Найден способ полностью избавиться от ложных срабатываний при анализе уязвимостей в коде

Компания Positive Technologies представила новую версию сканера защищенности кода веб-приложений PT Application Inspector 4.10 с улучшенным модулем анализа сторонних компонентов (SCA), основанным на собственной базе уязвимостей. Обновление позволило значительно – в некоторых проектах до 100% – снизить число ложноположительных срабатываний при проверке безопасности подключенных библиотек.

Для повышения точности результата сканирования разработчики Positive Technologies объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST), которые ранее использовались в продукте независимо друг от друга.

 Благодаря синергии двух технологий PT Application Inspector получил новые возможности:

🔹 Анализ достижимости. PT Application Inspector 4.10 учитывает не только информацию об уязвимостях, содержащихся в используемых библиотеках, но и проверяет использование уязвимых функций. В результате система сигнализирует только о тех уязвимостях, которые реально могут быть поэксплуатированы злоумышленниками.

🔹 Поиск транзитивных зависимостей. Содержащаяся в коде библиотека может иметь зависимые функции от другой, которая, в свою очередь, через несколько зависимостей может быть связана с уязвимой библиотекой. PT Application Inspector теперь отслеживает такие связи и отображает их в виде графа зависимостей, что позволяет четко определить фактическую угрозу.

🔹 Результаты тестирования новой версии продукта на 193 открытых проектов с Github, использующих уязвимые компоненты, показали снижение ложноположительных срабатываний на 98-100%. Так, благодаря новым возможностям PT Application Inspector разработчики и специалисты по информационной безопасности экономят время на анализе срабатываний и могут