👩‍👩‍👧‍👧 👩🏾‍🤝‍👩🏻 💓 يجب أن يكون كل شيء على ما يرام في المحلل: كل من الوظيفة والواجهة ... نحن نستكشف واجهة Solar appScreener 3.1 الجديدة 💂🏼 〰️ 🦆

كما اعتاد هنري فورد أن يقول ، كل شيء يمكن القيام به بشكل أفضل مما تم القيام به حتى الآن. لذلك اعتقدنا ذلك عندما بدأنا العمل على الإصدار 3.1 من محلل أمان التطبيق لدينا. لقد أردنا حقًا جعل منتجنا ليس الأفضل في وظائفه: على سبيل المثال ، قم بتطبيق الدعم لأقصى عدد من لغات البرمجة. ولكن أيضا الأكثر راحة ، مريحة ، جذابة جماليا ... - حسنا ، حتى لا تمزق عينيك مباشرة! وهكذا ابتعدنا عن فكرتنا أنه حتى اسم المنتج قد تم تغييره. بشكل عام ، أعطوا كل شيء بالكامل. وقرروا مشاركة نتائج جهودهم معك في هذا الاستعراض.

لذلك ، سوف نخبرك اليوم بما هو جديد ومفيد في Solar appScreener 3.1 مقارنة بالإصدار السابق 2.10 من حيث التصميم وبيئة العمل. يمكن العثور على الجانب الوظيفي للقضية في البيان الصحفي. في وقت نشر هذا المقال ، كان فريق تطوير Solar appScreener قد طرح بالفعل نسخة جديدة 3.2 . ولكن ظلت جميع التغييرات واجهة 3.1 صالحة.

باختصار عن التغييرات

أول ابتكار هو اسم المنتج: حتى الإصدار 2.9 ضمناً ، أطلق على المحلل اسم Solar inCode ، وابتداءً من 2.10 أصبح يُعرف باسم AppScreener Solar. منذ إصدار الإصدار 2.10 ، تغير المنتج في المحتوى وخارجه.

لفترة وجيزة جدا عن الإنجازات الوظيفية. Solar appScreener هو الآن الرائد المطلق بين أدوات التحليل الثابت من حيث عدد اللغات المدعومة (هناك 26 منها في 3.1 و 3.2 بالفعل في 3.2 التي تم إصدارها مؤخرًا). 3.1 إضافة دعم ل COBOL ، TypeScript ، VBScript ، Apex. طبقنا التكامل مع Active Directory ، ظهر مرشح لوحدة FLE (Fuzzy Logic Engine) ، مما سيساعد على إدارة الإيجابيات الخاطئة بشكل أكثر حرية. جعل التكامل مع جيرا أكثر مرونة.

بالنسبة لتغييرات التصميم ، حاولنا جعل الواجهة أكثر أناقة وملاءمة. لقد قمنا بإعادة تصميم هيكل الصفحات وظهور القائمة والقوائم والأزرار. توجد في كل صفحة وظيفة تجعل عمل المستخدم مع الأداة سريعة وممتعة. أثناء إعادة التصميم ، حاولنا تقليل المساحة غير المستخدمة وتقليل عدد الخطوات والنقرات اللازمة لإكمال المهام وجعل الوظيفة في متناولها قدر الإمكان.

تصميم

يمكن ملاحظة التغييرات الدراماتيكية في التصميم بالفعل في مرحلة الترخيص. نوافذ أضيق الحدود ، الحقول ، الأزرار. أصبحت عناصر مسطحة ، والخطوط أكثر قابلية للقراءة. لقد احتفظنا بلوحة اللون الأزرق والأبيض الرمادي للعلامة التجارية. كان نظام الألوان الرئيسي هو الخروج من التدرج الأزرق إلى الأبيض العادي.

كان: صفحة المشاريع

الآن: صفحة المشاريع

كان الهدف المهم لإعادة التصميم هو التخلص من المساحة الفارغة ، وترتيب العناصر بشكل أكثر إحكاما ، ولكن عدم زيادة تحميل الصفحات. يمكن رؤية النتائج في قائمة المثال.

