РТК-Солар”.
Среди преимуществ Solar appScreener в ГК «Астра» отметили меньшее количество ложных срабатываний по сравнению с другими анализаторами. Чтобы минимизировать их число, в решении реализована собственная запатентованная технология Fuzzy Logic Engine. Кроме того, повысить качество проверки помогают комбинация статического и динамического анализа кода в рамках единого интерфейса Solar appScreener и возможность корреляции их результатов. Эксперты ГК «Астра» также оценили возможность анализировать код, который написан на интерпретируемых языках программирования. Solar appScreener поддерживает 36 языков программирования, являясь мировым лидером по этому показателю. Решение автоматически определяет язык, на котором написан код, а также умеет анализировать программы, написанные на разных языках.
«При выборе решения для повышения безопасности кода мы тестировали различные продукты, но Solar appScreener показал наиболее высокие результаты, – пояснил результаты своего выбора директор по информационной безопасности ГК «Астра» Максим Фокин. – Другие инструменты, используемые нами в рамках тестирования, не смогли выявить ряд конструкций, которые обнаружил Solar appScreener».
Безопасная разработка
«Сегодня многие компании, которые занимаются разработкой ПО, стали более требовательны к проверке кода на уязвимости, – описал текущую ситуацию директор Центра Solar appScreener компании «РТК-Солар» Даниил Чернов. – Это необходимо даже на самых ранних стадиях создания продукта, а в идеале – на всех этапах этого цикла в рамках единого автоматизированного процесса. Максимально эффективно решать задачи по повышению безопасности ПО помогает использование всех доступных способов анализа кода. Для ИТ-продуктов, которые рекомендованы при работе с персональными данными, объектами КИИ, информацией ограниченного доступа, это критически важно».
