Фокус на точности: PT Application Inspector 4.10 сокращает время анализа в десятки раз
Фокус на точности: PT Application Inspector 4.10 сокращает время анализа в десятки раз
Alexander Antipov
Positive Technologies представила новую версию сканера защищенности кода веб-приложений.
Positive Technologies представила обновлённую версию сканера защищённости кода веб-приложений PT Application Inspector 4.10. В ней обновлён модуль анализа сторонних компонентов (SCA), основанный на собственной базе уязвимостей. Это позволило существенно снизить число ложных срабатываний — в некоторых проектах до 100% — при проверке безопасности используемых библиотек.
Разработчики объединили два типа анализа, ранее работавших отдельно: статический анализ кода приложения (SAST) и анализ сторонних компонентов (SCA). Такая интеграция позволила системе учитывать не только наличие уязвимостей в библиотеках, но и факт их использования в коде приложения.
В PT Application Inspector 4.10 добавлен анализ достижимости: система проверяет, вызываются ли уязвимые функции. Это позволяет сигнализировать только о тех уязвимостях, которые реально могут быть использованы злоумышленниками. Кроме того, реализована функция поиска транзитивных зависимостей — когда одна библиотека зависит от другой, а та — от третьей. Новый граф зависимостей позволяет отслеживать такие цепочки и точнее определять уровень риска.
Результаты тестирования на 193 открытых проектах с GitHub, содержащих уязвимые компоненты, показали снижение ложноположительных срабатываний на 98–100%. Это сокращает время, затрачиваемое специалистами на анализ, и позволяет сосредоточиться на устранении реальных проблем.
По словам Сергея Синякова, руководителя направления application security в Positive Technologies, «специалисты по кибербезопасности нередко избегают анализа сторонних компонентов, опасаясь утонуть в тысячах срабатываний». Он отметил, что новая версия сигнализирует только при подтверждённом присутствии уязвимого фрагмента кода, что снижает количество срабатываний в десятки раз.
Так, во время одного из тестирований PT Application Inspector обнаружил 36 уязвимостей, но указал только на 4 ошибки, которые реально использовались в коде. Это стало возможным благодаря контекстному анализу — поиск ведётся по вызовам методов, наиболее вероятно приводящим к выполнению уязвимого кода. Остальные уязвимости получают статус «потенциальные» и отображаются при активации соответствующего фильтра.
Добавлена также поддержка тегов для параллельного анализа нескольких git-веток одного репозитория. Сканирование теперь можно запускать одновременно в разных ветках без риска перезаписи результатов. Статусы, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами. Это упрощает управление анализом и минимизирует простои при разработке.
Теги задаются через API при создании или редактировании проекта. В веб-интерфейсе появилась фильтрация проектов по веткам и репозиториям. Это позволяет отслеживать историю изменений уязвимостей и гибко настраивать синхронизацию статусов и исключений файлов в зависимости от задач команды.
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887 erid:2SDnjcchpma
Разработчики объединили два типа анализа, ранее работавших отдельно: статический анализ кода приложения (SAST) и анализ сторонних компонентов (SCA). Такая интеграция позволила системе учитывать не только наличие уязвимостей в библиотеках, но и факт их использования в коде приложения.
В PT Application Inspector 4.10 добавлен анализ достижимости: система проверяет, вызываются ли уязвимые функции. Это позволяет сигнализировать только о тех уязвимостях, которые реально могут быть использованы злоумышленниками. Кроме того, реализована функция поиска транзитивных зависимостей — когда одна библиотека зависит от другой, а та — от третьей. Новый граф зависимостей позволяет отслеживать такие цепочки и точнее определять уровень риска.
Результаты тестирования на 193 открытых проектах с GitHub, содержащих уязвимые компоненты, показали снижение ложноположительных срабатываний на 98–100%. Это сокращает время, затрачиваемое специалистами на анализ, и позволяет сосредоточиться на устранении реальных проблем.
По словам Сергея Синякова, руководителя направления application security в Positive Technologies, «специалисты по кибербезопасности нередко избегают анализа сторонних компонентов, опасаясь утонуть в тысячах срабатываний». Он отметил, что новая версия сигнализирует только при подтверждённом присутствии уязвимого фрагмента кода, что снижает количество срабатываний в десятки раз.
Так, во время одного из тестирований PT Application Inspector обнаружил 36 уязвимостей, но указал только на 4 ошибки, которые реально использовались в коде. Это стало возможным благодаря контекстному анализу — поиск ведётся по вызовам методов, наиболее вероятно приводящим к выполнению уязвимого кода. Остальные уязвимости получают статус «потенциальные» и отображаются при активации соответствующего фильтра.
Добавлена также поддержка тегов для параллельного анализа нескольких git-веток одного репозитория. Сканирование теперь можно запускать одновременно в разных ветках без риска перезаписи результатов. Статусы, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами. Это упрощает управление анализом и минимизирует простои при разработке.
Теги задаются через API при создании или редактировании проекта. В веб-интерфейсе появилась фильтрация проектов по веткам и репозиториям. Это позволяет отслеживать историю изменений уязвимостей и гибко настраивать синхронизацию статусов и исключений файлов в зависимости от задач команды.
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887 erid:2SDnjcchpma