Positive Technologies
Новости

PT Application Inspector 4.0 доступен в веб-версии

Positive Technologies представила новую версию системы анализа защищенности кода приложений — PT Application Inspector 4.0. В числе ключевых изменений — появление веб-версии продукта, работа в Docker-контейнерах 1 и поддержка языка TypeScript.

Исследование Positive Technologies, посвященное развитию DevSecOps (Development Security Operations), показало, что более трети (36%) опрошенных специалистов российских организаций 2 уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. В то же время эксперты подчеркнули, что им не хватает информации о практических кейсах внедрений (35%), процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%). Поэтому большинство улучшений в PT Application Inspector 4.0 были направлены на то, чтобы сделать работу по анализу защищенности кода понятной и удобной — как для специалистов по ИБ, так и для разработчиков.

Новая версия PT Application Inspector, помимо уже имеющейся поддержки ОС Windows, включает работу с ОС Linux. По оценкам экспертов Positive Technologies, ОС семейства Linux предпочитают использовать для работы около 83% разработчиков в мире, а на российском рынке Astra Linux — официальный дистрибутив Debian — входит в число наиболее распространенных ОС в государственном секторе 3. Таким образом с продуктом теперь могут работать компании, использующие Linux, и организации, заинтересованные в оптимизации расходов на IT, так как:

  • системы на базе Linux имеют открытый исходный код, распространяются в основном бесплатно в виде готовых дистрибутивов и менее требовательны к ресурсам;
  • работа в Docker-контейнерах сокращает трудозатраты на настройку, поддержку и сопровождение PT Application Inspector 4.0 за счет автоматизации части этих операций;
  • в продукте не предусмотрены ограничения по количеству пользователей или проектов — сканер уязвимостей от Positive Technologies могут одновременно использовать участники распределенных команд.

В PT Application Inspector 4.0 доступ к результатам сканирования возможен в веб-версии, что позволяет всей команде работать с найденными уязвимостями, не разворачивая дополнительное ПО на рабочей станции.

Веб-интерфейс PT Application Inspector 4.0

PT Application Inspector сочетает ключевые методы анализа с уникальной технологией абстрактной интерпретации, что обеспечивает высокую точность результатов и минимальное число ложных срабатываний. Так, согласно бенчмарку международного сообщества Open Web Application Security Project (OWASP — открытый проект обеспечения безопасности веб-приложений) PT Application Inspector имеет средний балл анализа кода на уровне 85% — показывает 100% true positive 4 и 14,7% — false positive 5; по этому показателю PT Application Inspector значительно опережает большинство представленных на рынке анализаторов кода. Продукт автоматически создает безвредные эксплойты, благодаря которым можно подтвердить уязвимость и доказать возможность ее эксплуатации в реальной атаке.

Результаты оценки качества анализа PT Application Inspector, сделанные на основе сканирования публичного кода OWASP Benchmark

«Незащищенные приложения представляют реальную опасность для бизнеса. Согласно исследованию Positive Technologies, в 2021 году в 100% приложений, проанализированных нашими экспертами, были выявлены уязвимости, которые давали возможность злоумышленникам проводить на клиентов атаки разного уровня сложности, — рассказывает Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies. PT Application Inspector 4.0 комбинирует четыре технологии анализа кода: SAST 6, DAST 7, IAST 8 и SCA 9, и за счет этого обеспечивает высокое качество анализа, что подтверждено бенчмарком OWASP и успешными кейсами за девять лет существования PT Application Inspector».

В новой версии продукта добавлена поддержка языка TypeScript — он входит в десятку самых популярных языков программирования в мире и используется для создания как клиентской (frontend), так и серверной (backend) частей веб-приложений. TypeScript стал вторым, после JavaScript языком, который продукт поддерживает на основе JSA-модуля поиска уязвимостей (технология для статического анализа Just Static Analyzer). JSA-модуль универсален и гибок в плане производительности — его можно использовать для быстрого и тщательного анализа кода. В планах Positive Technologies перевести на этот модуль все поддерживаемые языки и перейти на плагины по IDE 10, которые позволяют анализировать безопасность приложения прямо в процессе написания кода.

Также в PT Application Inspector 4.0 появилась поддержка технологии единого входа. Для авторизации по схеме SSO (single sign-on, технология единого входа) в продукт добавлена поддержка стандарта SAML 2.0 (Security Assertion Markup Language, открытый стандарт обмена данными аутентификации, основанный на языке XML), позволяющего доменам безопасности обмениваться удостоверениями авторизации, и открытого стандарта децентрализованной системы аутентификации OpenID. Кроме того, реализована полная поддержка протокола (ранее SSO-авторизация была интегрирована только с Microsoft Active Directory).

  1. В исследовании 2 приняли участие сотрудники отечественных компаний из сфер IT (69%), финансов (17%), промышленности (7%).
  2. В 2020 году система преодолела рубеж в 1 млн лицензий.
  3. Положительные срабатывания.
  4. Ложные срабатывания.
  5. Механизмы статического анализа (static application security testing).
  6. Методы динамического анализа (dynamic application security testing).
  7. Механизмы интерактивного анализа (interactive application security testing).
  8. Инструменты анализа сторонних библиотек (software composition analysis).
  9. Язык PHP в IDE ― Visual Studio Code и PhpStorm.
  10. Технология единого входа (single sign-On, SSO) — метод аутентификации, который позволяет пользователям безопасно аутентифицироваться сразу в нескольких приложениях и сайтах, используя один набор учетных данных.