«КриптоПро» анализирует код своих продуктов

«КриптоПро», руководствуясь принципами безопасной разработки, контролирует уровень безопасности своих продуктов на всех этапах их создания (от написания кода до приемки готового средства защиты). Такой подход требует использования инструментов, в равной степени удобных как для разработчиков, так и для специалистов по безопасности. В качестве одного из них выбран анализатор защищенности исходного кода приложений PT Application Inspector.

«Мы постоянно развиваем свои сервисы и продукты. При этом, действуя в рамках концепции безопасной разработки, традиционно предъявляем высокие требования к качеству кода, к скорости выявления и исправления уязвимостей. В том числе и потому, что конкуренция на рынке средств криптографической защиты информации и электронной цифровой подписи высока и требует от нас особенно ответственного отношения к написанию и анализу исходного кода. Общее увеличение числа продуктов и их функциональное усложнение ведут к прогрессивному росту объема разработки ПО. Все это в совокупности подтолкнуло нас к использованию еще и автоматизированного инструмента — PT Application Inspector, — который эффективно дополняет ручной анализ кода», — прокомментировал Игорь Курепкин, заместитель генерального директора компании «КриптоПро».

«Как правило, средства защиты информации не рассматриваются как источник дополнительной угрозы, что делает их интересной мишенью для злоумышленников: все чаще их уязвимости эксплуатируются при проникновении во внутреннюю инфраструктуру организаций. Производители должны учитывать эти риски и разрабатывать свои решения согласно требованиям безопасной разработки: своевременное выявление и устранение уязвимостей значительно снизит риски и величину возможного ущерба, а благодаря автоматической проверке позволит обнаружить больше критически опасных уязвимостей», — добавил Алексей Голдбергс, руководитель направления по работе с технологическими партнерами компании Positive Technologies.

В основе системы PT Application Inspector лежит уникальный гибридный подход, сочетающий преимущества статического, динамического и интерактивного анализа, а также использующий огромную базу знаний об уязвимостях, накопленную экспертами Positive Technologies. Все это позволяет использовать PT Application Inspector как в ходе разработки, так и для уже работающих приложений. Такой подход помогает значительно сократить вероятность ошибок и стоимость их исправления.

Тематики: Безопасность

Ключевые слова: информационная безопасность, криптопровайдер, Positive Technologies