Российские сканеры уязвимостей программного кода

2024. На платформе Mos.Hub появилась функция автоматической проверки кода на уязвимости



Пользователи облачной платформы Mos.Hub теперь могут проверить свой код на уязвимости статическим анализатором кода. Такая возможность появилась благодаря интеграции Mos.Hub с городской платформой безопасной разработки. Для получения возможности автоматизированной проверки кода на уязвимости необходимо направить запрос в службу технической поддержки на активацию функции «Проверка безопасности исходного кода» в выбранном проекте или группе проектов. Платформа Mos.Hub — это полноценный бесплатный русскоязычный аналог популярных зарубежных площадок для совместной работы с кодом. Все ее компоненты размещены в городском центре обработки данных и находятся под надежной защитой, поэтому разработчики могут быть уверены в сохранности своего кода.


2018. «Конфидент» разработал «песочницу» для СЗИ Dallas Lock 8.0

Центр защиты информации ГК «Конфидент» разработал Безопасную среду в составе СЗИ Dallas Lock 8.0. «Безопасная среда», или «песочница» - это среда для безопасного исполнения приложений, в которую можно поместить любое потенциально опасное, «воспламеняющееся» ПО и безопасно наблюдать за его действиями. Вы можете запустить любое программное обеспечение и протестировать его в изолированной, защищённой среде. Ресурсы операционной системы, при этом, будут в безопасности. Безопасная среда теперь будет входить в состав СЗИ Dallas Lock 8.0 и являться частью модуля Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock. В основе «песочницы» лежат технологии частичной виртуализации, позволяющие виртуализировать файловую систему и системный реестр ОС Windows.


2018. «Ростелеком-Solar» впустила новую версию Solar inCode с возможностью инкрементального анализа

«Ростелеком-Solar», провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью, объявила о выходе новой версии Solar inCode, решения для контроля защищенности исходного кода. Список языков программирования, который распознает и анализирует Solar inCode 2.9, пополнился за счет Groovy и Kotlin. При этом анализ приложений, написанных на Kotlin, возможен даже без доступа к их исходному коду. Также, в Solar inCode 2.9 была реализована возможность инкрементального анализа. Благодаря этому при сравнении разных сборок приложения разработчики смогут сканировать только ту часть кода, которая была добавлена в более новой версии. Аналогично, в отчеты Solar inCode 2.9 теперь можно включать только те уязвимости, которые ранее не были обнаружены в данном ПО. Кроме того, при необходимости можно исключать из сканирования стандартные библиотеки, проверяя на ошибки и потенциальный уязвимости только собственный код.

2018. Вышла новая версия Solar inCode с функцией анализа исполняемых файлов для macOS

Solar Security выпустила новую версию решения Solar inCode 2.7 с поддержкой статического анализа кода бинарных файлов для macOS.  В новой версии добавлены новые правила для поиска уязвимостей в коде, а также улучшены алгоритмы анализа при поиске уязвимостей для языков Java/Scala и Java for Android. Отчеты о сканированиях теперь можно выгружать в соответствии с классификацией уязвимостей OWASP Top 10 2017. Кроме того, найденные уязвимости могут быть ранжированы в соответствии с OWASP Mobile Top 10 2016, PCI DSS и HIPAA, что упрощает задачу по соответствию требованиям регуляторов. Главным отличием Solar inCode от конкурирующих решений является возможность статического анализа исполняемых с автоматическим восстановлением высокоуровневого кода. В целях усиления данного конкурентного преимущества в версии Solar inCode 2.7 реализован модуль анализа исполняемых файлов приложений для операционной системы macOS (расширение .app).


2017. «Эшелон» запустил первый в стране лицензированный центр мониторинга по информационной безопасности

Группа компаний «Эшелон» объявила о запуске центра мониторинга и управления информационной безопасностью ((Echelon Security Operation Center, ESOC). Решение первым в России получило соответствующую лицензию ФСТЭК России. Продукт базируется на технических решениях НПО «Эшелон» и накопленном опыте реализации комплексных проектов по информационной безопасности. В основе технической платформы лежат такие ИТ-решения, как SIEM-система «Комрад», система комплексного анализа защищенности «Сканер-ВС», средство анализа безопасности исходного кода AppChecker. Основными услугами ESOC являются непрерывный мониторинг событий информационной безопасности, собираемых с различных объектов ИТ-инфраструктуры заказчиков, контроль защищенности в виде периодических тестов на проникновение, расследование инцидентов и оперативное противодействие компьютерным атакам, а также аудит безопасности кода.


