«КриптоПро», руководствуясь принципами безопасной разработки, контролирует уровень безопасности своих продуктов на всех этапах их создания (от написания кода до приемки готового средства защиты). Такой подход требует использования инструментов, в равной степени удобных как для разработчиков, так и для специалистов по безопасности. В качестве одного из них выбран анализатор защищенности исходного кода приложений PT Application Inspector.
«Мы постоянно развиваем свои сервисы и продукты. При этом, действуя в рамках концепции безопасной разработки, традиционно предъявляем высокие требования к качеству кода, к скорости выявления и исправления уязвимостей. В том числе и потому, что конкуренция на рынке средств криптографической защиты информации и электронной цифровой подписи высока и требует от нас особенно ответственного отношения к написанию и анализу исходного кода. Общее увеличение числа продуктов и их функциональное усложнение ведут к прогрессивному росту объема разработки ПО. Все это в совокупности подтолкнуло нас к использованию еще и автоматизированного инструмента — PT Application Inspector, — который эффективно дополняет ручной анализ кода», — прокомментировал Игорь Курепкин, заместитель генерального директора компании «КриптоПро».
«Как правило, средства защиты информации не рассматриваются как источник дополнительной угрозы, что делает их интересной мишенью для злоумышленников: все чаще их уязвимости эксплуатируются при проникновении во внутреннюю инфраструктуру организаций. Производители должны учитывать эти риски и разрабатывать свои решения согласно требованиям безопасной разработки: своевременное выявление и устранение уязвимостей значительно снизит риски и величину возможного ущерба, а благодаря автоматической проверке позволит обнаружить больше критически опасных уязвимостей», — добавил Алексей Голдбергс, руководитель направления по работе с технологическими партнерами компании Positive Technologies.
В основе системы PT Application Inspector лежит уникальный гибридный подход, сочетающий преимущества статического, динамического и интерактивного анализа, а также использующий огромную базу знаний об уязвимостях, накопленную экспертами Positive Technologies. Все это позволяет использовать PT Application Inspector как в ходе разработки, так и для уже работающих приложений. Такой подход помогает значительно сократить вероятность ошибок и стоимость их исправления.