В BI.ZONE SSDLC появился модуль SCA для анализа безопасности зависимостей в коде

Модуль позволит пользователям платформы оценивать безопасность подключенных зависимостей. Обновление расширяет область сканирования кода, сохраняя прежнее время анализа всего приложения

4 марта 2024 г.

Требования к обеспечению безопасности приложений ужесточаются, при этом растут ожидания к скорости выпуска релизов, поэтому организациям необходимо как можно раньше выявлять и предотвращать уязвимости. Ключевую роль в этом процессе играет применение решений безопасной разработки, которые обеспечивают непрерывный мониторинг и управление уязвимостями. Однако часто разработчики сконцентрированы на качестве собственного кода, упуская анализ сторонних зависимостей и компонентов open source, что может привести к уязвимостям в приложении.

Новый модуль SCA, software composition analysis, помогает обеспечить безопасность приложений, включая используемые open source — компоненты. Он проводит анализ кода и выявляет зависимости, а затем сравнивает их с известными и постоянно пополняемыми базами данных уязвимостей. В результате модуль формирует отчет об обнаруженных проблемах безопасности в коде. Таким образом, применение SCA в рамках анализа приложения на уязвимости позволяет увеличить покрытие сканирования компонентов кода, при этом общее время анализа уязвимостей остается прежним.

Павел Загуменнов

Руководитель решений анализа защищенности

BI.ZONE SSDLC — это платформа для непрерывного контроля безопасности разрабатываемых приложений. Она обеспечивает постоянный мониторинг уязвимостей в обновлениях кодовой базы приложения, а также управляет ими в автоматическом режиме. Решение можно интегрировать с баг‑трекером или таск‑трекером, чтобы своевременно получать всю информацию, включая данные о критичности уязвимостей и статусе их устранения. Использование встроенных средств автоматизации значительно снижает вероятность, что злоумышленники нарушат безопасность приложений.

Построение безопасной разработки — сложная задача для большинства компаний, к тому же нанимать и удерживать специалистов для анализа безопасности приложений часто слишком дорого. Использование BI.ZONE SSDLC решает эту проблему, а также существенно снижает трудозатраты на подбор, настройку и интеграцию различных систем сканирования уязвимостей для каждого отдельного проекта. Платформа берет на себя анализ и разбор уязвимостей. Это особенно важно с учетом сложностей, связанных с необходимостью консолидации отчетов из различных источников и последующей ручной верификацией результатов.