«Инферит» запустил бесплатный сервис для поиска уязвимостей в ПО

Российский ИТ-вендор «Инферит» (кластер «СФ Тех» ГК Softline) представил бесплатный онлайн-сервис композиционного анализа программного обеспечения «СКАТмен». Он позволяет быстро проверить готовое ПО на известные уязвимости без загрузки исходного кода. Проект соответствует стратегии ГК Softline и повышает уровень информационной безопасности российских ИТ-продуктов.

Изначально сервис создавался для внутренних задач «Инферит» по разработке безопасного ПО. Команде требовалось средство композиционного анализа (SCA), которое позволило бы выявлять уязвимости в составе зависимых компонентов ОС «МСВСфера». В существующих решениях не хватало нужного функционала — многие из них были нацелены на анализ исходного кода, не проводили анализ БДУ ФСТЭК и не учитывали различие информации в разных базах данных уязвимостей. Поэтому «Инферит» разработал собственный инструмент, который решал эти проблемы.

Новый сервис предназначен для исследователей ПО, сотрудников испытательных лабораторий, органов по сертификации СЗИ и вендоров, инженеров и специалистов по оценке безопасности компонентов. Благодаря функции анализа уже готового ПО сервис можно использовать на этапах сертификации, аттестации и тестирования безопасности.

«СКАТмен» выявляет уязвимости по данным российских и зарубежных баз: БДУ ФСТЭК, NIST, Debian-Security, RedHat. Внутренняя база данных уязвимостей обновляется ежедневно в ночное время, чтобы не мешать работе пользователей. Команда «Инферит» постоянно снижает количество ложных срабатываний за счет специальных алгоритмов.

Сервис помогает:

• анализировать весь пакетный состав ОС, а не только основные запущенные службы;

• заранее выявлять уязвимости в компонентах до их запуска в системе;

• выполнять требования регуляторов к анализу уязвимостей в ПО на этапе его проектирования, разработки и эксплуатации;

• проводить анализ уязвимостей с помощью БДУ ФСТЭК;

• сокращать время анализа и последующих перепроверок;

• вести проектную деятельность по выявлению и устранению уязвимостей;

• готовить наглядные отчеты для руководства.

Так как сервис работает через веб-интерфейс, это избавляет от необходимости устанавливать программу в инфраструктуру пользователя. Для поиска уязвимостей достаточно либо вручную передать сервису список пакетов/программ и их версии, либо через Drag&Drop передать текстовый список ПО, либо загрузить ISO-образ/архив, содержащий ПО. До конца 2025 года разработчики «СКАТмен» планируют дополнить сервис инструкцией по проведению композиционного анализа зависимостей в исходном коде ПО.

Сейчас «СКАТмен» корректно обрабатывает rpm и deb-пакеты, поскольку нацелен на импортозамещение и анализ программ для российских ОС. В планах вендора — доработать функционал сервиса по поиску уязвимостей в ПО для Windows и iOS, что должно минимизировать количество ложных срабатываний, выдаваемых «СКАТмен» для такого вида ПО.

Сервис полностью разработан командой «Инферит». Из открытого ПО используется только модуль аутентификации — весь остальной функционал написан с нуля. Поэтому разработчики очень рассчитывают на обратную связь со стороны ИТ-сообщества, чтобы сделать из продукта надежное SCA-решение. Свои предложения по работе сервиса пользователи могут оставить через форму обратной связи на сайте «СКАТмен».

«Работа над сервисом заняла у нас чуть больше года. Сейчас продукт будет активно развиваться и дорабатываться с учетом обратной связи от пользователей,  чтобы каждое обновление приносило им реальную пользу. Наша цель — предложить рынку инструмент, который станет незаменимым для специалистов и исследователей в решении их профессиональных задач», — рассказал Максим Фокин, руководитель проекта «СКАТмен», директор департамента сертификации и безопасной разработки «Инферит» (кластер «СФ Тех» ГК Softline).

‍

Оригинал статьи на DSMedia.pro