PT Application Inspector 5.2: продвинутый анализ кода на уязвимости

Компания Positive Technologies, один из лидеров в области результативной кибербезопасности, представила новую версию сканера защищенности приложений PT Application Inspector — 5.2. Теперь пользователи могут создавать правила анализа, которые учитывают особенности сканируемого кода. Кроме того, обновленный продукт обнаруживает не только уязвимости, но и слабые места, которые становятся причиной ошибок при выполнении программы, а также атаки, нарушения задуманной логики приложения и проблемы со стабильностью работы.

Для повышения эффективности сканирования специалисты Positive Technologies добавили возможность адаптировать PT Application Inspector под проверяемый проект. Специализированный язык JSA DSL, разработанный для создания пользовательских правил, позволяет подробно описывать семантику исходного кода, в том числе входные точки для данных, фильтры, потенциально опасные операции, а также особенности веб-фреймворков, динамического кода и внедрения зависимостей.

«Мы создали инструмент, который позволяет значительно расширить экспертную логику, заложенную в технологию статистического анализа кода приложения (SAST). Разработанный нашими специалистами подход позволяет быстро и безопасно адаптировать решение под специфику анализируемого фреймворка без необходимости править ядро. JSA DSL одинаково работает для всех поддерживаемых языков: Go, Java, JavaScript, PHP и Python. В дальнейшем мы планируем расширять его возможности».

Сергей СиняковРуководитель продуктов application security Positive Technologies

Новая версия PT Application Inspector теперь не только обнаруживает уязвимости, но и контролирует корректность работы кода. Решение выявляет целочисленное переполнение, разыменование нулевого указателя, деление на ноль и другие аспекты, которые становятся причиной ошибок при выполнении программы, приводят к нарушениям задуманной логики приложения и могут быть проэксплуатированы злоумышленниками. Новая функциональность уже реализована для языков Go, Java, JavaScript, .NET, PHP, Python, Ruby и TypeScript. Режим является опциональным и активируется при необходимости.

В новой версии PT Application Inspector расширена поддержка языков, в частности внедрено сканирование приложений, написанных на языке Scala (включая фреймворк Play Framework) и на платформе .NET версии 9. Теперь разработчики и инженеры безопасности могут анализировать проекты на всех актуальных стеках без слепых зон.

Еще одна новая функция — возможность объединять правила анализа в группы и назначать их на разные проекты. Выбор релевантных правил позволяет оптимизировать процесс проверки, повысить качество статического анализа и упростить настройку проектов под конкретные задачи, что особенно актуально для организаций с несколькими бизнес-линиями.

Можно добавить в группу все правила или выбрать только необходимые

Компании, которые уже используют PT Application Inspector, могут обновить лицензию продукта и получить доступ к новой функциональности на специальных условиях, обратившись к своему менеджеру либо заполнив заявку на сайте Positive Technologies.