«КриптоПро» анализирует код своих продуктов с помощью PT Application Inspector

Компания «КриптоПро» использует PT Application Inspector для автоматического анализа защищенности исходного кода разрабатываемых средств криптографической защиты информации и электронной подписи. Как рассказали CNews в компании Positive Technologies, руководствуясь принципами безопасной разработки, «КриптоПро» контролирует уровень безопасности своих продуктов на всех этапах их создания (от написания кода до приемки готового средства защиты). Такой подход требует использования инструментов, в равной степени удобных как для разработчиков, так и для специалистов по безопасности. Анализатор защищенности исходного кода приложений PT Application Inspector выбран в качестве одного из таких инструментов. «Мы постоянно развиваем свои сервисы и продукты. При этом, действуя в рамках концепции безопасной разработки, традиционно предъявляем высокие требования к качеству кода, к скорости выявления и исправления уязвимостей. В том числе и потому, что конкуренция на рынке средств криптографической защиты информации и электронной цифровой подписи высока и требует от нас особенно ответственного отношения к написанию и анализу исходного кода. Общее увеличение числа продуктов и их функциональное усложнение ведут к прогрессивному росту объема разработки ПО. Все это в совокупности подтолкнуло нас к использованию еще и автоматизированного инструмента — PT Application Inspector, который дополняет ручной анализ кода», — рассказал Игорь Курепкин, заместитель генерального директора компании «КриптоПро». «Как правило, средства защиты информации не рассматриваются как источник дополнительной угрозы, что делает их интересной мишенью для злоумышленников: все чаще их уязвимости эксплуатируются при проникновении во внутреннюю инфраструктуру организаций. Производители должны учитывать эти риски и разрабатывать свои решения согласно требованиям безопасной разработки: своевременное выявление и устранение уязвимостей значительно снизит риски и величину возможного ущерба, а благодаря автоматической проверке позволит обнаружить больше критически опасных уязвимостей», — добавил Алексей Голдбергс, руководитель направления по работе с технологическими партнерами компании Positive Technologies. В основе системы PT Application Inspector лежит гибридный подход, сочетающий возможности статического, динамического и интерактивного анализа, а также предполагающий использование огромной базы знаний об уязвимостях, накопленной экспертами Positive Technologies. Все это позволяет использовать PT Application Inspector как в ходе разработки, так и для уже работающих приложений. Такой подход, по словам разработчиков продукта, помогает сократить вероятность ошибок и стоимость их исправления. Ссылка на источник