كان: القائمة الجانبية للمشروع	الآن: القائمة الجانبية للمشروع

في الواجهة الجديدة ، تكون عناصر القائمة الجانبية مصحوبة برموز واضحة. لتوفير مساحة ، يمكن إخفاء القائمة. بشكل عام ، أصبحت الواجهة أكثر حيوية وحداثة.

ملاحة

بعد التفويض ، في الواجهة القديمة ، تمت إعادة توجيه المستخدم إلى صفحة المشاريع مع قائمة بالتطبيقات التي تم تحليلها. لبدء فحص جديد ، كان عليك الانتقال إلى صفحة مشروع جديد .

كان: صفحة المشاريع

يتضمن المفهوم الجديد الحد الأدنى من الخطوات للبدء. بعد التفويض ، يحصل المستخدم على الصفحة الرئيسية . هنا يمكنك عرض أحدث عمليات المسح وإطلاق واحدة جديدة.

الآن: الصفحة الرئيسية

بدء المسح

باستخدام مثال بدء الفحص ، سوف نوضح كيف تمكنا من تقليل عدد النقرات اللازمة للوصول إلى وظائف النظام.

في الواجهة القديمة ، كان من الممكن تنزيل التطبيقات للتحليل بثلاث طرق: من خلال رابط إلى Google Play أو App Store أو من جهاز كمبيوتر محلي أو بواسطة رابط إلى المستودع . بعد اختيار طريقة التنزيل ، يمكنك تحديد اسم المشروع أو تحميل شعار أو تحديد ملف أو تحديد رابط.

كان: اختيار طريقة تنزيل التطبيق وبدء الفحص

في الواجهة الجديدة ، يمكنك بدء المسح بنقرتين: اسحب ملف التطبيق وانقر فوق الزر " بدء المسح" .

الآن: تنزيل التطبيق للتحليل من الكمبيوتر المحلي

لتنزيل التطبيق من App Store أو Google Play أو عبر الرابط إلى مستودع Git ، انتقل إلى علامة تبويب تنزيل التطبيق بالرابط وحدد عنوان URL المطلوب.

الآن: قم بتنزيل التطبيق للتحليل حسب المرجع

عرض النتائج

عندما يبدأ التحليل ، يتم إنشاء مشروع جديد في النظام. يظهر في القائمة على صفحة المشاريع. علاوة على ذلك ، في إطار المشروع الذي تم إنشاؤه ، يمكنك البدء في تحليل الإصدارات الجديدة من التطبيق. لذلك سيكون المستخدم قادرًا على مراقبة التغييرات في عدد نقاط الضعف وتصنيفات الأمان.

يجب أن أعترف أنه في الواجهة القديمة كان من الصعب للغاية التنقل في نتائج عمليات المسح المختلفة. لعرض النتائج التفصيلية لعمليات المسح السابقة ، كان عليك الانتقال إلى صفحة المشروع وتحديد المسح من القائمة وفقط بعد ذلك انتقل إلى صفحة النتائج التفصيلية.

كان: صفحة نتائج مفصلة

في الواجهة الجديدة ، يمكن العثور على جميع المعلومات حول الفحص الأخير في صفحة النظرة العامة. باستخدام القائمة الجانبية ، يمكنك التبديل بسهولة بين النتائج التفصيلية والأقسام الأخرى من المشروع. في أي من النظرة العامة والنتائج التفصيلية ومسح مقارنة المسح الضوئي ، يمكنك دائمًا الانتقال إلى أي من عمليات المسح السابقة. للقيام بذلك ، حدد تاريخ التحليل من القائمة في الزاوية اليمنى من الصفحة.