2017. Solar inCode 2.3 получил интеграцию с JIRA и модуль анализа приложений на С/С++

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера кода Solar inCode. Ее основные особенности — «коробочная» интеграция с JIRA, анализ мультиязычных приложений и модуль бинарного анализа приложений на С/С++. Solar inCode способен производить статический анализ на уязвимости и НДВ без доступа к исходному коду приложений. Благодаря собственным исследованиям технологий декомпиляции и деобфускации, Solar inCode 2.3 осуществляет статический анализ .exe- и .dll-файлов, написанных на С/С++ для архитектуры х64 и х86. Эта функциональность Solar inCode 2.3 позволит службе безопасности проверять уровень защищенности используемых в компании приложений даже без доступа к их исходному коду — в случаях с так называемым «унаследованным ПО» или приложениями, разработка которых отдана на аутсорсинг.


2016. Solar inCode для анализа безопасности приложений стал доступен по модели SaaS

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, объявила о начале предоставления решения Solar inCode по модели Software-as-a-Service (SaaS). Первым реселлером облачной версии Solar inCode станет компания Softline. Solar inCode в облачном формате ориентирован на компании, у которых потребность в проверке безопасности кода приложений возникает время от времени. Лицензии на несколько сканирований можно приобрести на сайте Softline. Небольшие вендоры программного обеспечения и компании, использующие заказную работку, могут приобрести лицензии на необходимое число сканирований, через веб-интерфейс загрузить код в «облако» Solar inCode и проверить приложение на наличие уязвимостей и закладок. Интерфейс продукта позволяет управлять сканером в два клика, а интерпретация результатов сканирования не требует от пользователя глубокой технической экспертизы.


2016. Cloud4Y выпустила новое решение для поиска уязвимостей веб-приложений

Компания Cloud4Y анонсировала выход нового продукта — WebGuard Web Application Scanning (WAS) в формате SaaS (программное обеспечение как услуга). Для проверки веб-приложений WAS использует возможности масштабируемости облачной платформы для выполнения поиска, внесения в списки и проверки как отдельных, так и всех веб-приложений компаний. Служба проверки приложений необходима для осуществления анализа индивидуальных веб-приложений и определения уязвимостей, представляющих опасность для баз данных или способных помочь обойти средства управления доступом к приложениям. По словам сотрудников Cloud4Y, проверка веб-приложений является промышленной необходимостью для классификации наиболее критических рисков, с которыми могут сталкиваться компании. В их числе SQL-инъекции, межсайтовый скриптинг (XSS), подделка кросс-сайт запросов (CSRF) и перенаправление URL.


2016. Positive Technologies представил бесплатную утилиту для безопасной разработки



Компания Positive Technologies представила новую бесплатную утилиту Approof для поддержки безопасной разработки. Компании могут использовать Approof для проверки веб-приложений на наличие уязвимых компонентов. Функции утилиты включают в себя обнаружение уязвимостей в сторонних библиотеках, CMS и фреймворках, проверку конфигурации приложения, обнаружение незащищенных чувствительных данных (метаданные репозиториев, ключи шифрования), обнаружение веб-шеллов и вредоносного кода.


2015. «Инфозащита» и Solar Security объявили о начале совместного продвижения российской системы анализа кодов на наличие уязвимостей

Компания «Инфозащита», специализированный интегратор в области информационной безопасности и Solar Security — разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью — объявили о подписании партнерского соглашения. В рамках партнерства «Инфозащита» получила статус Implement и Support Partner по продукту Solar inCode – новому отечественному инструменту проверки безопасности онлайн и мобильных приложений, сочетающему в себе статические технологии анализа кода и научные подходы к реверс-инжинирингу. ***


2015. Positive Technologies выводит на рынок продукты семейства Application Security

Компания Positive Technologies в конце 2014 г. представила новую линейку продуктов для анализа и защиты мобильных, веб- и ERP-приложений — PT Application Inspector и PT Application Firewall. Решения позволяют обеспечить безопасность систем ДБО и АБС, а также корпоративных приложений и порталов электронного правительства. Особенность нового самообучающегося межсетевого экрана PT AF заключается в том, что он способен устранять угрозы без обновления ПО защищаемого приложения. Механизм виртуальных патчей блокирует атаки через известные уязвимости до того, как будет исправлен небезопасный код. Вместе с системой анализа исходного кода PT AI данная функция обеспечивает непрерывный процесс выявления и блокирования уязвимостей. При этом вместо применения классического сигнатурного метода PT AF анализирует сетевой трафик и системные журналы для создания актуальной модели функционирования приложений и на ее основе выявляет аномальное поведение системы.


