вернуться назад
Software
Информационная безопасность
Инфраструктура
Облачные сервисы
Решения для сервис-провайдеров
Решения для сервис-провайдеров
XaaS
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Смотреть все
Hardware
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Инженерная инфраструктура
Комплексная защита от продвинутых угроз
Разработка, эксплуатация и защита приложений (DevSecOps)
Управление данными
Управление доступом и защита конечных устройств
Физическая безопасность
Смотреть все
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Инженерная инфраструктура
Комплексная защита от продвинутых угроз
Разработка, эксплуатация и защита приложений (DevSecOps)
Управление данными
Управление доступом и защита конечных устройств
Физическая безопасность
Коммуникационное ПО (UC)
Корпоративные почтовые системы
Синхронизация и совместное использование корпоративных файлов (EFSS)
Управление бизнес-процессами (BPM)
Смотреть все решения
Операционные системы
Системы Виртуализации (SVI)
Смотреть все решения
Защита АСУ ТП (ICS)
Смотреть все решения
Резервное копирование и восстановление данных (EBRS)
Смотреть все решения
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Смотреть все решения
Киберразведка и оценка эффективности киберзащиты (TIP)
Расширенное обнаружение и реагирование на киберинциденты (XDR)
Сетевые песочницы (Sandbox)
Система обучения и тестирования сотрудников по ИБ
Управление событиями и информацией о безопасности (SIEM)
Управляемое обнаружение и реагирование (MDR)
Смотреть все решения
Система управления базами данных (СУБД, DBMS)
Смотреть все решения
Защита конечных устройств (EPP)
Защита почтовых серверов
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Смотреть все решения
LB - Балансировщики сетевой нагрузки
VOIP - Телефонная связь по протоколу IP
Беспроводные сети
Высоконагруженные СХД
Коммутаторы
Маршрутизаторы
Мобильные устройства
Мониторы
Моноблоки
Неттопы
Ноутбуки
Периферия
Печатная техника
Программно-аппаратные комплексы
Сетевые брокеры
Стационарные ПК
Тонкие клиенты
Смотреть все решения
Защита АСУ ТП (ICS)
Смотреть все решения
Криптографическая защита информации (СКЗИ, CIPF)
Смотреть все решения
SD-WAN - Управление трафиком во внешних сетях
Виртуальная частная сеть (VPN)
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Межсетевой экран или Унифицированная защита от сетевых угроз (FW, UTM)
Многофункциональные межсетевые экраны следующего поколения (NGFW)
Системы обнаружения и предотвращения вторжений (IPS/IDS)
Управление конфигурациями межсетевых экранов (FWM)
Смотреть все решения
DCEM - Управление микроклиматом дата-центра
ИБП - Источники бесперебойного питания
Смотреть все решения
Киберразведка и оценка эффективности киберзащиты (TIP)
Смотреть все решения
Защита веб-приложений (WAF)
Смотреть все решения
Юридически значимый электронный документооборот (EDI)
Смотреть все решения
Аутентификация пользователей (UA)
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Модули доверенной загрузки (TPM)
Управление привилегированными учётными записями (PAM)
Смотреть все решения
CCTV - Системы видеонаблюдения
Антидрон
Смотреть все решения
О нас
Отзывы Карьера Политика качества Команда О Компании
Медиацентр
О Медиацентре Новости Кейсы Блог
Сотрудничество
Стать партнером Стать вендором
Контакты Axoft Online b2b Производители
События
Акции Мероприятия
Сервисы
ИТ-дистрибуция
Логистика Финансовые сервисы Axoft Axoft Online
Профессиональные ИТ-сервисы
Аудит Внедрение Техническое сопровождение
Центр ИТ-экспертизы
Техническая экспертиза Axoft Маркетинговая экспертиза Экспертиза Axoft в области продаж Исследования Axoft Обновись
Сообщества
Алло, Axoft! Magic People Сообщество ИТ-маркетологов
Решения
Software
Информационная безопасность
Инфраструктура
Облачные сервисы
Решения для сервис-провайдеров
Решения для сервис-провайдеров
XaaS