الآن: نظرة عامة الصفحة

الآن يتم تقديم جميع المعلومات المهمة حول الفحص المحدد في شكل رسومات بيانية على صفحة واحدة (سابقًا ، كانت بعض الرسوم البيانية موجودة على صفحة المشروع ، والبعض الآخر على صفحة المسح):

تحليل خيارات الاطلاق. من خلال النقر على أيقونة المعلومات بالقرب من قائمة عمليات الفحص ، سيكون المستخدم قادرًا على عرض الإعدادات التي تم بها تشغيل الفحص المحدد. لم يكن هناك مثل هذا الاحتمال في الواجهة القديمة.
حالة المسح الضوئي.
التصنيف. الآن ، لا يقتصر التصنيف على مقياس مكون من خمس نقاط ، ولكن لون التصنيف يتحدث عن مستوى أمان التطبيق.
مدة المسح.
عدد سطور الكود.

بالإضافة إلى ذلك ، تمت إضافة رسوم بيانية جديدة في الواجهة 3.1:

إحصائيات حول أنواع الثغرات الأمنية (يمكنك معرفة نقاط الضعف أكثر) ،
إحصائيات اللغة (يمكنك رؤية عدد نقاط الضعف في كل من لغات التطبيق التي تم تحليلها).

حول المعلومات القيمة الأخرى التي يمكن استخلاصها من نتائج المسح ، اقرأ المفسد "نتائج مفصلة".

نتائج مفصلة

1. لقد توسعت مرشح الضعف بشكل كبير مقارنة بالواجهة القديمة.

كان: مرشح الضعف	الآن: تصفية الضعف

النظر في ميزات مرشح جديد:

البحث عن طريق اسم الضعف . أدخل ، على سبيل المثال ، "XSS" في حقل الإدخال واحصل على قائمة بمواطن الضعف المرتبطة.
البحث عن طريق الدليل واسم الملف مع الضعف. لعرض نقاط الضعف في ملف معين ، أدخل اسمه في شريط البحث.
تصفية مقارنة بالمسح الضوئي السابق. إذا كان المشروع يحتوي على عدة عمليات مسح ، فيمكنك مقارنة الحالي بأي من عمليات الفحص السابقة. يمكنك رؤية نقاط الضعف الجديدة أو الباقية فقط. سيكون هذا مفيدًا إذا أجريت التحليل بانتظام - يمكنك الآن معالجة النتائج الجديدة بشكل أسرع. يمكن للمستخدم أيضًا معرفة نقاط الضعف التي تم إصلاحها والتي ظهرت منذ التحليل الأول.
تصفية حسب اللغة . في البداية ، تم اختيار جميع اللغات التي تم اكتشاف الثغرات فيها في الفلتر. قم بإلغاء تحديد المربعات لعرض نقاط الضعف في اللغات التي تهتم بها.
محرك المنطق الضبابي (FLE). يساعد على إعطاء الأولوية لإصلاحات الضعف. حدد أحد الأوضاع لعرض نقاط الضعف:

فقط الحقيقية - مع وجود احتمالية عالية أن الحوادث تشكل ثغرة حقيقية ؛
فقط النقاط المهمة هي نقاط الضعف التي تحتاج إلى معالجة أولاً ؛
مخصص - من الممكن ضبط حساسية محرك المنطق Fuzzy عن طريق تحريك شريط التمرير إلى مواضع مختلفة. يشير الموضع الموجود في أقصى اليسار إلى التكرارات التي لها أعلى احتمال للاستجابة الصحيحة ؛ والموضع أقصى اليمين يعرض نقاط الضعف لأي احتمال ؛
ديناميكي - يمكنك تعيين النسبة المئوية (القيمة من 1 إلى 100) ، بناءً على جزء / نسبة مئوية معينة من نقاط الضعف الأكثر أهمية التي سيتم عرضها.

2. توصيات لإعداد أدوات أمن المعلومات. في الإصدار 2.10 ، كانت توصيات إعداد SPI موجودة على صفحة منفصلة. في الواجهة الجديدة ، تتوفر التوصيات في صفحة " النتائج التفصيلية" في علامة تبويب إعدادات SIS .

الآن ، لكل ثغرة أمنية ، يمكنك على الفور معرفة ما إذا كان من الممكن تكوين Imperva SecureSphere أو ModSecurity أو F5 لإغلاق العيب.

