|
来自俄罗斯的源代码&二进制代码安全检测工具
Solar DerScanner
来自Russia 的Solar DerScanner(Solar appScreener)是静态应用程序安全扫描及分析工具。使用它能够使您高效地识别漏洞和风险,并在代码中突出显示它们。Solar DerScanner 的显著优势是,它不仅可以对源代码进行静态分析,还可以在没有调试信息的情况下分析可执行文件(二进制代码)。
Solar DerScanner使用逆向工程(反编译)专利技术以高精度从可执行文件中还原源代码,对可执行文件进行静态代码分析,包括Google Android,Apple iOS和Apple macOS的应用程序。
Solar DerScanner能够对ABAP, Apex, ASP.NET, COBOL, С#, C/C++, Objective-C, Delphi, Go, Groovy, HTML5, Java, Java for Android, JavaScript, JSP, Kotlin, Pascal, Perl, PHP, PL/SQL, T/SQL, Python, Ruby, Rust, Scala, Solidity, Swift, TypeScript, VBA, VB.NET, VBScript, Visual Basic 6.0, Vyper, 1C, LotusScript, Dart等36种编程语言编写的程序进行源代码安全检测。在同一个project中,不但能针对单一语言进行检测,也能针对多语言进行检测,并可以根据语言、漏洞等分类方式给出漏洞检测报告。
Solar DerScanner可以对JAR/WAR(Java),DLL/EXE(C/C++),APK(Android),IPA(Apple iOS),APP(Apple macOS),AAR,EAR等9种格式的文件进行二进制代码扫描及分析。
一、技术特点
Solar DerScanner通过词法,语法,语义,污点解析,常量传播,类型传播,同义词解析和控制流图解析等10多种分析方法进行检测分析,极大的提高了检测的正确性和覆盖率。
Solar DerScanne能够有效的检测跨网站脚本攻击XSS、注入漏洞 Injection Flaw,加密失败Cryptographic Failures,不安全的对象参照 Insecure Direct Object Reference,恶意文件执行Malicious File Execution,不安全的设计Insecure Design,跨网站请求伪造Cross-Site Request Forgery(CSRF),信息泄漏与不适当错误处理Information Leakage and Improper Error Handling,易受攻击和过时的组件Vulnerable and Outdated Components,失效的访问控制Broken Access Control等漏洞。如果该漏洞为OWASP/CWE组织定义的漏洞,可以直接关联到该组织对应的漏洞描述页面。
Solar DerScanner 由两个主要部分组成:一个处理源代码和二进制代码的分析系统,以及一个报告系统,该系统除了提供修复漏洞和风险的建议,还提供配置 应用层防火墙(WAF)的建议,通过与 IDE、CI/CD 服务器和漏洞跟踪系统的集成功能,您可以快速修复发现的漏洞和风险点,从而提供安全的 SDLC。
Solar DerScanner结构
应用分析器的性能参数之一是误报率和漏报率。为此,Solar DerScanner使用自己的技术——模糊逻辑引擎(Fuzzy Logic Engine)。它是使用模糊集合和模糊逻辑的数学工具,是Rostelecom-Solar的专有技术。模糊逻辑引擎滤波器的参数由知识库确定,并根据研究结果不断更新。工程师可以独立使用筛选器,以减少误报和漏报漏洞和风险的数量。
Solar DerScanner 与 Git 和 Subversion 存储库管理器、源码仓库和托管服务器 GitLab, GitHub 和 Bitbucket 的 VSC、Jenkins CI/CD 服务器、TeamCity、Azure DevOps Server 2019(前身为 TFS CI)、Atlassian Jira 错误跟踪系统和 SonarQube 连续代码质量分析和测量平台无缝集成,可帮助您快速分析源代码并确保安全的软件开发生命周期。对 Microsoft Active Directory 的支持使得与大量开发人员一起管理对 Solar DerScanner 的访问权限变得更加容易。
内置的开放式 API 可用于与其他系统和服务进行交互。
二、界面简洁,操作简单
工程师可以选择分析深度并禁用复杂检查,也可以使用增量分析,仅检查已更改的代码,检查程序源码方式有多种方式可以进行,如:
1. 检查移动应用程序的代码可以直接提供应用地址,通过简单地在分析器菜单中的Google Play或App Store中复制指向它们的链接来执行。
2. 可以选择代码仓库地址(git等)。
3.以源码压缩包的方式直接上传来执行分析。
Solar DerScanner以图形方式直接在所分析应用程序的代码中突出显示测试结果,并将通知发送到电子邮件。使用 Solar DerScanner,您可以比较测试结果并构建各种图表,从而可以方便地动态监控漏洞和风险的消除或出现;同时,考虑到代码编写过程的具体变化,在一个项目的框架内跟踪漏洞本身和风险,从而可以控制其修复的进度。
Rostelecom-Solar的技术专家参与为Solar DerScanner的漏洞搜索规则,这保证了它们的高质量和相关性。漏洞数据库可以手动和自动更新。
Solar DerScanner提供俄语和英语界面语言。使用时可以更改首选语言。如有必要,您可以通过命令行 (CLI) 使用 Solar DerScanner。可以提供以俄语或英语的详细的报告。
有关漏洞和风险的报告是自动生成的,其内容由用户选择。结果显示在 Solar DerScanner 界面中或以 DOCX、PDF、CSV 格式下载。
三、监管合规
Solar DerScanner是使用自己的专利技术开发的,被列入俄罗斯国内软件统一注册簿(第6119号);Solar DerScanner 获得了俄罗斯 FSTEC 颁发的证书,以符合第 4 级信任要求(以下简称 UD4)和技术规范。该文件确认,Solar DerScanner安全控制软件符合技术信息保护工具和信息技术安全工具的信息安全要求。
Solar DerScanner是寻求满足各种安全标准要求的公司的绝佳选择。它可按照PCI DSS、OWASP Top 10、OWASP Mobile Top 10、俄罗斯BDU FSTEC、OUD4、HIPAA或CWE/SANS Top 25的漏洞分类生成报告,从而极大的简化了法规要求的合规性测试评估。
四、优势
1. Solar DerScanner既能进行源代码检测又能进行二进制代码检测的工具
2. Solar DerScanner 不但提供了有关修复漏洞和风险的详细建议,而且还提供有关配置应用层防火墙(WAF)的建议。与OWASP/CWE组织定义的漏洞,可以直接关联到该组织对应的漏洞描述页面
3. Solar DerScanner来自信息安全强国俄罗斯,且无禁运风险
|