a
b
c
d
FindNews.ru - новости, последние события, хроники.

Анализатор кода PT Application Inspector 4.0 доступен в веб-версии

Positive Technologies представила новую версию системы анализа защищенности кода приложений — PT Application Inspector 4.0. В числе ключевых изменений — появление веб-версии продукта, работа в Docker-контейнерах и поддержка языка TypeScript.

Исследование Positive Technologies, посвященное развитию DevSecOps (Development Security Operations), показало, что более трети (36%) опрошенных специалистов российских организаций уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. В то же время эксперты подчеркнули, что им не хватает информации о практических кейсах внедрений (35%), процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%). Поэтому большинство улучшений в PT Application Inspector 4.0 были направлены на то, чтобы сделать работу по анализу защищенности кода понятной и удобной — как для специалистов по ИБ, так и для разработчиков.

Новая версия PT Application Inspector, помимо уже имеющейся поддержки ОС Windows, включает работу с ОС Linux. По оценкам экспертов Positive Technologies, ОС семейства Linux предпочитают использовать для работы около 83% разработчиков в мире, а на российском рынке Astra Linux — официальный дистрибутив Debian — входит в число наиболее распространенных ОС в государственном секторе. Таким образом, с продуктом теперь могут работать компании, использующие Linux, и организации, заинтересованные в оптимизации расходов на ИТ, так как: системы на базе Linux имеют открытый исходный код, распространяются в основном бесплатно в виде готовых дистрибутивов и менее требовательны к ресурсам; работа в Docker-контейнерах сокращает трудозатраты на настройку, поддержку и сопровождение PT Application Inspector 4.0 за счет автоматизации части этих операций; в продукте не предусмотрены ограничения по количеству пользователей или проектов — сканер уязвимостей Positive Technologies могут одновременно использовать участники распределенных команд.

В PT Application Inspector 4.0 доступ к результатам сканирования возможен в веб-версии, что позволяет всей команде работать с найденными уязвимостями, не разворачивая дополнительное ПО на рабочей станции.

PT Application Inspector сочетает ключевые методы анализа с технологией абстрактной интерпретации, что обеспечивает высокую точность результатов и минимальное число ложных срабатываний. Так, согласно бенчмарку международного сообщества Open Web Application Security Project (OWASP — открытый проект обеспечения безопасности веб-приложений) PT Application Inspector имеет средний балл анализа кода на уровне 85% — показывает 100% true positive и 14,7% — false positive; по этому показателю PT Application Inspector значительно опережает большинство представленных на рынке анализаторов кода. Продукт автоматически создает безвредные эксплойты, благодаря которым можно подтвердить уязвимость и доказать возможность ее эксплуатации в реальной атаке.

CNews Analytics: Рейтинг операторов фискальных данных 2022 CNews Analytics

«Незащищенные приложения представляют реальную опасность для бизнеса. Согласно исследованию Positive Technologies, в 2021 г. в 100% приложений, проанализированных нашими экспертами, были выявлены уязвимости, которые давали возможность злоумышленникам проводить на клиентов атаки разного уровня сложности, — сказал Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies. — PT Application Inspector 4.0 комбинирует четыре технологии анализа кода: SAST, DAST, IAST и SCA, и за счет этого обеспечивает высокое качество анализа, что подтверждено бенчмарком OWASP и успешными кейсами за девять лет существования PT Application Inspector».

В новой версии продукта добавлена поддержка языка TypeScript — он входит в десятку самых популярных языков программирования в мире и используется для создания как клиентской (frontend), так и серверной (backend) частей веб-приложений. TypeScript стал вторым после JavaScript языком, который продукт поддерживает на основе JSA-модуля поиска уязвимостей (технология для статического анализа Just Static Analyzer). JSA-модуль универсален и гибок в плане производительности — его можно использовать для быстрого и тщательного анализа кода. В планах Positive Technologies перевести на этот модуль все поддерживаемые языки и перейти на плагины по IDE, которые позволяют анализировать безопасность приложения прямо в процессе написания кода.

Также в PT Application Inspector 4.0 появилась поддержка технологии единого входа. Для авторизации по схеме SSO (single sign-on, технология единого входа) в продукт добавлена поддержка стандарта SAML 2.0 (Security Assertion Markup Language, открытый стандарт обмена данными аутентификации, основанный на языке XML), позволяющего доменам безопасности обмениваться удостоверениями авторизации, и открытого стандарта децентрализованной системы аутентификации OpenID. Кроме того, реализована полная поддержка протокола (ранее SSO-авторизация была интегрирована только с Microsoft Active Directory).

Поделиться Подписаться на новости Короткая ссылка

Наука и высокие технологии - другие новости