Топ 10: Сканеры уязвимостей программного кода

2024. GitHub добавил ИИ-инструмент для автоматического исправления кода



Сервис для контроля версий GitHub запустил новую функцию автоматического сканирования кода для обнаружения и исправления уязвимостей безопасности при его написании. Эта новая функция сочетает возможности работы в реальном времени GitHub Copilot с CodeQL, механизм семантического анализа кода. GitHub обещает, что эта новая система сможет устранять более двух третей обнаруженных уязвимостей – часто без необходимости редактировать код самими разработчиками. Компания также обещает, что автоматическое исправление сканирования кода будет охватывать более 90% типов оповещений на поддерживаемых языках, сейчас это JavaScript, Typescript, Java и Python. В GitHub считают, что благодаря этой функции разработчики могут сосредоточиться на более сложных задачах, а не тратить время на рутинное исправление ошибок.


2020. Github запустил бесплатный поиск ошибок в ПО



Крупнейший в мире хостинг ИТ-проектов Github запустил бесплатный сервис по выявлению уязвимостей в исходном коде программ. Инструмент, получивший название “Code scanning” («Сканирование кода»), функционирует на базе движка для семантического анализа кода CodeQL. Сервис автоматически сканирует каждый запрос на включение кода в репозиторий (pull-запроса) на основании преднастроенных шаблонов. Эти шаблоны содержат описания типовых ошибок, совершаемых программистами. В системе их на данный момент более 2 тыс., и пользователи сервиса могут добавлять свои собственные шаблоны. Инструмент доступен бесплатно для использования с общедоступными репозиториями.


2020. Snyk получил новые инвестиции и стал единорогом



Snyk, платформа кибербезопасности, которая помогает разработчикам находить уязвимости в их приложениях с открытым исходным кодом, привлекла $150M. Основанная в 2015 году, лондонская компания Snyk помогает разработчикам в поиске и исправлении ошибок в их исходном коде, а также в контейнерах и приложениях Kubernetes. Разработчик подключает Snyk к хранилищам на GitHub, GitLab или Bitbucket, а платформа затем сканирует исходный код на наличие уязвимостей (или нарушение лицензий), предоставляет описание проблемы, отмечает в нем, в чем заключается недостаток кода, проставляет оценку уязвимости и даже предлагает исправления. В основе этого лежит большая база данных об уязвимостях. Snyk постоянно отслеживает приложения и предупреждает, когда недавно обнаруженная уязвимость может повлиять на клиента.

2015. HP представила технологию машинного обучения для защиты приложений

Компания HP представила инновационную технологию машинного обучения, которая позволяет эффективно использовать накопленные в организации данные о безопасности приложений. Платформа HP Fortify scan analytics использует большие данные, чтобы оценить приоритетность угроз, и автоматически обрабатывает результаты сканирования приложений, позволяя пользователю сосредоточиться на более важных задачах. Система анализирует данные с использованием тысяч тестов безопасности, что позволяет ускорить и автоматизировать аудит безопасности приложений, пояснили в компании. Она учитывает особенности работы каждого приложения и потому обеспечивает релевантный результат. Использование результатов прошлых сканирований с помощью HP Fortify Static Code Analyzer позволяет программе «научиться» определять, какие уязвимости являются более важными, исходя из предпочтений и политик организации.


2015. Check Point разработал инструмент с открытым кодом для анализа вредоносного ПО в Android

Check Point разработал бесплатный инструмент с открытым кодом, который позволяет быстрее и проще идентифицировать вредоносное ПО, созданное для атак на операционную систему Google Android. Решение доступно для поставщиков средств безопасности и разработчиков мобильных приложений.Инструмент CuckooDroid был разработан подразделением Check Point Malware and Vulnerability Research Group. Это автоматизированная система эмуляции и анализа вредоносного ПО, основанная на популярной «песочнице» Cuckoo с открытым исходным кодом. Данная система значительно сокращает время обнаружения вредоносного ПО на Android и в приложениях, а также ускоряет создание средств безопасности для противодействия новым угрозам. Бесплатная схема распространения решения поможет ускорить обнаружение вредоносных приложений Android и улучшить технологии защиты мобильных устройств во всей отрасли.