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Смотреть все
Hardware
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Инженерная инфраструктура
Комплексная защита от продвинутых угроз
Разработка, эксплуатация и защита приложений (DevSecOps)
Управление данными
Управление доступом и защита конечных устройств
Физическая безопасность
Смотреть все
Практики
Все практики Бизнес-продуктивность Вычислительная и сетевая инфраструктура Защита АСУ ТП Защита Данных Защита сетевой инфраструктуры Комплексная защита от продвинутых угроз Разработка, эксплуатация и защита приложений (DevSecOps) Управление данными Управление доступом и защита конечных устройств Цифровизация производства
Axoft Навигатор
Соц.сети
vk twitter youtube linkedin Telegram vc.ru
© 2020 Все права защищены
вернуться назад
Бизнес-продуктивность
Коммуникационное ПО (UC)
Корпоративные почтовые системы
Синхронизация и совместное использование корпоративных файлов (EFSS)
Управление бизнес-процессами (BPM)
Смотреть все решения
Вычислительная и сетевая инфраструктура
Операционные системы
Системы Виртуализации (SVI)
Смотреть все решения
Защита АСУ ТП
Защита АСУ ТП (ICS)
Смотреть все решения
Защита данных
Резервное копирование и восстановление данных (EBRS)
Смотреть все решения
Защита сетевой инфраструктуры
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Смотреть все решения
Комплексная защита от продвинутых угроз
Киберразведка и оценка эффективности киберзащиты (TIP)
Расширенное обнаружение и реагирование на киберинциденты (XDR)
Сетевые песочницы (Sandbox)
Система обучения и тестирования сотрудников по ИБ
Управление событиями и информацией о безопасности (SIEM)
Управляемое обнаружение и реагирование (MDR)
Смотреть все решения
Управление данными
Система управления базами данных (СУБД, DBMS)
Смотреть все решения
Управление доступом и защита конечных устройств
Защита конечных устройств (EPP)
Защита почтовых серверов
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Смотреть все решения
Вычислительная и сетевая инфраструктура
LB - Балансировщики сетевой нагрузки
VOIP - Телефонная связь по протоколу IP
Беспроводные сети
Высоконагруженные СХД
Коммутаторы
Маршрутизаторы
Мобильные устройства
Мониторы
Моноблоки
Неттопы
Ноутбуки
Периферия
Печатная техника
Программно-аппаратные комплексы
Сетевые брокеры
Стационарные ПК
Тонкие клиенты
Смотреть все решения
Защита АСУ ТП
Защита АСУ ТП (ICS)
Смотреть все решения
Защита данных
Криптографическая защита информации (СКЗИ, CIPF)
Смотреть все решения
Защита сетевой инфраструктуры
SD-WAN - Управление трафиком во внешних сетях
Виртуальная частная сеть (VPN)
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Межсетевой экран или Унифицированная защита от сетевых угроз (FW, UTM)
Многофункциональные межсетевые экраны следующего поколения (NGFW)
Системы обнаружения и предотвращения вторжений (IPS/IDS)
Управление конфигурациями межсетевых экранов (FWM)
Смотреть все решения
Инженерная инфраструктура
DCEM - Управление микроклиматом дата-центра
ИБП - Источники бесперебойного питания
Смотреть все решения
Комплексная защита от продвинутых угроз
Киберразведка и оценка эффективности киберзащиты (TIP)
Смотреть все решения
Разработка, эксплуатация и защита приложений (DevSecOps)
Защита веб-приложений (WAF)
Смотреть все решения
Управление данными
Юридически значимый электронный документооборот (EDI)
Смотреть все решения
Управление доступом и защита конечных устройств
Аутентификация пользователей (UA)
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Модули доверенной загрузки (TPM)
Управление привилегированными учётными записями (PAM)
Смотреть все решения
Физическая безопасность
CCTV - Системы видеонаблюдения
Антидрон
Смотреть все решения
Стать партнером
О нас
Отзывы Карьера Политика качества Команда О Компании
Медиацентр
О Медиацентре Новости Кейсы Блог
Сотрудничество
Стать партнером Стать вендором
Контакты
Axoft Online b2b
