Geekly articles weekly

Todo debería estar bien en el analizador: tanto la funcionalidad como la interfaz ... Estamos explorando la nueva interfaz Solar appScreener 3.1

imagen Como solía decir Henry Ford, todo se puede hacer mejor de lo que se ha hecho hasta ahora. Así lo pensamos cuando comenzamos a trabajar en la versión 3.1 de nuestro analizador de seguridad de aplicaciones. Realmente queríamos que nuestro producto no solo tuviera la mejor funcionalidad: por ejemplo, implementar soporte para la cantidad máxima de lenguajes de programación. Pero también el más ergonómico, cómodo, estéticamente atractivo ... ¡bueno, para no desgarrar los ojos! Y así nos dejamos llevar por nuestra idea de que incluso el nombre del producto fue cambiado. En general, dieron todo por completo. Y decidieron compartir los resultados de sus esfuerzos con usted en esta revisión.


Por lo tanto, hoy le diremos lo nuevo y útil que ha aparecido en Solar appScreener 3.1 en comparación con la versión anterior 2.10 en términos de diseño y ergonomía. El lado funcional del problema se puede encontrar en el comunicado de prensa. En el momento de la publicación de este artículo, el equipo de desarrollo de Solar appScreener ya había lanzado una nueva versión 3.2 . Pero todos los cambios de interfaz 3.1 siguieron siendo válidos.

Brevemente sobre los cambios.


La primera innovación es el nombre del producto: hasta la versión 2.9 inclusive, el analizador se llamaba Solar inCode, y a partir de 2.10 se conocía como Solar appScreener. Desde el lanzamiento de la versión 2.10, el producto ha cambiado tanto en contenido como externamente.

Muy brevemente sobre logros funcionales. Solar appScreener es ahora el líder absoluto entre las herramientas de análisis estático en términos de la cantidad de idiomas admitidos (hay 26 de ellos en 3.1 y ya 3.2 en el 3.2 recientemente publicado). 3.1 soporte agregado para COBOL, TypeScript, VBScript, Apex. Implementamos la integración con Active Directory, apareció un filtro para el módulo FLE (Fuzzy Logic Engine), que ayudará a gestionar más libremente los falsos positivos. Integración con Jira más flexible.

En cuanto a los cambios de diseño , tratamos de hacer que la interfaz sea más elegante y conveniente. Rediseñamos la estructura de las páginas, la apariencia del menú, las listas y los botones. En cada página hay una funcionalidad que hará que el trabajo del usuario con la herramienta sea rápido y agradable. Durante el rediseño, tratamos de minimizar el espacio no utilizado, reducir el número de pasos y los clics necesarios para completar las tareas y hacer que la funcionalidad sea lo más accesible posible.

Diseño


Ya se pueden ver cambios dramáticos en el diseño en la etapa de autorización. Ventanas minimalistas, campos, botones. Los elementos se volvieron planos, las fuentes más legibles. Hemos mantenido la paleta azul-blanco-gris de la marca. El esquema de color principal fue la salida del degradado azul a un blanco liso.

Era: página de proyectos


Ahora: página de proyectos


Un objetivo importante del rediseño era eliminar el espacio vacío, organizar los elementos más compactos, pero no sobrecargar las páginas. Los resultados se pueden ver en el menú de ejemplo.
Era: el menú lateral del proyecto.Ahora: el menú lateral del proyecto.
imagen

En la nueva interfaz, los elementos del menú lateral van acompañados de íconos claros. Para ahorrar espacio, el menú se puede ocultar. En general, la interfaz se ha vuelto más vívida y moderna.

La navegación


Después de la autorización, en la interfaz anterior, el usuario fue redirigido a la página Proyectos con una lista de aplicaciones analizadas. Para comenzar un nuevo escaneo, tenía que ir a la página Nuevo proyecto .

Era: página de proyectos


El nuevo concepto implica un mínimo de pasos para comenzar. Después de la autorización, el usuario accede a la página de inicio . Aquí puede ver los últimos escaneos y lanzar uno nuevo.

Ahora: página de inicio


Inicio de escaneo


Usando el ejemplo de lanzamiento de un escaneo, mostraremos cómo logramos reducir la cantidad de clics necesarios para acceder a las funciones del sistema.

En la interfaz anterior, era posible descargar aplicaciones para análisis de tres maneras: a través de un enlace a Google Play o App Store , desde una computadora local o por un enlace al repositorio . Después de elegir el método de descarga, puede especificar el nombre del proyecto, cargar un logotipo, seleccionar un archivo o especificar un enlace.

Fue: elegir el método de descarga de la aplicación e iniciar el escaneo



En la nueva interfaz, puede comenzar a escanear con dos clics: arrastre el archivo de la aplicación y haga clic en el botón Iniciar escaneo .

