Digital Security представляет систему статического анализа кода CheckCode

08.10.2013

Digital Security представляет новый продукт собственной разработки – систему статического анализа кода CheckCode. Это инновационное решение предназначено для поиска потенциальных уязвимостей и закладок в программном коде и совмещает как типовые современные методы поиска уязвимостей, основанные на анализе потока данных, используемые в SAST-продуктах, так и уникальные методы поиска программных закладок, специфичных для бизнес-приложений. Статический анализатор кода позволяет выявлять проблемы безопасности на этапе разработки и эксплуатации информационной системы. В данный момент CheckCode поддерживает следующие языки: ABAP/4, PeopleCode, X++, и 1C. На ближайшее время запланирована поддержка JAVA, C, C++, C#, PHP, PL/SQL.

Компания шла к созданию этого продукта несколько лет. Эксперты активно ведут работу по анализу защищенности бизнес-приложений и исследования исходного кода на языке ABAP уже не один год. Серьезным шагом на этом пути стало создание несколько лет назад статического анализатора ABAP-кода, в котором применение уникальных собственных алгоритмов позволило успешно искать уязвимости, существенно минимизировав при этом число ложных срабатываний и обеспечив должную полноту поиска. Успешно решив эту непростую задачу для АВАР, одного из самых сложных на сегодня языков для бизнес-приложений, в компании задались целью адаптировать этот опыт и для других языков. В итоге был создан отдельный продукт – CheckCode.

Одной из общеизвестных проблем статического анализа кода является количество ложных срабатываний при поиске уязвимостей, связанных с неправильной валидацией данных. Исследования показывают, что более 70 % уязвимостей в большинстве языков крайне сложно обнаружить без применения анализа потоков данных, что обуславливает необходимость этой технологии для статических сканеров исходного кода.

Илья Медведовский:

Одним из главных преимуществ новой системы CheckСode является использование технологии анализа потока данных собственной разработки для уменьшения количества ложных срабатываний при высокой полноте анализа. Мы не сомневаемся, что наш продукт будет востребован на российском и зарубежных рынках, поскольку сегодня существует большая потребность в оптимальных с точки зрения качества работы и стоимости решениях для анализа исходного кода.