Positive Technologies представила новую версию системы анализа защищенности кода приложений — PT Application Inspector 4.0

07.04.2022

Большинство российских разработчиков программного обеспечения серьезно относится к безопасности своих продуктов. Многие из них уже используют в своей деятельности системы анализа защищенности кода, на пример PT Application Inspector. В связи с этим, работая над новой версией системы, в Positive Technologies уделяли максимальное внимание удобству ее использования.

В настоящее время в российских госучреждениях широкое распространение получила операционная система Astra Linux — официальный дистрибутив Debian. Также ОС Linux предпочитают использовать большинство разработчиков по всему миру. В связи с этим в новой версии PT Application Inspector появилась поддержка этой операционной системы. Таким образом с продуктом теперь могут работать компании, использующие Linux, и организации, заинтересованные в оптимизации расходов на IT.

Чтобы упростить использование системы и избежать необходимости установки дополнительного ПО на рабочие станции, PT Application Inspector 4.0 получила веб-версию. С ее помощью поиск уязвимостей возможен из веб-браузера.

PT Application Inspector сочетает ключевые методы анализа с уникальной технологией абстрактной интерпретации. Как показывают тесты – это обеспечивает высокую точность результатов и минимальное число ложных срабатываний. По этому параметру данная система опережает многие другие представленные на рынке анализаторы кода. Продукт автоматически создает безвредные эксплойты, благодаря которым можно подтвердить уязвимость и доказать возможность ее эксплуатации в реальной атаке.

В новой версии продукта добавлена поддержка языка TypeScript — он входит в десятку самых популярных языков программирования в мире и используется для создания как клиентской (frontend), так и серверной (backend) частей веб-приложений. TypeScript стал вторым, после JavaScript языком, который PT Application Inspector поддерживает на основе JSA-модуля поиска уязвимостей. JSA-модуль универсален и гибок в плане производительности — его можно использовать для быстрого и тщательного анализа кода. В планах Positive Technologies перевести на этот модуль все поддерживаемые языки и перейти на плагины по IDE, которые позволяют анализировать безопасность приложения прямо в процессе написания кода.

Также в PT Application Inspector 4.0 появилась поддержка технологии единого входа. Для авторизации по схеме SSO (single sign-on, технология единого входа) в продукт добавлена поддержка стандарта SAML 2.0 (Security Assertion Markup Language, открытый стандарт обмена данными аутентификации, основанный на языке XML), позволяющего доменам безопасности обмениваться удостоверениями авторизации, и открытого стандарта децентрализованной системы аутентификации OpenID. Кроме того, реализована полная поддержка протокола (ранее SSO-авторизация была интегрирована только с Microsoft Active Directory).

Application Inspector, Positive Technologies, программное обеспечение