Ahora: descargando la aplicación para análisis desde la computadora local



Para descargar la aplicación desde App Store, Google Play o mediante el enlace al repositorio de Git, vaya a la pestaña Descargar la aplicación junto al enlace y especifique la URL requerida.

Ahora: descargue la aplicación para análisis por referencia



Ver resultados


Cuando comienza el análisis, se crea un nuevo proyecto en el sistema. Aparece en la lista en la página Proyectos. Además, dentro del marco del proyecto creado, puede comenzar el análisis de nuevas versiones de la aplicación. Por lo tanto, el usuario podrá monitorear los cambios en la cantidad de vulnerabilidades y clasificaciones de seguridad.

Debo admitir que en la interfaz anterior era bastante difícil navegar por los resultados de varios escaneos. Para ver los resultados detallados de escaneos anteriores, tenía que ir a la página del proyecto , seleccionar un escaneo de la lista y solo después de eso ir a la página de resultados detallados.

Was: página de resultados detallados



En la nueva interfaz, toda la información sobre el último escaneo se puede encontrar en la página Descripción general. Usando el menú lateral, puede cambiar fácilmente entre resultados detallados y otras secciones del proyecto. En cualquiera de las páginas Descripción general, Resultados detallados, Comparación de escaneo, siempre puede ir a cualquiera de los escaneos anteriores. Para hacer esto, seleccione la fecha de análisis de la lista en la esquina derecha de la página.

Ahora: Página de resumen



Ahora, toda la información importante sobre el escaneo seleccionado se presenta en forma de gráficos en una página (anteriormente, algunos de los gráficos estaban ubicados en la página del proyecto y otros en la página de escaneo):

  • Opciones de lanzamiento de análisis. Al hacer clic en el icono de información cerca de la lista de escaneos, el usuario podrá ver la configuración con la que se inició el escaneo seleccionado. No había tal posibilidad en la interfaz anterior.
  • Escanear estado.
  • Calificación Ahora, no solo la calificación en una escala de cinco puntos habla del nivel de seguridad de la aplicación, sino también del color de la calificación.
  • Duración del escaneo.
  • El número de líneas de código.

Además, se han agregado nuevos gráficos en la interfaz 3.1:
  • estadísticas sobre tipos de vulnerabilidades (puede averiguar qué vulnerabilidades son más),
  • estadísticas de idioma (puede ver la cantidad de vulnerabilidades en cada uno de los idiomas de aplicación analizados).

Sobre qué otra información valiosa se puede extraer de los resultados del análisis, lea el spoiler "Resultados detallados".

Resultados detallados
1. El filtro de vulnerabilidad se ha expandido significativamente en comparación con la interfaz anterior.
Fue: un filtro de vulnerabilidadAhora: filtro de vulnerabilidad

Considere las nuevas características del filtro:

  • Buscar por nombre de vulnerabilidad . Ingrese, por ejemplo, "XSS" en el campo de entrada y obtenga una lista de vulnerabilidades relacionadas.
  • Buscar por directorio y nombre de archivo con vulnerabilidad. Para ver vulnerabilidades en un archivo específico, ingrese su nombre en la barra de búsqueda.
  • Filtro en comparación con el escaneo anterior. Si el proyecto tiene varios escaneos, puede comparar el actual con cualquiera de los anteriores. Solo puede ver vulnerabilidades nuevas o solo sobrevivientes. Esto será útil si ejecuta el análisis regularmente; ahora puede procesar nuevos resultados más rápido. El usuario también puede averiguar qué vulnerabilidades se han corregido y cuáles han aparecido desde el primer análisis.
  • Filtrar por idioma . Inicialmente, todos los idiomas en los que se descubrieron vulnerabilidades se seleccionaron en el filtro. Desmarca las casillas para ver las vulnerabilidades en los idiomas que te interesan.
  • Motor de lógica difusa (FLE). Ayuda a priorizar correcciones de vulnerabilidades. Seleccione uno de los modos para mostrar vulnerabilidades:

  1. solo los verdaderos, con una alta probabilidad de que los sucesos sean una vulnerabilidad real;
  2. solo las importantes son las vulnerabilidades que deben abordarse primero;
  3. personalizado : es posible ajustar la sensibilidad del Fuzzy Logic Engine moviendo el control deslizante a diferentes posiciones. La posición más a la izquierda indica las ocurrencias con la mayor probabilidad de una respuesta correcta, la posición más a la derecha muestra vulnerabilidades para cualquier probabilidad;
  4. dinámico : puede establecer el percentil (valor de 1 a 100), según el cual se mostrará una parte / porcentaje de las vulnerabilidades más importantes.



2. Recomendaciones para configurar herramientas de seguridad de la información. En la versión 2.10, las recomendaciones para configurar el SPI se encontraban en una página separada. En la nueva interfaz, las recomendaciones están disponibles en la página de Resultados detallados en la pestaña Configuración de SIS .