Производители
События
Акции Мероприятия
Сервисы
ИТ-дистрибуция Профессиональные ИТ-сервисы Центр ИТ-экспертизы Сообщества
Решения
Software XaaS Hardware
Практики
Все практики Бизнес-продуктивность Вычислительная и сетевая инфраструктура Защита АСУ ТП Защита Данных Защита сетевой инфраструктуры Комплексная защита от продвинутых угроз Разработка, эксплуатация и защита приложений (DevSecOps) Управление данными Управление доступом и защита конечных устройств Цифровизация производства
Axoft Навигатор
О нас
Медиацентр
Сотрудничество
Контакты
8 800 200-52-15
Обратная связь
Стать партнером
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Коммуникационное ПО (UC) Корпоративные почтовые системы Синхронизация и совместное использование корпоративных файлов (EFSS) Управление бизнес-процессами (BPM)
Смотреть все решения
Операционные системы Системы Виртуализации (SVI)
Смотреть все решения
Защита АСУ ТП (ICS)
Смотреть все решения
Резервное копирование и восстановление данных (EBRS)
Смотреть все решения
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Смотреть все решения
Киберразведка и оценка эффективности киберзащиты (TIP) Расширенное обнаружение и реагирование на киберинциденты (XDR) Сетевые песочницы (Sandbox) Система обучения и тестирования сотрудников по ИБ Управление событиями и информацией о безопасности (SIEM) Управляемое обнаружение и реагирование (MDR)
Смотреть все решения
Система управления базами данных (СУБД, DBMS)
Смотреть все решения
Защита конечных устройств (EPP) Защита почтовых серверов Комплексная защита физических и виртуальных серверов (VPS & SPP)
Смотреть все решения
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Инженерная инфраструктура
Комплексная защита от продвинутых угроз
Разработка, эксплуатация и защита приложений (DevSecOps)
Управление данными
Управление доступом и защита конечных устройств
Физическая безопасность
LB - Балансировщики сетевой нагрузки VOIP - Телефонная связь по протоколу IP Беспроводные сети Высоконагруженные СХД Коммутаторы Маршрутизаторы Мобильные устройства Мониторы Моноблоки Неттопы Ноутбуки Периферия Печатная техника Программно-аппаратные комплексы Сетевые брокеры Стационарные ПК Тонкие клиенты
Смотреть все решения
Защита АСУ ТП (ICS)
Смотреть все решения
Криптографическая защита информации (СКЗИ, CIPF)
Смотреть все решения
SD-WAN - Управление трафиком во внешних сетях Виртуальная частная сеть (VPN) Интернет-шлюзы и прокси-серверы (SWG, Proxy) Межсетевой экран или Унифицированная защита от сетевых угроз (FW, UTM) Многофункциональные межсетевые экраны следующего поколения (NGFW) Системы обнаружения и предотвращения вторжений (IPS/IDS) Управление конфигурациями межсетевых экранов (FWM)
Смотреть все решения
DCEM - Управление микроклиматом дата-центра ИБП - Источники бесперебойного питания
Смотреть все решения
Киберразведка и оценка эффективности киберзащиты (TIP)
Смотреть все решения
Защита веб-приложений (WAF)
Смотреть все решения
Юридически значимый электронный документооборот (EDI)
Смотреть все решения
Аутентификация пользователей (UA) Комплексная защита физических и виртуальных серверов (VPS & SPP) Модули доверенной загрузки (TPM) Управление привилегированными учётными записями (PAM)
Смотреть все решения
CCTV - Системы видеонаблюдения Антидрон
Смотреть все решения
Axoft Online b2b
Производители
События
Сервисы
Решения
  • Software
  • Информационная безопасность
  • Инфраструктура
  • Облачные сервисы
  • Решения для сервис-провайдеров
  • Решения для сервис-провайдеров
  • XaaS
  • Бизнес-продуктивность
  • Вычислительная и сетевая инфраструктура
  • Защита АСУ ТП
    • Смотреть все
  • Hardware
  • Вычислительная и сетевая инфраструктура
  • Защита АСУ ТП
  • Защита данных
    • Смотреть все
Практики
Axoft Навигатор
PT Application Inspector 4.10: фокус на реальных уязвимостях в коде
Все новости
28 марта 2025
positive technologies

