Поделиться
Positive Technologies представила PT Application Inspector 5.2
Компания Positive Technologies представила новую версию сканера защищенности приложений PT Application Inspector — 5.2. Теперь пользователи могут создавать правила анализа, которые учитывают особенности сканируемого кода. Кроме того, обновленный продукт обнаруживает не только уязвимости, но и слабые места, которые становятся причиной ошибок при выполнении программы, а также атаки, нарушения задуманной логики приложения и проблемы со стабильностью работы.
Для повышения эффективности сканирования специалисты Positive Technologies добавили возможность адаптировать PT Application Inspector под проверяемый проект. Специализированный язык JSA DSL, разработанный для создания пользовательских правил, позволяет подробно описывать семантику исходного кода, в том числе входные точки для данных, фильтры, потенциально опасные операции, а также особенности веб-фреймворков, динамического кода и внедрения зависимостей.
«Мы создали инструмент, который позволяет значительно расширить экспертную логику, заложенную в технологию статистического анализа кода приложения (SAST), — сказал Сергей Синяков, руководитель продуктов application security Positive Technologies. — Разработанный нашими специалистами подход позволяет быстро и безопасно адаптировать решение под специфику анализируемого фреймворка без необходимости править ядро. JSA DSL одинаково работает для всех поддерживаемых языков: Go, Java, JavaScript, PHP и Python. В дальнейшем мы планируем расширять его возможности».
Новая версия PT Application Inspector теперь не только обнаруживает уязвимости, но и контролирует корректность работы кода. Решение выявляет целочисленное переполнение, разыменование нулевого указателя, деление на ноль и другие аспекты, которые становятся причиной ошибок при выполнении программы, приводят к нарушениям задуманной логики приложения и могут быть проэксплуатированы злоумышленниками. Новая функциональность уже реализована для языков Go, Java, JavaScript, .NET, PHP, Python, Ruby и TypeScript. Режим является опциональным и активируется при необходимости.
В новой версии PT Application Inspector расширена поддержка языков, в частности внедрено сканирование приложений, написанных на языке Scala (включая фреймворк Play Framework) и на платформе .NET версии 9. Теперь разработчики и инженеры безопасности могут анализировать проекты на всех актуальных стеках без слепых зон.
Еще одна новая функция — возможность объединять правила анализа в группы и назначать их на разные проекты. Выбор релевантных правил позволяет оптимизировать процесс проверки, повысить качество статического анализа и упростить настройку проектов под конкретные задачи, что особенно актуально для организаций с несколькими бизнес-линиями.
Компании, которые уже используют PT Application Inspector, могут обновить лицензию продукта и получить доступ к новой функциональности на специальных условиях, обратившись к своему менеджеру либо заполнив заявку на сайте Positive Technologies.
Поделиться
Короткая ссылка
