Журнал "Information Security/ Информационная безопасность" #1, 2022

Статический анализатор кода Solar appScreener компании "Ростелеком- Солар" выявляет уязвимости и недекла- рированные возможности (НДВ) в про- ектах Open Source – свободно распро- страняемых программах, а также ком- понентах и библиотеках, которые исполь- зуют разработчики для создания своих проектов. По итогам сканирования инструмент SAST-анализа выделяет элементы кода с уязвимостями и предлагает рекомен- дации по их устранению. Для снижения числа ложных срабатываний (False Posi- tive) и пропуска уязвимостей (False Nega- tive) используется технология Fuzzy Logic Engine, основанная на математическом аппарате нечеткой логики. По данным масштабного исследования Red Hat, из 950 опрошенных ИТ-руково- дителей 95% отмечают значение Open Source для программной инфраструкту- ры их предприятий как стратегическое. В России, по прогнозам Accenture и фонда "Сколково", Open Source будут использовать более 90% компаний к 2026 г. Учитывая уход иностранных вен- доров ПО с российского рынка, востре- бованность Open Source и его проник- новение в ландшафт инфраструктуры предприятий в 2022 г. возрастет резко и многократно. Опасность использования решений Open Source в том, что они развиваются силами небезразличных участников отрасли, которые тем не менее не гаран- тируют защищенности разрабатывае- мого или дополняемого ПО. Ранее ана- литики "Ростелеком-Солар" отмечали, что в 50% приложений с открытым исходным кодом для ПК содержатся критические уязвимости. Чтобы убедиться в том, какую угрозу несут уязвимости в Open Source, доста- точно вспомнить историю с Apache Log4j – библиотекой, которая использу- ется миллионами корпоративных при- ложений и Java-серверами. Уязвимости в ней позволяли злоумышленникам с легкостью выполнить произвольный код на сервере или устройстве, чтобы похи- тить данные или внедрить вредоносную программу. В условиях, когда решения Open Source могут представлять большую опасность, анализ защищенности сво- бодно распространяемых библиотек и приложений становится обязательным условием их использования. Поскольку Open Source развивается широким ИТ- сообществом, не исключена ситуация, когда под видом улучшения злоумыш- ленники могут сами добавить в ту или иную библиотеку элемент кода с уязви- мостью. l Современная разработка ИТ-продук- тов активно применяет программные компоненты с открытым исходным кодом (OSS, Open Source Software). Практически всегда таких компонентов на порядок больше, чем проприетар- ных. Использование OSS дает значимое ускорение разработки, но при этом его бесконтрольное использование увеличи- вает риски для безопасности. Для управ- ления этими рисками применяются реше- ния класса композиционного анализа ПО (SCA, Software Composition Analysis), которые автоматически определяют используемые OSS-зависимости, пока- зывают найденные в них уязвимости и предоставляют информацию об их устра- нении. Продукт CodeScoring повышает без- опасность использования Open Source на всех этапах обеспечения жизнен- ного цикла разработки программного обеспечения. База знаний CodeScoring содержит собираемый из крупнейших репозиториев реестр компонентов, который регулярно обогащается дан- ными об имеющихся в них уязвимостях и лицензиях, получаемых из различ- ных источников. CodeScoring поддер- живает ключевые OSS-экосистемы популярных языков программирова- ния, такие как Maven, PyPi, NPM, RubyGems и др. CodeScoring является фундаментом безопасной разработки. l Автообнаружение зависимостей – ана- лиз состава кода, автоматическое нахож- дение файлов манифестов пакетных менеджеров, выявление прямых и тран- зитивных зависимостей открытого про- граммного обеспечения (OSS). l Ведение реестра компонентов про- граммных проектов (SBoM). l Проверка совместимости лицензий Open Source – выявление лицензий для обнаруженных OSS-зависимостей и про- верка их совместимости друг с другом на основании интегрированных политик. l Выявление уязвимых компонентов Open Source в программных проектах на основании актуальной информации из авторитетных источников NVD NIST и GitHub Advisories. l Предоставление полной информации об уязвимостях, включая имеющиеся рекомендации по их устранению. l Отслеживание новых уязвимостей и изменения лицензионных соглашений в контролируемых программных про- ектах. l Реализация собственных политик при- менения открытых программных компо- нентов. l Интеграции в жизненный цикл разра- ботки программного обеспечения (SDLC). CodeScoring работает с наиболее распространенными репозиториями кода: GitHub, GitLab, BitBucket и Azure DevOps. Для полноценной работы в CI-/CD-пайплайне реализованы API и возможность интеграции через кон- сольного агента. Решение CodeScoring основано на многолетнем опыте компании Profisco- pe в сфере анализа исходных кодов с использованием собственных средств автоматизированного технического аудита ПО. Компания проводит про- фильную конференцию Code Mining в крупнейшем международном сообще- стве OpenDataScience; с 2021 г. ведет первый в России курс по лицензирова- нию открытого программного обес- печения. l 44 • ТЕХНОЛОГИИ Российское решение композиционного анализа программного обеспечения CodeScoring официально добавлено в реестр российского ПО Solar appScreener выявляет уязвимости и НДВ в проектах Open Source