لتسريع معالجة النتائج ، باستخدام المرشح ، يمكنك فقط تحديد نقاط الضعف تلك التي توجد بها توصيات لإعداد نظام معلومات الأمان.

بعد إعداد الحماية ، قم بإزالة الثغرات "المغلقة" ولن تظهر في عمليات الفحص اللاحقة. كما في الواجهة القديمة ، يمكنك إزالة ثغرة أمنية محددة في علامة التبويب إدارة الثغرات الأمنية. استبدلنا زر النص برمز أنيق ، وقمنا بتغيير موقع العناصر.

نوصي بشدة ترك تعليق مع سبب إزالة الثغرة الأمنية.

3. رابط للدخول . تحسن آخر في مسح الملاحة. في الإصدارات السابقة من Solar appScreener ، لم يكن من الممكن توفير رابط إلى وصف تفصيلي لثغرة أمنية محددة. لهذا السبب ، اضطررت إلى الإشارة إلى مشكلة عدم الحصانة بالاسم والمسار إلى الملف للعثور على العنصر المطلوب في القائمة. لقد تلقينا تعليقات مرارًا وتكرارًا مع طلبات لتبسيط الإجراء الخاص بالارتباط بأوجه الضعف - الآن يمكن القيام بذلك عن طريق تحديد عنوان URL الخاص به.

4. المسح الضوئي
في الواجهة القديمة ، لم يكن من الممكن مقارنة عمليات مسح المشروع من جميع النواحي. تحتوي صفحة المشروع على قائمة فقط بالاشعة التي تشير إلى التصنيف (مستوى الأمان). في الواجهة الجديدة ، يعرض القسم المقابل جميع عمليات الفحص في المشروع بتنسيق الجدول.

تتيح لك هذه الصفحة عرض ومقارنة المؤشرات الرئيسية لكل عملية مسح. عند النقر فوق الرمز بالقرب من تاريخ المسح ، يتم عرض معلومات حول معلمات البدء ، مما يساعد في توضيح الاختلافات في نتائج المسح. على وجه الخصوص ، من الممكن تحديد المعلمات التي تم الانتهاء من الفحص بنجاح وتحت أي خطأ حدث.

للعمل مع عدد كبير من عمليات المسح ، استخدم الفرز حسب التاريخ والحالة ومدة المسح والتصنيف. حدد مسحين لمقارنتهما بالضعف. وحتى لا يتم عرض عمليات الفحص غير الضرورية ، على سبيل المثال ، مع حالة الخطأ ، يمكنك وضعها في الأرشيف.

لن يتم عرض عمليات المسح المؤرشفة على المخططات في صفحة " نظرة عامة" ؛ بالنسبة لهم ، لا يمكنك عرض نتائج مفصلة أو تصدير تقرير. إذا لزم الأمر ، يمكن فك المسح الضوئي. في الواجهة القديمة ، كانت الإزالة الدائمة متوفرة فقط.

هنا يمكنك تحديد عدة عمليات مسح لتصدير التقرير عن النتائج.

في الواجهة الجديدة ، أصبح تحديد نقاط الضعف للتقرير أكثر ملاءمة لتحديد حالتها (جديدة ، محفوظة ، ثابتة ، محذوفة). يتيح لك تحميل الثغرات التي تمت إزالتها / إزالتها الحصول على تقرير حول العمل المنجز. ومن خلال تضمين نقاط الضعف الجديدة فقط في التقرير ، يمكنك إنشاء قائمة بالمهام العاجلة. في السابق ، كان من الممكن تضمينه في التقرير إما جميع نقاط الضعف ، أو نقاط الضعف الجديدة فقط. من المهم الآن أن تتمكن من إرسال التقرير عن طريق البريد الإلكتروني بنقرة واحدة.

مشاريع

بالكاد تغيرت صفحة المشروعات في المحتوى ، ولكن ظهرت وظائف جديدة للبحث والتصفية.

الآن ، لعرض المشروعات التي تحتاج إليها فقط ، قم بتكوين المرشح أو البحث.

