Positive Technologies представила новую версию системы анализа защищенности кода приложений PT Application Inspector — 4.5. Ключевыми изменениями с момента запуска четвертой версии продукта стали интеграция со средами разработки, добавление Web IDE и сканирующего агента для ОС Linux, возможность переключения интерфейса на темную тему и новый редактор правил поиска по шаблонам.
По данным исследования «Центра стратегических разработок», рынок решений для безопасности приложений (application security) растет примерно на 20% в год, а по оценкам экспертов Positive Technologies, динамика его роста еще выше. Прежде всего, это связано с изменением киберклимата и ростом количества кибератак: число инцидентов в 2022 году увеличилось на 20,8% по сравнению с показателем предыдущего года, в частности рост атак на веб-приложения достиг 56%[1]. Помимо этого, в связи с уходом западных игроков с отечественного рынка российские компании сфокусировали свои усилия на внутренней разработке и, как следствие, вырос их интерес к безопасным методам создания ПО. Чтобы существенно облегчить работу всех групп пользователей, которые внедряют процессы безопасной разработки (DevSecOps), включая разработчиков, специалистов по информационной безопасности и DevOps-инженеров[2], компания Positive Technologies выпустила новую версию своего продукта PT Application Inspector 4.5, значительно расширив его функционал.
В новой версии PT Application Inspector появилась возможность интеграции c популярными средами разработки Visual Studio Code и IntelliJ IDEA.
«В прошлом году мы выпустили бесплатные плагины, позволяющие сделать разработку программного обеспечения безопаснее. Теперь эти плагины обмениваются данными с PT Application Inspector — это дает возможность всем участникам сразу же в IDE[3] видеть результаты работы всей команды по анализу найденных уязвимостей. Встроенные в плагины модули анализа обнаруживают уязвимости исходного кода, опасные сторонние библиотеки и ошибки конфигурационных файлов», — отмечает Антон Володченко, руководитель продукта PT Application Inspector компании Positive Technologies.
Помимо этого, теперь код в PT Application Inspector 4.5 можно просматривать в Web IDE. Модуль не требует установки дополнительного программного обеспечения и при этом позволяет пользователям получить все преимущества работы с кодом в IDE.
Также в PT Application Inspector появился сканирующий агент для ОС семейства Linux. Благодаря этому все компоненты продукта могут быть развернуты на компьютерах с ОС Linux. Это важно для государственных компаний, которые по требованию Указа Президента РФ от 30.03.2022 № 166 к 1 января 2025 года должны перейти на использование российских операционных систем.
Помимо этого, в версии PT Application Inspector 4.5 появилась возможность подключить базу данных пользователей под управлением СУБД[4] PostgreSQL для хранения параметров проектов и сканирований. Это актуально для крупных компаний, в которых уже есть готовая инфраструктура с базами данных PostgreSQL.
Также в новой версии продукта была усовершенствована и работа с Docker[5]-контейнерами. Теперь для их функционирования заданы ограничения ресурсов — алгоритм вычисления лимитов для сервисов базируется на основании общего объема занимаемой памяти с учетом весовых коэффициентов, что позволяет решить проблему неравномерного распределения ресурсов между сервисами и риска нехватки ресурсов для работы.
Чтобы сделать обращения пользователей в службу поддержки Positive Technologies удобнее и проще, в новую версию продукта была добавлена утилита diagtool, позволяющая собирать данные о среде функционирования и сервисах PT Application Inspector в зашифрованный архив для последующей отправки в службу поддержки.
Еще одно новшество PT Application Inspector — возможность создания правил поиска уязвимостей по шаблонам. Собственные правила помогают расширять базу знаний, находить новые и релевантные для конкретного пользователя типы уязвимостей.
По результатам опроса ключевых клиентов Positive Technologies[6], более половины из них на регулярной основе пользуются темной темой IDE. Теперь такой вид оформления интерфейса стал доступен и в PT Application Inspector 4.5, также в продукте появилась панель информации сканирования, что сделает работу пользователей еще комфортнее. Версионность конфигурационных файлов и API упрощает интеграцию PT Application Inspector, сокращает издержки на внедрение, а также исключает риск длительного простоя в случае обновления формата взаимодействия продукта с внешними системами.
[1] Согласно исследованию Positive Technologies об актуальных киберугрозах за 2022 год.
2 DevOps-инженер — IT-специалист, который обладает обширными знаниями в области разработки и эксплуатации, включая написание кода, управление инфраструктурой, системное администрирование и работу с пакетами инструментов DevOps.
3 Интегрированная среда разработки (integrated development environment, IDE) — приложение, которое помогает программистам эффективно разрабатывать код.Система управления базами данных.
4 Система управления базами данных.
5 Платформа контейнеризации, с помощью которой можно автоматизировать создание приложений, их доставку и управление.
6 Результаты внутреннего опроса клиентов Positive Technologies.
[1] Согласно исследованию Positive Technologies об актуальных киберугрозах за 2022 год.
[2] DevOps-инженер — IT-специалист, который обладает обширными знаниями в области разработки и эксплуатации, включая написание кода, управление инфраструктурой, системное администрирование и работу с пакетами инструментов DevOps.
[3] Интегрированная среда разработки (integrated development environment, IDE) — приложение, которое помогает программистам эффективно разрабатывать код.
[4] Система управления базами данных.
[5] Платформа контейнеризации, с помощью которой можно автоматизировать создание приложений, их доставку и управление.
[6] Результаты внутреннего опроса клиентов Positive Technologies.
