Поделиться
PT Application Inspector 4.10: фокус на реальных уязвимостях в коде
Компания Positive Technologies представила новую версию сканера защищенности веб-приложений PT Application Inspector 4.10 с улучшенным модулем анализа сторонних компонентов (SCA), основанным на собственной базе уязвимостей. Обновление позволило снизить (в некоторых проектах — до 100%) число ложноположительных срабатываний при проверке безопасности подключенных библиотек. Об этом CNews сообщили представители Positive Technologies.
Для повышения точности сканирования разработчики Positive Technologies объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST), которые ранее использовались в продукте независимо друг от друга.
Благодаря синергии двух технологий PT Application Inspector получил новые возможности:
Анализ достижимости. PT Application Inspector 4.10 не только учитывает информацию об уязвимостях, содержащихся в используемых библиотеках, но и проверяет наличие уязвимых функций. В результате система сигнализирует только о тех уязвимостях, которые реально могут быть проэксплуатированы злоумышленниками.
Поиск транзитивных зависимостей. Содержащаяся в коде библиотека может иметь функции, зависимые от другой, которая, в свою очередь, через несколько зависимостей может быть связана с уязвимой библиотекой. PT Application Inspector теперь отслеживает такие связи и отображает их в виде графа, что позволяет четко определить фактическую угрозу.
Результаты тестирования новой версии продукта на 193 открытых проектах с GitHub, использующих уязвимые компоненты, показали снижение числа ложноположительных срабатываний на 98–100%. Так, благодаря новым возможностям PT Application Inspector разработчики и специалисты по информационной безопасности сэкономят время на анализе срабатываний и смогут сосредоточиться на исправлении реальных дефектов безопасности.
«Специалисты по кибербезопасности нередко избегают анализа сторонних компонентов, опасаясь утонуть в тысячах срабатываний, среди которых большинство окажутся ложноположительными. В таком потоке велик риск пропустить реальную уязвимость, а значит, лишиться возможности заблаговременно ее устранить, — сказал Сергей Синяков, руководитель продуктов application security, Positive Technologies. — Новая версия PT Application Inspector определяет, действительно ли уязвимый фрагмент кода присутствует в приложении, и только после этого уведомляет аналитиков. Так как в большинстве случаев наличие уязвимости в коде не подтверждается, число срабатываний снижается в десятки раз».
В основе работы PT Application Inspector 4.10 лежит контекстный анализ: он предполагает поиск вариантов использования уязвимого компонента, соответствующих определенному критерию. В обновленном решении объектами контекстного поиска стали вызовы методов, наиболее вероятно приводящие к выполнению уязвимого кода. Дефекты безопасности, не требующие срочного вмешательства специалистов, переходят в статус потенциальных — их можно увидеть при выборе соответствующего фильтра.
Еще одна новая функция продукта — поддержка тегов для параллельного анализа нескольких Git-веток в одном репозитории. Теперь разработчики могут запускать сканирование разных веток одновременно, не опасаясь перезаписи результатов. Статусы уязвимостей, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами. Теги задаются через API при создании или изменении проекта, что упрощает управление сканированиями. В веб-интерфейс добавлена фильтрация проектов по веткам и репозиториям для доступа к нужным данным. Функция позволяет минимизировать простои благодаря параллельной работе, объединять историю изменения уязвимостей из разных веток и гибко настраивать синхронизацию — например, включать или выключать перенос статусов и исключений файлов в зависимости от задач команды.
Компании, которые уже используют PT Application Inspector, могут обновить лицензию продукта и получить доступ к новой функциональности на специальных условиях, обратившись к своему менеджеру либо заполнив заявку на сайте Positive Technologies.
Поделиться
Короткая ссылка