حالة المسح الضوئي. حدد المشروعات التي تم إكمال آخر عمليات الفحص عليها ، أو على العكس من ذلك عمليات المسح التي بدأت.
اللغة. حدد لغة واحدة أو أكثر على الأقل في التطبيق الذي تم تحليله.
التصنيف. حدد النطاق الذي يجب أن يكون تقييم التطبيق ضمنه (من 0 إلى 5). سوف يساعدك مؤشر اللون في تحديد المشاريع التي تتوافق مع تصنيف الثغرات المطلوبة.
عدد نقاط الضعف. وضح نطاق نقاط الضعف في مستويات الشدة المختلفة. على سبيل المثال ، المشاريع مع نقاط الضعف الحرجة فقط.
تصفية حسب التاريخ . حدد عمليات المسح ليوم محدد أو فاصل زمني للأيام ، في الأسبوع الأخير أو الشهر الماضي. على سبيل المثال ، يمكنك عرض عمليات مسح الشهر الحالي.
يمكن تنفيذ البحث عن المشروعات ليس فقط بالاسم والمؤلف ، ولكن أيضًا بواسطة معرّف مشروع معين (يتم عرضه تحت اسم المشروع وفي صفحة النظرة العامة).

معرف المشروع في صفحة المشاريع	معرف المشروع في القائمة الجانبية للمشروع

بالنسبة لأولئك المهتمين بشكل خاص بمفسد "Analytics" ، يعرض مثال هذا القسم التغييرات في بنية الصفحة للواجهة الجديدة.

تحليلات

في صفحة Analytics ، أصبح من الممكن تتبع إحصائيات المشاريع: عدد سطور التعليمات البرمجية ، وعدد نقاط الضعف ، والتصنيف. في الواجهة القديمة ، احتل الشريط الجانبي جزءًا كبيرًا من الصفحة ، وكانت الرسومات غير مريحة وصغيرة. أسماء الرسوم البيانية والأوضاع (عرض القيمة المتوسطة / الكلية) أكلت أيضًا مساحة كبيرة. لإعادة إنشاء مخطط ، كان عليك النقر فوق الزر Rebuild chart.

كان: صفحة التحليلات

في الإصدار الجديد ، قمنا بزيادة حجم الرسوم البيانية ، وقللنا حجم النص ، واستبدلناه بأزرار مرئية. لتحرير مساحة على الجانب الأيسر من الصفحة ، تم نقل القائمة في شكل علامات تبويب. لتوفير الراحة لعرض الرسوم البيانية ، أضفنا الصور المصغرة الخاصة بهم ، وللاطلاع على جدول الرسوم البيانية بشكل مريح ، يمكنك إخفائها.

الآن: صفحة التحليلات

أخذنا القائمة لعرض قائمة المجموعات الحالية وإنشاء مجموعات جديدة في الجزء العلوي من الصفحة ، وأضاف الرموز. يمكن إنشاء مجموعة جديدة عن طريق اختيار مشاريع فردية أو بناءً على مجموعات موجودة.

لقد استبدلنا مربعات الاختيار بالقوائم المنسدلة مع اختيارات متعددة والبحث. الآن سيتمكن المستخدم من العثور على المجموعات والمشاريع اللازمة بالاسم ، وليس تصفح القائمة بأكملها.

ومرة أخرى ، هذه المرة الأخيرة ، يتم تخصيص المفسد لتطوير التكامل مع جيرا . في الإصدارات السابقة من محللنا ، كان من الممكن بالفعل إنشاء مهام إصلاح الثغرات الأمنية في جيرا. في الإصدار 3.1 ، أضفنا بعض الميزات الجديدة. أي منها ، يمكنك معرفة ذلك

هنا

في الإصدار 3.1 ، أضفنا الحقول الجديدة "المهمة الأم" و "المكونات". يمكنك أيضًا تحديد رابط إلى مستودع المصدر بحيث يتم إنشاء رابط إلى الكود مع وجود ثغرة أمنية في Gitlab في وصف المهمة.

