Обеспечение безопасности разработки ПО
«ИНЛАЙН ГРУП» предлагает полный спектр услуг по внедрению, поддержке и аудиту анализатора исходного кода и защищенности разработки Positive Technologies Application Inspector, сочетающему все преимущества методов статического, динамического и интерактивного анализа.
Подавляющее большинство утечек данных происходит в связи с эксплуатацией каких-либо существующих уязвимостей в программном продукте или сервисе. Одной из первостепенных задач при создании нового программного продукта или поддержке старого является автоматизация обнаружения подобных уязвимостей и их устранение на всех фазах разработки и тестирования.
Обеспечение безопасности разработки ПО осуществляется с помощью анализаторов исходного кода различных типов, в том числе гибридных.
Анализаторы типа SAST (статический анализ), также известные, как анализаторы методом «белого ящика», позволяют проводить анализ исходного кода или байт-кода на ранних стадиях разработки. Такие анализаторы являются наиболее простыми в использовании и позволяют оценить качество кода в целом и в частности его соответствие определенным стандартам и распространенным практикам без непосредственного запуска самого кода.
Анализаторы типа DAST (динамический анализ) также известные, как анализаторы методом «черного ящика», не требуют наличия исходного кода — анализ проводится на уровне запущенного приложения и предоставляет возможность обнаружить уязвимости, которые невидимы при анализе только исходного кода, так как имеют возможность эмулировать реальные векторы атак на работающее приложение.
Анализаторы SAST и DAST давно завоевали на рынке свою нишу — это проверенные временем надежные технологии. Но, несмотря на их распространенность, до сих пор существуют проблемы, с которыми данные типы анализаторов справляются с трудом. Например, статический анализ в большинстве случаев плохо справляется с современными библиотеками и фреймворками.
Для устранения этих и других недостатков создаются гибридные анализаторы и анализаторы типа IAST, позволяющие проводить интерактивный анализ приложений, объединяя достоинства статического и динамического тестирования, при этом избегая большого количества ложноположительных срабатываний.
Статические анализаторы позволяют исследовать исходный код на наличие таких уязвимостей, как:
- разыменование нулевого указателя;
- ошибки многопоточности;
- наличие неиспользуемых методов;
- возможности комплексных инъекций;
- небезопасные функции криптографии и т.д.
Метод динамического анализа позволяет обнаруживать:
- ошибки конфигурации окружения;
- повышенные привилегии среды выполнения, потенциально приводящие к выполнению произвольного кода;
- проблемы с модулями аутентификации;
- проблемы уровня управления сессиями;
- уязвимости в сторонних веб-компонентах и т.д.
IAST анализаторы проводят анализ в режиме реального времени, размещая агента внутри приложения или среды разработки. Работая изнутри приложения, агент имеет доступ:
- ко всему коду приложения;
- к среде выполнения;
- к конфигурации окружения;
- ко всем библиотекам и фреймворкам, которые используются приложением;
- к HTTP или HTTPS запросам и ответам;
- к API приложения.
Анализ этой информации помогает покрывать большие объемы кода и обнаруживать большее количество уязвимостей.
Ознакомьтесь с другими решениями и услугами, предоставляемыми «ИНЛАЙН ГРУП» в рамках направления.