2013. Новый SafeNet Sentinel Envelope обеспечивает целостность кода и безопасность приложений

Компания SafeNet, эксперт в области монетизации программного обеспечения, объявила о доступности третьего поколения технологии Sentinel Envelope, которая помогает разработчикам программного обеспечения защитить целостность своего кода, обеспечивает высокую безопасность приложений и, в то же время, позволяет снизить задержки при внедрении приложений и сократить административно-управленческие расходы. Sentinel Envelope предлагает разработчикам средства защиты приложений, в частности, автоматический упаковщик файлов (wrapper), в котором задействуются передовые алгоритмы шифрования файлов SafeNet, технологию обфускации первоначальной точки входа (original entry point, OEP). Кроме того, Sentinel Envelope создает экран, позволяющий обезопасить исполняемые файлы и динамически подключаемые библиотеки (файлы .dll), и привязать приложения к аппаратно- или программно-зависимым ключам защиты, тем самым позволяя заказчикам реализовать защиту от копирования, сохранить коммерческую тайну, профессиональные ноу-хау и интеллектуальную собственность от реверс-инжиниринга, взлома и компьютерного пиратства, сообщили в SafeNet.


2012. HID Global выпускает SDK для iOS, который обеспечит защиту конфиденциальных данных на iPhone и iPad

Компания HID Global объявила о выпуске ActivClient, пакета средств разработки мобильного программного обеспечения для операционной системы iOS. Разработчики приложений, предприятия, государственные и другие организации смогут воспользоваться преимуществами этого пакета, такими как двухфакторная аутентификация, электронная подпись и технология декодирования для всех устройств, работающих на iOS, в том числе для iPhone и iPad. Как отмечают в компании, широкое распространение этих устройств способствовало появлению феномена BYOD, в результате чего изменился способ доступа сотрудников предприятий и государственных организаций к корпоративной электронной почте и другим ресурсам. Пакет ActiveClient для операционной системы iOS является флагманским программным решением, позволяющим полноценно применять процедуру строгой аутентификации для защиты корпоративных данных, хранящихся в миллионах личных смартфонов и планшетных компьютеров, использующихся для отправки сообщений по корпоративной электронной почте и доступа к внутренним порталам и облачным приложениям.


2011. HP предлагает решение для динамического тестирования безопасности приложений

Компания HP представила HP WebInspect Real-Time — программное решение для динамического тестирования безопасности приложений, которое анализирует программный код приложения в режиме реального времени, тем самым обеспечивая наибольшую точность при поиске уязвимостей. HP WebInspect Real-Time базируется на движке HP WebInspect 9.1 и работает в паре с HP Fortify Security Scope. Программа осуществляет «вторжение» в приложение и позволяет выполнить тестирование безопасности, в ходе которого можно обнаружить уязвимость, если таковая существует, в строке кода приложения, говорится в сообщении HP. HP WebInspect Real-Time «вторгается» в приложение путем запуска внешних автоматизированных тестов безопасности. Затем программа анализирует «поведение» кода приложения в условиях внешней атаки и собирает внутреннюю информацию о приложении, в том числе данные на уровне кода. Такое взаимодействие технологий в режиме реального времени обеспечивает более точное обнаружение опасных уязвимостей и предоставление имеющихся способов снижения угроз, пояснили разработчики.


2011. Veracode запускает бесплатную услугу сканирования на XSS

Уязвимости в межсайтовом скриптинге – одни из самых простых уязвимостей для обнаружения и исправления, но и одни из самых распространенных. Поэтому компания Veracode запустила бесплатную услугу, которая сканирует Java-приложения на наличие XSS. Новая, основанная на "облаке" услуга Veracode Free XSS Detection Service, предлагает пользователям провести одно сканирование Java-приложения на наличие XSS. Veracode в первую очередь занялись Java-приложениями, потому что Java изначально является самой распространенной платформой разработки среди их клиентов, пользующихся сканированиями системы безопасности, предложенными их компанией. Новая услуга предоставляет подробный отчет об ошибках XSS, а также инструкции, как исправить эти ошибки и бесплатный доступ к курсам обучения компании Veracode. Это одноразовая услуга, но это большой шаг на пути к лучшей осведомленности разработчиков о XSS, особенно разработчиков из маленьких организаций.