专业的源代码分析工具

  • 更新日期:2021-09-04
  • 查看次数:256
  • 点评次数:0
  • 编辑寄语:检测二进制和源代码中的漏洞和后门。只需点击几下即可获得完全定制的安全威胁报告

工具介绍

优惠券(特别折扣10%):VGULDT99O3

 

Solar appScreener 是一种静态应用代码分析器,能够识别漏洞和未记录的功能。它的显着特点是不仅能够分析源代码,而且能够分析可执行文件(即二进制文件),并且比使用 DAST 时返回的结果要好得多。

该分析器可以测试用 30 多种编程语言编写的应用程序,或者已编译为具有九种扩展名之一的可执行文件的应用程序,包括适用于 Google Android、Apple iOS 和 Apple macOS 的应用程序。只需将 Google Play 或 App Store 中的应用程序链接粘贴到分析器即可测试移动应用程序代码,这可能被视为完整的 mAST。

描述

检测到的漏洞和未记录的功能会直接在分析的应用程序代码中突出显示,即使在可执行文件中找到(此处不需要 debug_info 文件)。可以在考虑任何更改的同时比较项目的测试结果,这些更改通常在编写代码时进行,并通过电子邮件发送相关通知。

消除漏洞和未记录的功能不仅需要检测,还需要正确描述利用或修复它们的规则。Solar appScreener 提供了关于消除检测到的漏洞和未记录的功能的详细建议,描述了它们的利用方式,并建议如何配置 WAF。Solar appScreener 的漏洞数据库和未记录的功能搜索规则在研发活动后由分析器开发人员不断更新。

为了启用安全 SDLC,Solar appScreener 可以轻松地与 Git 和 Subversion 存储库以及 CI/CD 服务器(例如 Jenkins 和 TeamCity)集成,从而提供对源代码和二进制代码的快速分析。该解决方案还可以与 Atlassian Jira 问题跟踪系统集成,该系统监控消除漏洞和未记录功能的过程。此外,在多个开发人员的情况下,对 Microsoft Active Directory 的支持简化了 Solar appScreener 访问管理。

为了与其他系统和服务的互操作性,分析器提供了一个开放的 API。

建筑学

Solar appScreener 由两个主要部分组成:处理源代码和二进制代码的分析系统,以及提供有关如何解决漏洞和未记录的功能以及配置 WAF 的建议的报告系统。此外,CI/CD 和问题跟踪系统(例如 Atlassian JIRA)集成功能有助于及时修复检测到的漏洞和未记录的功能并建立安全 SDLC。

源码分析

Solar appScreener可以分析用36种编程语言编写的源代码,包括比较常见的Java、Scala、PHP、C#、Swift、Ruby等,专用的ABAP、Solidity、PL/SQL等,甚至过时的Delphi、COBOL和 Visual Basic 6.0。

可执行文件分析

二进制代码反编译和反混淆技术使 Solar appScreener 能够分析可执行文件,包括 Google Android、Apple iOS 和 Apple macOS 的可执行文件。要检查移动应用程序,用户只需将相关的 Google Play 或 App Store 链接复制到分析器,即可查看基于重构源代码的分析结果。

漏洞检测

一旦模糊逻辑引擎完成分析并停止运行,就会使用搜索规则检测漏洞。SCA 技术不仅可以帮助揭示公司内部代码中的漏洞,还可以帮助揭示免费软件和第三方库组件中的漏洞。

未记录的特征检测

Solar appScreener 具有自动搜索未记录功能的算法。这些算法基于我们自己永久更新的知识库。未记录的功能由其基本结构检测,例如硬编码帐户、隐藏的网络活动、定时炸弹等。此类基本结构的存在可能指向应用程序中更复杂的后门。

检查旧版和自定义软件

Solar appScreener 的二进制代码反混淆和反编译功能可以检测遗留和自定义应用程序中的漏洞和未记录的功能,包括与用于缩短开发时间的第三方组件(例如免费软件、来自 Internet 的预先编写的代码、模块,和图书馆)。

比较检查结果

Solar appScreener 可以比较已完成检查的结果并生成各种图表,以生动地显示漏洞或未记录的功能是如何出现和消除的,包括按项目组细分。此外,系统考虑了典型的代码编写变化,同时还监控同一项目下的漏洞或未记录的功能,从而可以控制它们的消除。

报表导出

除了用户友好的仪表板,Solar appScreener 还提供灵活的 PDF 报告生成系统。报告是根据用户配置的内容自动生成的。报告可以根据 PCI DSS、OWASP Top 2017、OWASP Mobile Top 10 2016、HIPAA 或 CWE/SANS Top 25 采用的漏洞分类导出,同时还支持使用 JSON/CSV 灵活配置多个报告字段。

开发者访问控制

为了提高信息安全性,可以隔离开发者对 Solar appScreener 的访问。此外,在多个开发人员的情况下,对 Microsoft Active Directory 的支持简化了访问管理。

准备建议

对于软件开发人员

开发人员热衷于以最少的修正迅速交付项目。Solar appScreener 报告包含漏洞和未记录功能的详细描述、指向应用程序代码中易受攻击部分的链接以及关于更正代码以消除漏洞的建议。

对于网络安全官员

网络安全官员需要有关检测到的漏洞和未记录功能的最详细信息。Solar appScreener 提供报告,其中详细描述了检测到的漏洞、未记录的功能及其利用方法,以及有关配置 Imperva、ModSecurity 或 F5 WAF 的建议。

问题跟踪系统

由于基础版 Solar appScreener 包含与 Atlassian Jira 的集成,因此可以直接从 Solar appScreener 界面启动 Jira 中的漏洞消除任务并跟踪任务进度。此外,还可以支持任何其他问题跟踪系统。

融入开发流程

Solar appScreener 支持

  • 存储库:Git 和 Subversion;
  • VCS 托管:GitLab、GitHub、Bitbucket;
  • IDE:Eclipse、IntelliJ IDEA 和 Microsoft Visual Studio;
  • 构建工具:Xcode、CMake、Microsoft Visual Studio、GNU Make、GNU Autotools、Gradle、sbt、Maven;
  • 持续检查代码质量的平台 SonarQube
  • 服务器:Jenkins、Azure DevOps Server 2019(以前称为 TFS)和 TeamCity CI/CD。

从而允许用户建立质量控制、自动化新软件构建验证、减少花费的时间并实施安全 SDLC。开放的 API 为额外的集成提供了强大的功能。为了提高网络安全,开发人员被授予不同的访问权限。

 

发表评论