Ahora, para cada vulnerabilidad, puede ver de inmediato si es posible configurar Imperva SecureSphere, ModSecurity o F5 para cerrar el defecto.



Para acelerar el procesamiento de resultados, utilizando el filtro, puede seleccionar solo aquellas vulnerabilidades para las cuales hay recomendaciones para configurar el sistema de información de seguridad.

Después de configurar la protección, elimine las vulnerabilidades "cerradas" y no aparecerán en escaneos posteriores. Como en la interfaz anterior, puede eliminar una vulnerabilidad específica en la pestaña Administración de vulnerabilidades. Reemplazamos el botón de texto con un ícono ordenado, cambiamos la ubicación de los elementos.



Recomendamos encarecidamente dejar un comentario con el motivo para eliminar la vulnerabilidad.

3. Enlace a la entrada . Otra mejora en la exploración de exploración. En versiones anteriores de Solar appScreener, no era posible proporcionar un enlace a una descripción detallada de una vulnerabilidad específica. Debido a esto, tuve que referirme a la vulnerabilidad por nombre y ruta al archivo para encontrar el elemento deseado en la lista. En repetidas ocasiones hemos recibido comentarios con solicitudes para simplificar el procedimiento de vinculación a una vulnerabilidad; ahora esto se puede hacer especificando su URL.

4. Escanear
En la interfaz anterior, no era posible comparar escaneos de proyectos en todos los aspectos. La página del proyecto contenía solo una lista de escaneos que indicaban la calificación (nivel de seguridad). En la nueva interfaz, la sección correspondiente muestra todos los escaneos del proyecto en formato de tabla.



Esta página le permite ver y comparar los principales indicadores de cada escaneo. Cuando hace clic en el icono cerca de la fecha de escaneo, se muestra información sobre los parámetros de inicio, lo que ayuda a explicar las diferencias en los resultados del escaneo. En particular, es posible determinar bajo qué parámetros se completó la exploración con éxito y bajo qué: se produjo un error.

Para trabajar con una gran cantidad de escaneos, use la clasificación por fecha, estado, duración del escaneo, clasificación. Seleccione dos escaneos para compararlos por vulnerabilidad. Y para que no se muestren escaneos innecesarios, por ejemplo, con el estado Error , puede colocarlos en el archivo.

Los escaneos archivados no se mostrarán en los gráficos de la página Descripción general ; para ellos, no puede ver resultados detallados ni exportar un informe. Si es necesario, los escaneos pueden descomprimirse. En la interfaz anterior, solo su eliminación permanente estaba disponible.

Aquí puede seleccionar varios escaneos para exportar el informe sobre los resultados.



En la nueva interfaz, se ha vuelto más conveniente seleccionar vulnerabilidades para el informe dependiendo de su estado (nuevo, preservado, reparado, eliminado). Cargar vulnerabilidades eliminadas / eliminadas le permite obtener un informe sobre el trabajo realizado. Y al incluir solo nuevas vulnerabilidades en el informe, puede crear una lista de tareas urgentes. Anteriormente, era posible incluir en el informe todas las vulnerabilidades o solo las nuevas. Es importante que ahora pueda enviar el informe por correo electrónico con un solo clic.

Proyectos


La página de Proyectos apenas ha cambiado de contenido, pero han aparecido nuevas funciones de filtro y búsqueda.



Ahora, para ver solo los proyectos que necesita, configure el filtro o busque.

  • Escanear estado. Seleccione proyectos con solo los últimos escaneos completados o, por el contrario, escaneos que se han iniciado.
  • Idioma. Seleccione al menos uno o más idiomas contenidos en la aplicación analizada.
  • Calificación Indique el rango dentro del cual debe estar la clasificación de la aplicación (de 0 a 5). Un indicador de color lo ayudará a seleccionar proyectos que coincidan con la calificación de vulnerabilidad solicitada.
  • El número de vulnerabilidades. Indique el rango de vulnerabilidades de diferentes niveles de gravedad. Por ejemplo, proyectos con solo vulnerabilidades críticas.
  • Filtrar por fecha . Seleccione escaneos para un día específico o intervalo de días, para la última semana o el último mes. Por ejemplo, puede ver los escaneos del mes actual.
  • La búsqueda de proyectos se puede llevar a cabo no solo por nombre y autor, sino también por el ID de un proyecto específico (que se muestra debajo del nombre del proyecto y en la página Descripción general).
ID del proyecto en la página ProyectosID del proyecto en el menú lateral del proyecto

Para aquellos que están particularmente interesados ​​en el spoiler "Analytics", el ejemplo de esta sección muestra los cambios en la estructura de la página de la nueva interfaz.

