Positive Technologies представила новую версию системы анализа защищенности кода приложений — PT Application Inspector 4.0.
Среди ключевых изменений — появление веб-версии продукта, работа в Docker-контейнерах и поддержка языка TypeScript.
Исследование Positive Technologies, посвященное развитию DevSecOps (Development Security Operations), показало, что более трети (36%) опрошенных специалистов российских организаций уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. В то же время эксперты подчеркнули, что им не хватает информации о практических кейсах внедрений (35%), процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%). Поэтому большинство улучшений в PT Application Inspector 4.0 были направлены на то, чтобы сделать работу по анализу защищенности кода понятной и удобной — как для специалистов по ИБ, так и для разработчиков.
Новая версия PT Application Inspector, помимо уже имеющейся поддержки ОС Windows, включает работу с ОС Linux. По оценкам экспертов Positive Technologies, ОС семейства Linux предпочитают использовать для работы около 83% разработчиков в мире, а на российском рынке Astra Linux — официальный дистрибутив Debian — входит в число наиболее распространенных ОС в государственном секторе. Таким образом с продуктом теперь могут работать компании, использующие Linux, и организации, заинтересованные в оптимизации расходов на IT. Плюсы:
- системы на базе Linux имеют открытый исходный код, распространяются в основном бесплатно в виде готовых дистрибутивов и менее требовательны к ресурсам;
- работа в Docker-контейнерах сокращает трудозатраты на настройку, поддержку и сопровождение PT Application Inspector 4.0 за счет автоматизации части этих операций;
- в продукте не предусмотрены ограничения по количеству пользователей или проектов — сканер уязвимостей от Positive Technologies могут одновременно использовать участники распределенных команд.
В PT Application Inspector 4.0 доступ к результатам сканирования возможен в веб-версии, что позволяет всей команде работать с найденными уязвимостями, не разворачивая дополнительное ПО на рабочей станции.
PT Application Inspector сочетает ключевые методы анализа с уникальной технологией абстрактной интерпретации, что обеспечивает высокую точность результатов и минимальное число ложных срабатываний. Так, согласно бенчмарку международного сообщества Open Web Application Security Project (OWASP — открытый проект обеспечения безопасности веб-приложений) PT Application Inspector имеет средний балл анализа кода на уровне 85% — показывает 100% true positive и 14,7% — false positive ; по этому показателю PT Application Inspector значительно опережает большинство представленных на рынке анализаторов кода. Продукт автоматически создает безвредные эксплойты, благодаря которым можно подтвердить уязвимость и доказать возможность ее эксплуатации в реальной атаке.
«Незащищенные приложения представляют реальную опасность для бизнеса. Согласно исследованию Positive Technologies, в 2021 году в 100% приложений, проанализированных нашими экспертами, были выявлены уязвимости, которые давали возможность злоумышленникам проводить на клиентов атаки разного уровня сложности, — рассказывает Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies. — PT Application Inspector 4.0 комбинирует четыре технологии анализа кода: SAST , DAST , IAST и SCA , и за счет этого обеспечивает высокое качество анализа, что подтверждено бенчмарком OWASP и успешными кейсами за девять лет существования PT Application Inspector».
В новой версии продукта добавлена поддержка языка TypeScript — он входит в десятку самых популярных языков программирования в мире и используется для создания как клиентской (frontend), так и серверной (backend) частей веб-приложений. TypeScript стал вторым после JavaScript языком, который продукт поддерживает на основе JSA-модуля поиска уязвимостей (технология для статического анализа Just Static Analyzer). JSA-модуль универсален и гибок в плане производительности — его можно использовать для быстрого и тщательного анализа кода. В планах Positive Technologies перевести на этот модуль все поддерживаемые языки и перейти на плагины по IDE , которые позволяют анализировать безопасность приложения прямо в процессе написания кода.
Также в PT Application Inspector 4.0 появилась поддержка технологии единого входа. Для авторизации по схеме SSO (single sign-on, технология единого входа) в продукт добавлена поддержка стандарта SAML 2.0 (Security Assertion Markup Language, открытый стандарт обмена данными аутентификации, основанный на языке XML), позволяющего доменам безопасности обмениваться удостоверениями авторизации, и открытого стандарта децентрализованной системы аутентификации OpenID. Кроме того, реализована полная поддержка протокола (ранее SSO-авторизация была интегрирована только с Microsoft Active Directory).