Positive Technologies представила новую версию системы анализа защищенности кода приложений — PT Application Inspector 4.0. В числе ключевых изменений — появление веб-версии продукта, работа в Docker-контейнерах 1 и поддержка языка TypeScript.
Исследование Positive Technologies, посвященное развитию DevSecOps (Development Security Operations), показало, что более трети (36%) опрошенных специалистов российских организаций 2 уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. В то же время эксперты подчеркнули, что им не хватает информации о практических кейсах внедрений (35%), процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%). Поэтому большинство улучшений в PT Application Inspector 4.0 были направлены на то, чтобы сделать работу по анализу защищенности кода понятной и удобной — как для специалистов по ИБ, так и для разработчиков.
Новая версия PT Application Inspector, помимо уже имеющейся поддержки ОС Windows, включает работу с ОС Linux. По оценкам экспертов Positive Technologies, ОС семейства Linux предпочитают использовать для работы около 83% разработчиков в мире, а на российском рынке Astra Linux — официальный дистрибутив Debian — входит в число наиболее распространенных ОС в государственном секторе 3. Таким образом с продуктом теперь могут работать компании, использующие Linux, и организации, заинтересованные в оптимизации расходов на IT, так как:
- системы на базе Linux имеют открытый исходный код, распространяются в основном бесплатно в виде готовых дистрибутивов и менее требовательны к ресурсам;
- работа в Docker-контейнерах сокращает трудозатраты на настройку, поддержку и сопровождение PT Application Inspector 4.0 за счет автоматизации части этих операций;
- в продукте не предусмотрены ограничения по количеству пользователей или проектов — сканер уязвимостей от Positive Technologies могут одновременно использовать участники распределенных команд.
В PT Application Inspector 4.0 доступ к результатам сканирования возможен в веб-версии, что позволяет всей команде работать с найденными уязвимостями, не разворачивая дополнительное ПО на рабочей станции.
PT Application Inspector сочетает ключевые методы анализа с уникальной технологией абстрактной интерпретации, что обеспечивает высокую точность результатов и минимальное число ложных срабатываний. Так, согласно бенчмарку международного сообщества Open Web Application Security Project (OWASP — открытый проект обеспечения безопасности веб-приложений) PT Application Inspector имеет средний балл анализа кода на уровне 85% — показывает 100% true positive 4 и 14,7% — false positive 5; по этому показателю PT Application Inspector значительно опережает большинство представленных на рынке анализаторов кода. Продукт автоматически создает безвредные эксплойты, благодаря которым можно подтвердить уязвимость и доказать возможность ее эксплуатации в реальной атаке.
«Незащищенные приложения представляют реальную опасность для бизнеса. Согласно исследованию Positive Technologies, в 2021 году в 100% приложений, проанализированных нашими экспертами, были выявлены уязвимости, которые давали возможность злоумышленникам проводить на клиентов атаки разного уровня сложности, — рассказывает Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies. — PT Application Inspector 4.0 комбинирует четыре технологии анализа кода: SAST 6, DAST 7, IAST 8 и SCA 9, и за счет этого обеспечивает высокое качество анализа, что подтверждено бенчмарком OWASP и успешными кейсами за девять лет существования PT Application Inspector».
В новой версии продукта добавлена поддержка языка TypeScript — он входит в десятку самых популярных языков программирования в мире и используется для создания как клиентской (frontend), так и серверной (backend) частей веб-приложений. TypeScript стал вторым, после JavaScript языком, который продукт поддерживает на основе JSA-модуля поиска уязвимостей (технология для статического анализа Just Static Analyzer). JSA-модуль универсален и гибок в плане производительности — его можно использовать для быстрого и тщательного анализа кода. В планах Positive Technologies перевести на этот модуль все поддерживаемые языки и перейти на плагины по IDE 10, которые позволяют анализировать безопасность приложения прямо в процессе написания кода.
Также в PT Application Inspector 4.0 появилась поддержка технологии единого входа. Для авторизации по схеме SSO (single sign-on, технология единого входа) в продукт добавлена поддержка стандарта SAML 2.0 (Security Assertion Markup Language, открытый стандарт обмена данными аутентификации, основанный на языке XML), позволяющего доменам безопасности обмениваться удостоверениями авторизации, и открытого стандарта децентрализованной системы аутентификации OpenID. Кроме того, реализована полная поддержка протокола (ранее SSO-авторизация была интегрирована только с Microsoft Active Directory).
- В исследовании 2 приняли участие сотрудники отечественных компаний из сфер IT (69%), финансов (17%), промышленности (7%).
- В 2020 году система преодолела рубеж в 1 млн лицензий.
- Положительные срабатывания.
- Ложные срабатывания.
- Механизмы статического анализа (static application security testing).
- Методы динамического анализа (dynamic application security testing).
- Механизмы интерактивного анализа (interactive application security testing).
- Инструменты анализа сторонних библиотек (software composition analysis).
- Язык PHP в IDE ― Visual Studio Code и PhpStorm.
- Технология единого входа (single sign-On, SSO) — метод аутентификации, который позволяет пользователям безопасно аутентифицироваться сразу в нескольких приложениях и сайтах, используя один набор учетных данных.