PT Application Inspector 4.10: фокус на реальных уязвимостях в коде

Компания Positive Technologies, лидер в области результативной кибербезопасности, представила новую версию сканера защищенности веб-приложений PT Application Inspector 4.10 с улучшенным модулем анализа сторонних компонентов (SCA), основанным на собственной базе уязвимостей. Обновление позволило значительно (в некоторых проектах — до 100%) снизить число ложноположительных срабатываний при проверке безопасности подключенных библиотек.

Для повышения точности сканирования разработчики Positive Technologies объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST), которые ранее использовались в продукте независимо друг от друга. 

Благодаря синергии двух технологий PT Application Inspector получил новые возможности:

Анализ достижимости. PT Application Inspector 4.10 не только учитывает информацию об уязвимостях, содержащихся в используемых библиотеках, но и проверяет наличие уязвимых функций. В результате система сигнализирует только о тех уязвимостях, которые реально могут быть проэксплуатированы злоумышленниками.
Поиск транзитивных зависимостей. Содержащаяся в коде библиотека может иметь функции, зависимые от другой, которая, в свою очередь, через несколько зависимостей может быть связана с уязвимой библиотекой. PT Application Inspector теперь отслеживает такие связи и отображает их в виде графа, что позволяет четко определить фактическую угрозу.
Результаты тестирования новой версии продукта на 193 открытых проектах с GitHub, использующих уязвимые компоненты, показали снижение числа ложноположительных срабатываний на 98–100%. Так, благодаря новым возможностям PT Application Inspector разработчики и специалисты по информационной безопасности сэкономят время на анализе срабатываний и смогут сосредоточиться на исправлении реальных дефектов безопасности.

quote
Сергей Синяков
Сергей Синяков
Руководитель продуктов application security, Positive Technologies
Специалисты по кибербезопасности нередко избегают анализа сторонних компонентов, опасаясь утонуть в тысячах срабатываний, среди которых большинство окажутся ложноположительными. В таком потоке велик риск пропустить реальную уязвимость, а значит, лишиться возможности заблаговременно ее устранить. Новая версия PT Application Inspector определяет, действительно ли уязвимый фрагмент кода присутствует в приложении, и только после этого уведомляет аналитиков. Так как в большинстве случаев наличие уязвимости в коде не подтверждается, число срабатываний снижается в десятки раз.


PT Application Inspector обнаружил 36 уязвимостей, однако указал только на четыре ошибки в коде

 

В основе работы PT Application Inspector 4.10 лежит контекстный анализ: он предполагает поиск вариантов использования уязвимого компонента, соответствующих определенному критерию. В обновленном решении объектами контекстного поиска стали вызовы методов, наиболее вероятно приводящие к выполнению уязвимого кода. Дефекты безопасности, не требующие срочного вмешательства специалистов, переходят в статус потенциальных — их можно увидеть при выборе соответствующего фильтра.

Еще одна новая функция продукта — поддержка тегов для параллельного анализа нескольких Git-веток в одном репозитории. Теперь разработчики могут запускать сканирование разных веток одновременно, не опасаясь перезаписи результатов. Статусы уязвимостей, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами. Теги задаются через API при создании или изменении проекта, что упрощает управление сканированиями. В веб-интерфейс добавлена фильтрация проектов по веткам и репозиториям для быстрого доступа к нужным данным. Функция позволяет минимизировать простои благодаря параллельной работе, объединять историю изменения уязвимостей из разных веток и гибко настраивать синхронизацию — например, включать или выключать перенос статусов и исключений файлов в зависимости от задач команды.

Источник: Positive Technologies

 

Поделиться

Популярное

«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК
Новость
20 июня
Axoft: решения Start X помогут минимизировать риски человеческого фактора и повысить безопасность разработки
Новость
19 июня
ATLAS – современная СХД для вашего бизнеса
Онлайн-мероприятие
24 июня
Пять серверов OpenYard вошли в реестр Минпромторга
Новость
18 июня

Другие новости

20 июня
«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК
«Софтлайн Решения», поставщик продуктов и услуг в области цифровой трансформации и информационной безопасности, и центр экспертизы и дистрибуции цифровых технологий Axoft реализовали комплексный проект по защите «Уральской энергетической строительной компании» (УЭСК) от кибератак после инцидента с шифрованием данных.
19 июня
Axoft: решения Start X помогут минимизировать риски человеческого фактора и повысить безопасность разработки
Axoft подписал дистрибьюторское соглашение с разработчиком программного обеспечения в сфере кибербезопасности Start X (ООО «Антифишинг»).
18 июня
Пять серверов OpenYard вошли в реестр Минпромторга
Минпромторг РФ включил в реестр российской промышленной продукции сразу пять моделей серверов четвертого и пятого поколения от компании OpenYard — по итогам проведенной экспертизы в него вошли конфигурации из семейств RS102I и RS202I.
17 июня
Axoft начал сотрудничество с разработчиком решений класса GRC
Центр экспертизы и дистрибуции цифровых технологий Axoft и производитель корпоративных IT-решений, компания «Технологии. Автоматизация. Бизнес.», объявляют о старте сотрудничества.

Используя наш сайт, вы соглашаетесь с использованием файлов cookie и сервисов сбора технических данных посетителей (IP-адресов, местоположения и др.) для обеспечения работоспособности и улучшения качества обслуживания. Подробнее