Назад
анализ
Метод выявления уязвимостей исходного кода путем простого анализа синтаксического дерева и более сложных видов анализа без его реального выполнения.
Заказать анализИнструменты
Статический анализ исходного кода с помощью Solar appScreener включает в себя лексический, синтаксический, семантический анализы, taint-анализ, распространение констант, распространение типов, анализ синонимов и анализ графов потока управления.
Необходимый инструмент жизненного цикла разработки безопасного программного обеспечения, основной статический анализатор компании Samsung, разработанный Институтом системного программирования Российской академии наук. Обнаруживает более 50 классов критических ошибок в исходном коде.
Инструкции по формированию материалов для анализа
- Предоставить краткое описание разработанного программного обеспечения, содержащее информацию о названии и версии программного обеспечения, наименованиях языков программирования, инструментальных средств разработки и их версиях, в формате электронного текстового документа с расширением DOCX;
- Предоставить архив с исходным кодом и байткодом, получаемыми после сборки проекта программного обеспечения, в одном из следующих форматов ZIP, 7z, RAR (до версии 4.0), EAR, AAR, tar.bz2, tar.gz, tar, cpio;
- Разместить в архив исходные коды для программного обеспечения, написанного на языках ABAP, Apex, ASP.NET, COBOL, С#, C/C++, Objective-C, Dart, Delphi, Go, Groovy, HTML5, Java, Java for Android, JavaScript, JSP, LotusScript, Kotlin, Pascal, Perl, PHP, PL/SQL, T/SQL, Python, Ruby, Rust, Scala, Solidity, Swift, TypeScript, VBA, VB.NET, VBScript, Visual Basic 6.0, Vyper, 1C, а также iOS приложений;
- Представить classфайлы проекта (байткод), соответствующие переданному исходному коду, и разместить их в архив для программного обеспечения, написанного на языках Java (языки Java, Scala, Kotlin и мобильных приложений для платформы Android);
- Для программного обеспечения, написанного на языках С\С++, Obj-C исходные коды передаются в архиве с информацией о сборке, для сборки проект после разархивации стандартными командами для CMake, Make или msbuild;
- Для программного обеспечения, написанного на языке 1С, исходные коды должны быть выгружены при специфической настройке среды сборки и исполнения (в зависимости от исходных условий), после чего они должны быть размещены в архив;
- Для программного обеспечения, имеющих логические составные части (Front-, Back-end и тд), на анализ передаются отдельные модули.
анализ
Анализ безопасности веб-приложений путем автоматизированной отправки специально сгенерированных запросов с целью имитирования реализации угроз информационной безопасности.
Заказать анализИнструменты
Solar appScreener – динамический анализатор безопасности приложений. Его возможности позволяют выявлять уязвимости и недекларированные возможности, подсвечивая их в коде проверяемого приложения. Отличительная особенность решения компании «РТК-Солар» – статический анализ не только исходного, но и бинарного кода (исполняемых файлов). Это обеспечивает более качественные и быстрые результаты, чем при использовании динамического анализа кода.
Инструкции по формированию материалов для анализа
- Предоставить краткое описание разработанного программного обеспечения, содержащее информацию о названии и версии программного обеспечения, наименованиях языков программирования, инструментальных средств разработки, включая сведения об их версиях и о заданных командах запуска сборки анализируемого программного обеспечения, в формате электронного текстового документа с расширением DOCX;
- Предоставить исходные тексты программного обеспечения и сборочное окружение в docker-контейнере. Сборочное окружение должно обеспечивать сборку анализируемого программного обеспечения в условиях изоляции от сети Интернет. Для этого в контейнере должны быть заранее развернуты все зависимости (библиотеки, фреймворки и т.п.), необходимые для проведения сборки анализируемого программного обеспечения. Контейнер должен предоставлять возможность монтирования директории с исходным кодом программного обеспечения. В корень файловой системы контейнера должен быть помещен скрипт build.sh, запускающий сборку анализируемого программного обеспечения. Сборка программного обеспечения должна проходить в автоматическом режиме и не требовать интерактивных команд в ходе сборки. При необходимости образ docker-контейнера может быть заархивирован. Исходные код программного обеспечения предоставляется отдельным архивом. Форматы архивов: *.tar.gz, *.tar.bz2, *.tar.zst, *.zip.
- В комплект поставки должен входить исходный Dockerfile, который был использован для подготовки контейнера.
тестирование
Выявление уязвимостей путем автоматизированной подачи на вход программного обеспечения наборов специфических данных с отслеживанием возникновения ошибок и сбоев в работе программы.
Заказать анализИнструменты
Crusher представляет собой инструмент проведения фаззинг-тестирования, необходимый на всех этапах разработки, тестирования и эксплуатации программного обеспечения. Обнаруживает ошибки как при наличии, так и при отсутствии исходного кода. Crusher позволяет построить процесс разработки в соответствии с ГОСТ Р 56939-2016 и «Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении» ФСТЭК России. Данный инструмент включен в реестр отечественного программного обеспечения (реестровая запись №10468 от 06.05.2021 года).
Инструкции по формированию материалов для анализа
- Подготовить отчуждаемую систему автоматизированного тестирования, развернутую в виртуальной среде;
- Подготовить виртуальную среду, предназначенную для выполнения автоматизированного тестирования, должна запускаться в полносистемном эмуляторе, позволяющем контролировать выполнение бинарного кода целевого программного обеспечения;
- Предоставить документацию к системе тестирования и описание программного обеспечения.
