Positive Technologies представила новую версию системы анализа защищенности кода приложений PT Application Inspector — 4.5. Ключевыми изменениями с момента запуска четвертой версии продукта стали интеграция со средами разработки, добавление Web IDE и сканирующего агента для ОС Linux, возможность переключения интерфейса на темную тему и новый редактор правил поиска по шаблонам.
По данным исследования «Центра стратегических разработок», рынок решений для безопасности приложений (application security) растет примерно на 20% в год, а по оценкам экспертов Positive Technologies, динамика его роста еще выше. Прежде всего, это связано с изменением киберклимата и ростом количества кибератак: число инцидентов в 2022 году увеличилось на 20,8% по сравнению с показателем предыдущего года, в частности рост атак на веб-приложения достиг 56%1. Помимо этого, в связи с уходом западных игроков с отечественного рынка российские компании сфокусировали свои усилия на внутренней разработке и, как следствие, вырос их интерес к безопасным методам создания ПО. Чтобы существенно облегчить работу всех групп пользователей, которые внедряют процессы безопасной разработки (DevSecOps), включая разработчиков, специалистов по информационной безопасности и DevOps-инженеров2, компания Positive Technologies выпустила новую версию своего продукта PT Application Inspector 4.5, значительно расширив его функционал.
В новой версии PT Application Inspector появилась возможность интеграции c популярными средами разработки Visual Studio Code и IntelliJ IDEA.
«В прошлом году мы выпустили бесплатные плагины, позволяющие сделать разработку программного обеспечения безопаснее. Теперь эти плагины обмениваются данными с PT Application Inspector — это дает возможность всем участникам сразу же в IDE3 видеть результаты работы всей команды по анализу найденных уязвимостей. Встроенные в плагины модули анализа обнаруживают уязвимости исходного кода, опасные сторонние библиотеки и ошибки конфигурационных файлов», — отмечает Антон Володченко, руководитель продукта PT Application Inspector компании Positive Technologies.
Помимо этого, теперь код в PT Application Inspector 4.5 можно просматривать в Web IDE. Модуль не требует установки дополнительного программного обеспечения и при этом позволяет пользователям получить все преимущества работы с кодом в IDE.
Также в PT Application Inspector появился сканирующий агент для ОС семейства Linux. Благодаря этому все компоненты продукта могут быть развернуты на компьютерах с ОС Linux. Это важно для государственных компаний, которые по требованию Указа Президента РФ от 30.03.2022 № 166 к 1 января 2025 года должны перейти на использование российских операционных систем.
Помимо этого, в версии PT Application Inspector 4.5 появилась возможность подключить базу данных пользователей под управлением СУБД4 PostgreSQL для хранения параметров проектов и сканирований. Это актуально для крупных компаний, в которых уже есть готовая инфраструктура с базами данных PostgreSQL.
Также в новой версии продукта была усовершенствована и работа с Docker5-контейнерами. Теперь для их функционирования заданы ограничения ресурсов — алгоритм вычисления лимитов для сервисов базируется на основании общего объема занимаемой памяти с учетом весовых коэффициентов, что позволяет решить проблему неравномерного распределения ресурсов между сервисами и риска нехватки ресурсов для работы.
Чтобы сделать обращения пользователей в службу поддержки Positive Technologies удобнее и проще, в новую версию продукта была добавлена утилита diagtool, позволяющая собирать данные о среде функционирования и сервисах PT Application Inspector в зашифрованный архив для последующей отправки в службу поддержки.
Еще одно новшество PT Application Inspector — возможность создания правил поиска уязвимостей по шаблонам. Собственные правила помогают расширять базу знаний, находить новые и релевантные для конкретного пользователя типы уязвимостей.
По результатам опроса ключевых клиентов Positive Technologies6, более половины из них на регулярной основе пользуются темной темой IDE. Теперь такой вид оформления интерфейса стал доступен и в PT Application Inspector 4.5, также в продукте появилась панель информации сканирования, что сделает работу пользователей еще комфортнее. Версионность конфигурационных файлов и API упрощает интеграцию PT Application Inspector, сокращает издержки на внедрение, а также исключает риск длительного простоя в случае обновления формата взаимодействия продукта с внешними системами.
- Согласно исследованию Positive Technologies об актуальных киберугрозах за 2022 год.
- DevOps-инженер — IT-специалист, который обладает обширными знаниями в области разработки и эксплуатации, включая написание кода, управление инфраструктурой, системное администрирование и работу с пакетами инструментов DevOps.
- Интегрированная среда разработки (integrated development environment, IDE) — приложение, которое помогает программистам эффективно разрабатывать код.
- Система управления базами данных.
- Платформа контейнеризации, с помощью которой можно автоматизировать создание приложений, их доставку и управление.
- Результаты внутреннего опроса клиентов Positive Technologies.