الآن: إنشاء مهمة في جيرا

الآن ، عند عرض المهمة التي تم إنشاؤها في واجهة Jira ، سيرى المستخدم رمز مصدر منسق به ثغرة أمنية وقوائم وروابط مميزة. باختصار ، أصبحت قراءة وصف المهمة أكثر ملاءمة.

إدارة

لقد أعيد تصميم قسم الإدارة بالكامل. تغيير هيكل القسم ، وتنفيذ البحث وفرز المستخدمين ومجموعات المستخدمين ، تبسيط إنشائها وتحريرها. في قائمة المستخدمين ، تم تغيير ترتيب الأعمدة ، وتمت إزالة الأعمدة الإضافية (يمكن عرض الهاتف والموقع على صفحة تحرير المستخدم).

كان: قائمة المستخدمين

الآن: قائمة المستخدمين

في الإصدار القديم من الواجهة ، تضمن الإجراء الخاص بإنشاء حساب مستخدم ثلاث خطوات غير تافهة على صفحات مختلفة: 1. ملء جدول بكل بيانات اعتماد المستخدم - تسجيل الدخول وكلمة المرور والاسم والبريد الإلكتروني والهاتف والموقع الإلكتروني ، وما إلى ذلك ؛ 2. الاختيار من قائمة طويلة من الأدوار المناسبة للمستخدم. 3. تحديد حقوق المستخدم للوصول إلى مشروع معين. يمكنك الآن ملء بيانات المستخدم ومنح الحقوق ومنح حق الوصول إلى المشاريع الحالية بشكل أسرع وفي صفحة واحدة.

عند إنشاء حساب ، أصبح من الممكن إرسال بريد إلكتروني إلى المستخدم باسم المستخدم وكلمة المرور. يمكنك منح مستخدم موجود حق الوصول إلى المشروع في صفحة تحرير المستخدم أو على صفحة إعدادات المشروع. إذا كنت بحاجة إلى تكوين حقوق العديد من المستخدمين ، نوصي بإنشاء مجموعة. في هذه الحالة ، سيكون من الممكن توفير الوصول إلى جميع مستخدمي المجموعة في خطوة واحدة.

مراجعة مهمة: النسخة الجديدة تنفذ التكامل مع LDAP. يمكن للمسؤول تعيين معلمات الاتصال في إعدادات النظام في علامة تبويب LDAP.

لعرض المستخدمين ومجموعات المستخدمين من الاتصال المضافة ، في أقسام الإدارة المقابلة ، تحتاج إلى تحديد اتصال LDAP المطلوب.

حساب شخصي

إذا كان الزر للانتقال إلى "حسابي" موجودًا في وقت سابق في القائمة الرئيسية ، فقد وضعناه في الزاوية العلوية اليمنى كرمز في الواجهة الجديدة.

كان: زر الانتقال في المقصورة الشخصية ر

الآن: زر للذهاب إلى حسابي

على الصفحة كانت هناك علامات تبويب منفصلة لإعدادات مختلفة. الآن أصبح التنقل أسهل في حسابك الشخصي.

يؤدي

أصبحت واجهة محلل أكثر ملاءمة ومفهومة وأكثر أناقة. بدء فحص جديد يستغرق وقتًا أقل. التنقل بين عمليات المسح في المشروع أكثر ملاءمة. في 3.1 ، ظهرت المرشحات على الصفحات مع المشاريع والنتائج التفصيلية ، بمساعدة المستخدمين الذين سيتمكنون من معالجة نتائج التحليل بشكل أسرع والقضاء على نقاط الضعف المهمة في الوقت المناسب.

ومع مراعاة المكان الذي بدأنا فيه هذا الاستعراض ، نواصل جمع مراجعات المستخدمين حول الواجهة الجديدة والمنتج ككل. , , .

, Solar appScreener

يجب أن يكون كل شيء على ما يرام في المحلل: كل من الوظيفة والواجهة ... نحن نستكشف واجهة Solar appScreener 3.1 الجديدة