Компания «Ростелеком-Солар» представила обновление анализатора кода Solar appScreener 3.10. Среди ключевых изменений в новой версии – введены новые меры безопасного доступа, появилась возможность приостановки сканирований, обновилась база правил поиска уязвимостей.
В Solar appScreener 3.10 появилось ограничение количества попыток ввода неверных учётных данных. В настройках по умолчанию после пятой попытки ввода учетная запись автоматически блокируется. Администратор системы может изменить количество попыток ввода неверных данных или отключить эту опцию в настройках. Помимо этого, было добавлено требование регулярной смены пароля. Срок действия пароля в базовой настройке составляет три месяца, но может быть скорректирован при необходимости администратором. Требование смены пароля может быть отключено.
Специалисты «Ростелеком-Солар» добавили в новую версию возможность приостановки сканирований. Это позволяет приоритезировать очередность анализа проектов, благодаря чему можно ускорить анализ необходимых приложений, если в системе запущено одновременно много проектов. При этом возобновление приостановленных сканирований происходит без потери достигнутого прогресса. Поставить на паузу или возобновить анализ можно на «Домашней странице» или в разделе «Сканирования».
«Каждый новый релиз продукта – результат глубокой и длительной аналитической работы. Проведя исследование потребностей пользователей, трендов рынка, новых угроз и путей реализации фич в продукте, мы всегда фокусируемся на главном. Благодаря этому Solar appScreener сегодня один из самых функционально проработанных и удобных сканеров безопасности кода, представленных на рынке», – отмечает Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар».
Традиционно в каждом обновлении улучшается база правил поиска уязвимостей. В частности, в Solar appScreener 3.10 вошли новые правила поиска в конфигурационных файлах Dockerfiles и docker-compose.yml. Кроме того, в новую версию добавили возможность создания паттернов для языка С++ в формате XML. Теперь пользователи смогут создавать свои правила поиска уязвимостей, загружать их в систему через интерфейс и применять при анализе проектов С++. Подробные требования к формату правил можно получить в разделе «О продукте». Также были дополнены правила поиска уязвимостей в приложениях Delphi, что значительно улучшило его поддержку.
Вместе с этим улучшения коснулись модуля анализа JVM – добавлены правила поиска повторного использования криптографических ключей и улучшена производительность.