Solar Security inCode
российский инструмент проверки безопасности приложений нового поколения. Интерфейс Solar inCode позволяет управлять сканером в два клика: вся сложная вариативность алгоритмов и настроек максимально автоматизирована.
Solar Security Solar inCode позволяет при отсутствии исходного кода просто загрузить в сканер рабочий файл приложения. Проверка кода мобильных приложений может осуществляться простым копированием в меню сканера ссылки на приложение с Google Play или Apple Store.В случае наличия исходного кода, продукт легко интегрируется с репозиториями.
Solar inCode выдает детальные рекомендации по устранению уязвимостей на русском языке с описанием способов их эксплуатации. Рекомендации делятся на два типа: рекомендации по корректировке исходного кода и рекомендации по настройке компенсирующих мер на средствах SIEM, WAF, FW, NGFW.
Преимущества продукта:
- Не требует исходных кодов для анализа приложений
- Выдает результаты анализа в формате конкретных рекомендаций по устранению уязвимостей
- Формирует детальные рекомендации по настройке средств защиты: SIEM, WAF, FW, NGFW
- Выявляет большее количество уязвимостей за счет наличия различных технологий анализа кода
- Имеет интуитивно понятный интерфейс – сканирование запускается в два клика
- Легко интегрируется в процесс безопасной разработки ПО
Факты о продукте:
- Первый в России инструмент анализа приложений без исходных кодов методом «белого ящика»
- Технология Fuzzy Logic Engine снижает количество ложных срабатываний
- Представлен в форматах локальной и облачной версий
- В составе команды разработки — три кандидата наук, двое из которых защитили диссертации по декомпиляции кода
- 4 различных технологий анализа кода, включая taint-анализ
Проблемы, которые решает SOLAR INCODE:
- Веб-приложения и мобильные приложения доступны внешним пользователям, подразделение ИБ на их защищенность повлиять не может, но в случае инцидентов несет ответственность
- Сложная коммуникация ИБ и разработки: код для анализа не передается совсем, либо выдается архив, в котором крайне сложно разобраться
- Долгое устранение ошибок в коде веб-приложений
- Утечка данных через закладки, оставленные разработчиками в коде приложений, и контроль над приложениями
- Отсутствие инструмента контроля над безопасностью используемых в компании приложений
Использование SOLAR INCODE необходимо, если в организации:
- Внешним пользователям предоставляются онлайн-сервисы
- Собственное подразделение разработки или внешние разработчики создают критичные системы и приложения
- Необходим усиленный контроль над внешней или внутренней разработкой, в том числе, из-за отсутствия доступа к исходным кодам
- Внедрена методология SDLC: сотрудники службы ИБ принимают участие в приемке кода от разработчиков
- Есть необходимость соответствовать требованиям стандартов и регуляторов в части анализа программного кода
Состав SOLAR INCODE:
- Система анализа
- Система отчетности
- Модуль обработки ложных срабатываний (Fuzzy Logic Engine)
За счет такого состава Solar inCode позволяет проводить быструю и эффективную проверку безопасности приложений без долгих предварительных настроек и обучения работы с продуктом.