Мы продолжаем знакомить вас с возможностями продукта DerScanner от компании DerSecur. DerScanner — это система анализа исходного кода на 36 языках программирования, созданная с целью поиска уязвимостей и бэкдоров еще на этапе создания программного обеспечения. Кроме того, эта система умеет анализировать и готовое программное обеспечение, например, мобильные приложения из Google Play или App Store, сторонние библиотеки и компоненты без наличия кода. Также DerScanner может проводить атаки на web-приложения подобно пентестам. О том, как изменилось отношение рынка к подобным продуктам, мы поговорили с главой компании Advanced Technologies Solutions и официальным представителем компании DerSecur в Азербайджане, Грузии и Турции Александром Тварадзе.
— Александр, несколько месяцев назад мы уже обсуждали вопросы анализа кода на примере продукта DerScanner от компании DerSecur, а также затронули вопросы рынка анализа безопасности приложений в Азербайджане. Что изменилось за прошедшее время?
— Что касается деятельности DerSecur, то могу отметить несколько позитивных моментов. Например, за это время вышло несколько новых версий и дополнений к продукту DerScanner. Мы расширили географию продаж, а также реализовали ряд проектов в Азербайджане, Казахстане и Узбекистане. Организовали мероприятия в Баку и Ташкенте, приняли участие в неделе информационных технологий региона Персидского Залива GITEX в Дубае, а также в выставках в Сингапуре и Казахстане. Интерес к продукту превзошел все наши прогнозы и на сегодняшний день число наших клиентов возросло за счет нескольких частных компаний и государственных организаций из Азербайджана. Всего за 2 месяца с момента выхода на рынок Узбекистана уже было реализовано 3 проекта и в этой стране. Кроме того, стартовали пилотные проекты на Ближнем Востоке и в Южной Африке.
— Чем удается привлекать клиентов?
— DerScanner — это действительно очень мощное и в тоже время простое в вопросах внедрения и использования решение. В ходе пилотных проектов и презентаций мы стараемся получать отзывы от заказчиков и экспертов. В первую очередь, отмечается простота и удобство использования DerScanner. Так, например, ряд экспертов, имеющих опыт работы с различными системами анализа кода, отмечают, что мы даем точное и емкое описание «без воды» найденных уязвимостей и способов их устранения. Также бизнесу и менеджменту нравится гибкая модель лицензирования DerScanner. Государственные компании ценят наличие постоянной лицензии (perpetual), так как они не всегда могут стабильно рассчитывать на бюджетирование. Для других компаний удобно наличие подписки (subscription). Причем, оформить ее можно не только на год, но и поквартально. Таким образом, клиент может купить ее в конце года, потратив оставшиеся в бюджете деньги. В обоих вариантах нет ограничений по количеству сканируемых строчек кода, проектам и общему количеству сканов. Третий вариант лицензирования — по сканам – подходит для большой группы наших клиентов. Например, если в компании нет собственных разработчиков, и она получает раз в месяц новый релиз программного обеспечения. В этом случае ей достаточно осуществлять 2-3 скана в месяц для анализа новой версии. Если в течение года будет проведено всего 20-30 сканов, то заказчику достаточно приобрести лишь 2-3 пакета сканов, что очень доступно по цене, а если такую покупку сравнивать с ручным анализом кода аудиторской компанией, то и в несколько раз дешевле.
— Расскажите, пожалуйста, подробнее о технологиях, которые сейчас используются для анализа исходного кода?
