Новая версия Solar appScreener научилась классифицировать уязвимости по ГОСТ

Группа компаний «Солар», занимающаяся архитектурой комплексной кибербезопасности, выпустила обновление платформы Solar appScreener — инструмента для анализа безопасности приложений на уровне исходного кода. Версия 3.15.5 получила ряд улучшений, направленных на повышение удобства для разработчиков и расширение возможностей модуля статического анализа (SAST). Главное нововведение — автоматическая классификация всех уязвимостей в соответствии с требованиями нового ГОСТ Р 71207–2024, регулирующего стандарты безопасной разработки.

ГОСТ Р 71207–2024 вводит понятие «критическая ошибка в программе» (п. 3.1.13), подразумевающее дефекты, способные нарушить безопасность обрабатываемой информации. Классификация охватывает широкий спектр проблем, включая ошибки при работе с конфиденциальными данными и неправильное применение процедур безопасности — то есть уязвимости, потенциально приводящие к инцидентам.

По данным «Солара», более половины веб-приложений российских компаний содержат уязвимости, причём 56% из них отнесены к критичным или особо критичным. Особенно уязвимы финансовые системы, где часто встречаются проблемы с контролем доступа, XSS-атаками, слабым шифрованием и незащищённым хранением конфиденциальной информации, такой как банковские данные и пароли. Аналитики компании отмечают, что в 2024 году такие уязвимости стали причиной 40% всех случаев утечки данных.

Новая система классификации теперь встроена в интерфейс Solar appScreener: при запуске сканирования каждая найденная уязвимость получает уникальный код, описание и рекомендации по устранению. Также указывается степень влияния на безопасность, приоритет исправления и ориентировочные сроки устранения. Режим доступен при выборе классификации по ГОСТ Р 71207–2024 и поддерживает языки Java, Scala, Kotlin, Python, C/C++, JavaScript, Go и C#.

По мнению специалистов ГК «Солар», применение модуля SAST помогает компаниям выстроить процесс разработки в соответствии с отечественными стандартами информационной безопасности, унифицировать терминологию для внутренних и внешних проверок, а также обеспечить прозрачную отчётность перед клиентами и регуляторами.

Платформа Solar appScreener включает несколько модулей и выпускается в двух вариантах. В on-premise-версии доступны все компоненты, включая SAST, DAST, OSA и анализ цепочек поставок. Совмещённый анализ SAST/OSA помогает обнаруживать уязвимые сторонние зависимости, их источник и минимизировать ложные срабатывания, что ускоряет процессы DevSecOps и снижает нагрузку на команды.

Для небольших разработчиков предусмотрена облачная версия с модулем SCA, позволяющим проверять open-source зависимости на наличие уязвимостей и лицензионных рисков. Дополнительно реализован модуль SCS, который оценивает компоненты, в которых уязвимости пока не найдены, по различным параметрам: популярности, обновляемости, и даже активности разработчиков — включая анализ публичных заявлений, которые могут указывать на риски внедрения недекларированных возможностей (НДВ).