PT Application Inspector 4.10: фокус на реальных уязвимостях в коде

Компания Positive Technologies, лидер в области результативной кибербезопасности, представила новую версию сканера защищенности веб-приложений PT Application Inspector 4.10 с улучшенным модулем анализа сторонних компонентов (SCA), основанным на собственной базе уязвимостей. Обновление позволило значительно (в некоторых проектах — до 100%) снизить число ложноположительных срабатываний при проверке безопасности подключенных библиотек.

Для повышения точности сканирования разработчики Positive Technologies объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST), которые ранее использовались в продукте независимо друг от друга. 

Благодаря синергии двух технологий PT Application Inspector получил новые возможности:

• Анализ достижимости. PT Application Inspector 4.10 не только учитывает информацию об уязвимостях, содержащихся в используемых библиотеках, но и проверяет наличие уязвимых функций. В результате система сигнализирует только о тех уязвимостях, которые реально могут быть проэксплуатированы злоумышленниками.
• Поиск транзитивных зависимостей. Содержащаяся в коде библиотека может иметь функции, зависимые от другой, которая, в свою очередь, через несколько зависимостей может быть связана с уязвимой библиотекой. PT Application Inspector теперь отслеживает такие связи и отображает их в виде графа, что позволяет четко определить фактическую угрозу.

Результаты тестирования новой версии продукта на 193 открытых проектах с GitHub, использующих уязвимые компоненты, показали снижение числа ложноположительных срабатываний на 98–100%. Так, благодаря новым возможностям PT Application Inspector разработчики и специалисты по информационной безопасности сэкономят время на анализе срабатываний и смогут сосредоточиться на исправлении реальных дефектов безопасности.

В основе работы PT Application Inspector 4.10 лежит контекстный анализ: он предполагает поиск вариантов использования уязвимого компонента, соответствующих определенному критерию. В обновленном решении объектами контекстного поиска стали вызовы методов, наиболее вероятно приводящие к выполнению уязвимого кода. Дефекты безопасности, не требующие срочного вмешательства специалистов, переходят в статус потенциальных — их можно увидеть при выборе соответствующего фильтра.

Еще одна новая функция продукта — поддержка тегов для параллельного анализа нескольких Git-веток в одном репозитории. Теперь разработчики могут запускать сканирование разных веток одновременно, не опасаясь перезаписи результатов. Статусы уязвимостей, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами. Теги задаются через API при создании или изменении проекта, что упрощает управление сканированиями. В веб-интерфейс добавлена фильтрация проектов по веткам и репозиториям для быстрого доступа к нужным данным. Функция позволяет минимизировать простои благодаря параллельной работе, объединять историю изменения уязвимостей из разных веток и гибко настраивать синхронизацию — например, включать или выключать перенос статусов и исключений файлов в зависимости от задач команды.

Компании, которые уже используют PT Application Inspector, могут обновить лицензию продукта и получить доступ к новой функциональности на специальных условиях, обратившись к своему менеджеру либо заполнив заявку на сайте Positive Technologies.