В попытке сэкономить компании, выбирая между коммерческим программным обеспечением и бесплатным, отдают предпочтение второму. Это касается в том числе анализаторов безопасности кода программного обеспечения. Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар», рассказал о том, почему экономия на анализаторах кода может в итоге привести к неожиданным расходам.
Задача анализа кода касается как компании, которые разрабатывают и поставляют на рынок программное обеспечение, так и те компании, которые сами пользуются чьим-то софтом или разрабатывают его для внутреннего пользования. В первом случае выпуск ПО с уязвимостями приводит к тому, что киберугрозам подвергаются пользователи, которые приобретают этот софт. Сам же вендор рискует собственной репутацией, доверием клиентов и, как следствие, доходами от продажи ПО.
Компании, которые сами софт не разрабатывают или разрабатывают его для себя, благодаря регулярным проверкам используемого ПО на уязвимости значительно повышают свою устойчивость к киберугрозам. Бреши в программном обеспечении позволяют злоумышленникам совершать успешные атаки на корпоративную инфраструктуру, похищать конфиденциальные данные, внедрять майнеры и шифровальщики. Все это способно парализовать на какое-то время деятельность компании и привести к серьезным финансовым потерям.
В большинстве случаев бесплатные решения для проверки кода содержат относительно простые алгоритмы, которые осуществляют обычный текстовый поиск по фрагментам кода и ищут совпадения с базой. Большинство угроз таким способом найти не удастся. Так, есть сложные уязвимости, части которых находятся в разных местах кода. Чтобы их обнаружить, нужны более сложные алгоритмы, например taint-анализ, который отслеживает распространение по программе данных, полученных из внешнего источника.
Часто бывает, что в компании используется программное обеспечение, исходный код которого по той или иной причине недоступен, но при этом есть сомнения в безопасности софта. На помощь может прийти SAST, умеющий проверять исполняемые файлы. Для этого используются технологии, позволяющие на основе бинарного кода восстановить исходный, после чего проверить его на уязвимости.
Кроме того, анализ бинарного кода позволяет выявить уязвимости, появившиеся в ПО по вине компилятора – программы, которая преобразует исходный код в машинный. Так как по своей сути компилятор – тоже софт, который тоже может содержать ошибки. А они в итоге скажутся на безопасности скомпилированного в нем ПО. Поэтому даже при наличии доступа к исходному коду такие уязвимости можно обнаружить только с помощью бинарного анализа.
Из всего сказанного выше можно сделать вывод, что использование любого решения для анализа программного кода лучше, чем его полное отсутствие. Чтобы выстроить действительно эффективные процессы проверки ПО на уязвимости, необходим коммерческий анализатор, который использует продвинутые технологии поиска угроз, регулярно обновляется и развивается, учитывает потребности пользователей. Несмотря на кажущуюся экономию, open-source- и бесплатные решения могут привести к бо́льшим расходам: потребуются ресурсы высококвалифицированных ИТ-сотрудников, в том числе разработчиков, которые смогут обслуживать подобные продукты. А пропущенные серьезные уязвимости могут повлечь за собой еще более крупные финансовые потери.