— На данный момент в DerScanner используется три технологии. Первая — это статический анализ кода (SAST). Она представляет собой поиск в коде определенных устойчивых конструкций, шаблонов, семантических конструкций. Их поиск осуществляется согласно определенным правилам. Чем больше количество таких правил в базе данных продукта, тем более точное определение потенциальных уязвимостей и недокументированных возможностей (бжкдоров). В данной технологии DerScanner поддерживает 36 языков программирования и несколько сотен различных правил для них. За счет ряда собственных запатентованных технологий и нескольких исследовательских лабораторий DerScanner позволяет проводить очень точный анализ исходного кода. Вторая технология — динамический анализ. Эта технология имитирует атаку хакеров на систему. При этом используются не уязвимости программного обеспечения, а уязвимости программного кода, например, отсутствие контроля ввода типов данных, переполнения буфера и т.д. Третья технология — SCA. Самая «молодая» технология представляет собой анализ сторонних открытых библиотек, которые используются в вашем программном обеспечении. SCA позволяет определить, используете ли вы правильную версию библиотек и нет ли в них уязвимостей. Все три технологии включены в DerScanner включены в виде модулей, а клиент может выбрать нужную. Также я хочу отметить, что мы постоянно остаемся на связи с пользователями нашего продукта и получаем от них запросы на дополнения в функционале. Так, например, в январе-феврале ожидается большое обновления для модуля SCA, сформированное именно на основе таких обращений.
— Что вы можете рассказать об особенностях рынка систем анализа кода в Азербайджане?
— В ходе большого количества встреч с партнерами и клиентами выявился интересный факт. Когда мы разговариваем с клиентами, особенно, если они уже успел пообщаться на эту тему с конкурентами, тема общения перетекает в область искусственного интеллекта, облаков, коллективного разума и т.п. Но ответ на вопрос «А вы понимаете, что в результате этого весь ваш исходный код перетекает в некое облако, где будет доступен неизвестно кому, преследующему непонятно какие цели?» такие клиенты дать не могут. Они упускают момент, что это является нарушением правил безопасности компании, а для государственных учреждений в какой-то мере и нарушение законов Азербайджана. Они своими руками предоставляют информацию о своем коде, его уязвимостях и о том, как планируют его исправлять. И этой информацией спокойно могут воспользоваться злоумышленники.
— А чем это конкретно может грозить частной компании или государственной организации?
— Представьте ситуацию, что программист использует в коде переменную с названием банка или филиала банка. Значит тот, кто имеет доступ к коду в облаке, может просто задать поиск в Google и понять, в каком банке будет использоваться анализируемое программное обеспечение, какие у него существуют уязвимости и доступы. Приведу еще один пример на государственном уровне. Представьте, что у вас в коде ключи шифрования данных по обмену, например, с МВД, токены доступа и т.д. И все это в составе кода копируется в облако, пересылается сторонней компании и показывается другим людям. Получается, что вы раскрыли критичную для государства информацию. В отличии от конкурентов мы изначально не допускаем такой возможности. DerScanner — это полностью оффлайн-решение, не требующее никакого доступа в интернет, а тем более не передающее никакой информации в облако или кому-либо. За счет этого DerScanner используется для сертификации государственного программного обеспечения в ряде стран мира.
Часто заказчик покупается на маркетинговые фишки производителей. Одна из них заключается в том, что система анализа кода предлагает переписать ваш код с целью улучшения безопасности и программист фактически копирует готовый код к себе в приложение. В итоге это должно вызвать в нем уверенность, что весь его код безопасен. Но в реальности, даже если весь его код состоит из кусочков безопасного кода, в целом все равно не будет безопасным, что и подтверждается тестами. Мы часто проверяем исходный код после таких вот систем и уровень безопасности в нем, к сожалению, остается низким. В отличии от конкурентов мы предоставляем четкое описание проблемы, чтобы программист или специалист по безопасности понимал, в чем недостаток его кода и как его исправить, а не бездумно копировал куски кода.
В целом я бы хотел отметить, что использование DerScanner заказчиками из различных сфер деятельности, от государственных до коммерческих, дает очень значимый эффект в сфере повышения безопасности приложений, web-сервисов и внутренних продуктов. За счет того, что система полностью работает в оффлайн-режиме, клиент будет всегда уверен, что его код не увидит никто посторонний. А благодаря гибкости лицензирования и доступной ценовой политике DerScanner является оптимальным решением для компаний любого размера и не нагружает бизнес большими расходами.
Дистрибьюторами программного обеспечения DerScanner в нашей стране выступают компании Techpro DC и MONT.