2012. SafeNet выпустила платформу нового поколения для защиты и лицензирования ПО

Компания SafeNet объявила о выпуске среды разработки Sentinel License Development Kit (LDK) — платформы нового поколения для защиты и лицензирования и управления продажами ПО. Sentinel LDK включает в себя недавно выпущенную платформу для защиты программного обеспечения Sentinel HL и решение по управлению лицензиями Sentinel EMS. Sentinel LDK представляет собой готовое комплексное решение, которое поможет издателям ПО защитить свои программные продукты. Решение упрощает процессы защиты и лицензирования, создавая при этом удобство для работы конечных пользователей, и в конечном итоге, увеличивает выручку от продажи программных продуктов, утверждают разработчики. Благодаря полной интеграции с Sentinel EMS издатели ПО получают все необходимые инструменты для эффективной доставки лицензий конечным пользователям, а также для отслеживания и контроля над использованием программного продукта. С помощью Sentinel EMS издатели могут предложить конечным пользователям возможность активации и управления собственными лицензиями через портал конечных пользователей.


2012. «Алтэкс-Софт» начала продажи новой версии сканера безопасности Seven_Check

Компания «Алтэкс-Софт» сообщила о старте продаж новой версии сканера безопасности Seven_Check, предназначенного для настройки и контроля параметров безопасности сертифицированных продуктов Microsoft. Отличительной особенностью программ является поддержка международного протокола Security Content Automation Protocol (SCAP, протокол автоматизации управления контентом безопасности) и более расширенный функционал, включающий, в том числе: аудит уязвимостей операционной системы, комплектов офисных программ, браузеров, сред выполнения, программ-мессенджеров и т.д.; оценку соответствия требованиям безопасности, формализованным в виде SCAP-контента; анализ и блокировку сетевой активности приложений, развёрнутых на локальной машине. Унифицированные механизмы и функции Seven_Check, используют встроенные в программу OVAL- и XCCDF-интерпретаторы, разработанные компанией «Алтэкс-Софт», и предоставляют пользователям доступ к содержимому «Репозитория контента безопасности» (официально зарегистрированного в программе OVAL Repository некоммерческой организации Mitre), а также возможность использовать best practices-конфигурации, в том числе таких компаний, как: Microsoft, Mitre, NIST, DISA и др.


2012. Appercut Security запустила облачный сервис для поиска уязвимостей бизнес-приложений

Компания Appercut Security (входит в ГК InfoWatch) — разработчик и провайдер инновационных веб-сервисов для контроля качества кода бизнес-приложений — представила на российском рынке облачный сервис Appercut Custom Code Scanner (ACCS). Он позволяет пользователям почти любого бизнес-приложения самостоятельно и практически мгновенно проанализировать его исходный код и обнаружить уязвимости, нарушения корпоративных стандартов ИБ и требований регуляторов. При этом сервис способен выявлять бреши, которыми могут воспользоваться как злоумышленники извне, так и инсайдеры. В настоящее время по совокупности этих параметров сервис Appercut Custom Code Scanner не имеет аналогов на мировом рынке, утверждают в Appercut Security. Сервис поддерживает более 20 языков программирования, включая основные языки бизнес-приложений. Среди них: ABAP/4 платформы SAP R/3, PeopleCode систем Oracle CRM/HRMS, VBScript компании Microsoft, LotusScript платформы IBM Lotus Notes, а также внутренний язык «1С:Предприятия».


2012. HID Global выпускает SDK для iOS, который обеспечит защиту конфиденциальных данных на iPhone и iPad

Компания HID Global объявила о выпуске ActivClient, пакета средств разработки мобильного программного обеспечения для операционной системы iOS. Разработчики приложений, предприятия, государственные и другие организации смогут воспользоваться преимуществами этого пакета, такими как двухфакторная аутентификация, электронная подпись и технология декодирования для всех устройств, работающих на iOS, в том числе для iPhone и iPad. Как отмечают в компании, широкое распространение этих устройств способствовало появлению феномена BYOD, в результате чего изменился способ доступа сотрудников предприятий и государственных организаций к корпоративной электронной почте и другим ресурсам. Пакет ActiveClient для операционной системы iOS является флагманским программным решением, позволяющим полноценно применять процедуру строгой аутентификации для защиты корпоративных данных, хранящихся в миллионах личных смартфонов и планшетных компьютеров, использующихся для отправки сообщений по корпоративной электронной почте и доступа к внутренним порталам и облачным приложениям.