Analítica
En la página de Analytics, fue posible rastrear estadísticas sobre proyectos: la cantidad de líneas de código, la cantidad de vulnerabilidades, la calificación. En la interfaz anterior, una parte importante de la página estaba ocupada por la barra lateral, los gráficos eran inconvenientes y pequeños. Los nombres de los gráficos y los modos (que muestran el valor promedio / total) también ocuparon mucho espacio. Para reconstruir un gráfico, tenía que hacer clic en el botón Reconstruir gráfico.

Era: página de análisis



En la nueva versión, aumentamos el tamaño de los gráficos, redujimos la cantidad de texto y lo reemplazamos con botones visuales. Para liberar espacio en el lado izquierdo de la página, el menú se movió hacia arriba en forma de pestañas. Para la conveniencia de ver los gráficos, agregamos sus miniaturas y para ver cómodamente la tabla de gráficos, puede ocultarlo.

Ahora: página de análisis



Tomamos el menú para ver la lista de grupos existentes y crear nuevos en la parte superior de la página, agregamos íconos. Se puede crear un nuevo grupo seleccionando proyectos individuales o basados ​​en grupos existentes.

Hemos reemplazado las casillas de verificación con listas desplegables con selección múltiple y búsqueda. Ahora el usuario podrá encontrar los grupos y proyectos necesarios por nombre, y no navegar por la lista completa.



Y uno más, esta vez el último, spoiler está dedicado al desarrollo de la integración con Jira . En versiones anteriores de nuestro analizador, ya era posible crear tareas de reparación de vulnerabilidades en Jira. En la versión 3.1, agregamos algunas características nuevas. ¿Cuáles puedes encontrar?

Aqui
En la versión 3.1, agregamos nuevos campos "tarea principal" y "componentes". También puede especificar un enlace al repositorio de origen para que se genere un enlace al código con vulnerabilidad en Gitlab en la descripción de la tarea.

Ahora: crea una tarea en Jira



Ahora, al ver la tarea creada en la interfaz de Jira, el usuario verá un código fuente formateado con vulnerabilidad, listas, enlaces resaltados. En una palabra, leer la descripción de la tarea se ha vuelto más conveniente.



Administración


Rediseñamos completamente la sección de Administración. Cambió la estructura de la sección, implementó la búsqueda y clasificación de usuarios y grupos de usuarios, simplificó su creación y edición. En la lista de usuarios, se cambió el orden de las columnas, se eliminaron las adicionales (el teléfono y el sitio web se pueden ver en la página de edición del usuario).

Fue: una lista de usuarios



Ahora: lista de usuarios



En la versión anterior de la interfaz, el procedimiento para crear una cuenta de usuario incluía tres pasos no triviales en diferentes páginas: 1. completar una tabla con todas las credenciales de usuario: inicio de sesión, contraseña, nombre, correo electrónico, teléfono, sitio web, etc. 2. elegir de una larga lista de roles adecuados para el usuario; 3. Establecer derechos de usuario para acceder a un proyecto en particular. Ahora puede completar los datos del usuario, otorgar derechos y dar acceso a proyectos existentes más rápido y en una sola página.

Al crear una cuenta, se hizo posible enviar un correo electrónico a un usuario con un nombre de usuario y contraseña. Puede dar acceso a un usuario existente al proyecto en la página de edición del usuario o en la página de configuración del proyecto. Si necesita configurar los derechos de varios usuarios, le recomendamos que cree un grupo. En este caso, será posible proporcionar acceso a todos los usuarios del grupo en un solo paso.

Revisión importante: la nueva versión implementa la integración con LDAP. El administrador puede establecer los parámetros de conexión en la configuración del sistema en la pestaña LDAP.



Para ver los usuarios y grupos de usuarios de la conexión agregada, en las secciones de Administración correspondientes, debe seleccionar la conexión LDAP deseada.

Cuenta personal


Si anteriormente el botón para ir a Mi cuenta estaba ubicado en el menú principal, en la nueva interfaz lo colocamos en la esquina superior derecha como un icono.

Era: el botón de transición en la cabina personal t



Ahora: el botón para ir a Mi cuenta



En la página había pestañas separadas para diferentes configuraciones. Ahora es más fácil navegar en su cuenta personal.



Resumen


La interfaz del analizador se ha vuelto más conveniente, comprensible y más elegante. Iniciar un nuevo escaneo lleva menos tiempo. La navegación entre escaneos en un proyecto es más conveniente. En 3.1, aparecieron filtros en las páginas con proyectos y resultados detallados, con la ayuda de los cuales los usuarios podrán procesar los resultados del análisis más rápido y eliminar vulnerabilidades importantes a tiempo.

, , , . , , .

, Solar appScreener

Source: https://habr.com/ru/post/459648/

More articles:


All Articles