👨🏾‍🔬 🛌🏼 🍔 Im Analysator sollte alles in Ordnung sein: sowohl Funktionalität als auch Schnittstelle ... Wir untersuchen die neue Solar AppScreener 3.1-Schnittstelle 😕 🚮 🕝

Wie Henry Ford immer sagte, kann alles besser gemacht werden als bisher. Das haben wir uns gedacht, als wir mit der Arbeit an Version 3.1 unseres Application Security Analyzer begonnen haben. Wir wollten unser Produkt wirklich nicht nur zu den coolsten Funktionen machen: Implementieren Sie beispielsweise die Unterstützung für die maximale Anzahl von Programmiersprachen. Aber auch das ergonomischste, bequemste, ästhetisch attraktivste ... - um Ihre Augen nicht gerade zu reißen! Und so wurden wir von unserer Idee mitgerissen, dass sogar der Name des Produkts geändert wurde. Im Allgemeinen gaben sie alles in vollem Umfang. Und sie haben beschlossen, die Ergebnisse ihrer Bemühungen in dieser Bewertung mit Ihnen zu teilen.

Daher werden wir Ihnen heute mitteilen, was in Solar AppScreener 3.1 im Vergleich zur vorherigen Version 2.10 in Bezug auf Design und Ergonomie neu und nützlich ist. Die funktionale Seite des Problems finden Sie in der Pressemitteilung. Zum Zeitpunkt der Veröffentlichung dieses Artikels hatte das Solar appScreener-Entwicklungsteam bereits eine neue Version 3.2 eingeführt . Alle Schnittstellenänderungen 3.1 blieben jedoch gültig.

Kurz über die Änderungen

Die erste Neuerung ist der Name des Produkts: Bis einschließlich Version 2.9 hieß der Analysator Solar inCode und wurde ab 2.10 als Solar AppScreener bekannt. Seit der Veröffentlichung von Version 2.10 hat sich das Produkt sowohl inhaltlich als auch extern geändert.

Sehr kurz über funktionale Leistungen. Solar AppScreener ist jetzt der absolute Marktführer unter den statischen Analysetools in Bezug auf die Anzahl der unterstützten Sprachen (es gibt 26 davon in 3.1 und bereits 3.2 in der kürzlich veröffentlichten Version 3.2). 3.1 Unterstützung für COBOL, TypeScript, VBScript, Apex hinzugefügt. Wir haben die Integration in Active Directory implementiert. Es wurde ein Filter für das FLE-Modul (Fuzzy Logic Engine) angezeigt, mit dessen Hilfe Fehlalarme freier verwaltet werden können. Die Integration mit Jira wurde flexibler.

Bei Designänderungen haben wir versucht, die Benutzeroberfläche stilvoller und bequemer zu gestalten. Wir haben die Struktur der Seiten, das Erscheinungsbild des Menüs, der Listen und der Schaltflächen neu gestaltet. Auf jeder Seite gibt es eine Funktion, mit der der Benutzer schnell und unterhaltsam mit dem Tool arbeiten kann. Während des Redesigns haben wir versucht, nicht genutzten Speicherplatz zu minimieren, die Anzahl der Schritte und die erforderlichen Klicks zu reduzieren, um Aufgaben zu erledigen und die Funktionalität so zugänglich wie möglich zu machen.

Design

Dramatische Änderungen im Design sind bereits in der Autorisierungsphase erkennbar. Minimalistische Fenster, Felder, Schaltflächen. Elemente wurden flach, Schriftarten besser lesbar. Wir haben die blau-weiß-graue Palette der Marke beibehalten. Das Hauptfarbschema war die Abweichung vom blauen Farbverlauf zu einem einfachen Weiß.

Es war: Projektseite

Jetzt: Projektseite

Ein wichtiges Ziel der Neugestaltung war es, leeren Raum zu beseitigen, die Elemente kompakter anzuordnen, aber die Seiten nicht zu überladen. Die Ergebnisse sind im Beispielmenü zu sehen.

Es war: das Seitenmenü des Projekts	Jetzt: das Seitenmenü des Projekts

In der neuen Benutzeroberfläche werden die Seitenmenüelemente von klaren Symbolen begleitet. Um Platz zu sparen, kann das Menü ausgeblendet werden. Im Allgemeinen ist die Benutzeroberfläche lebendiger und moderner geworden.

Navigation

Nach der Autorisierung wurde der Benutzer in der alten Benutzeroberfläche mit einer Liste der analysierten Anwendungen auf die Seite Projekte umgeleitet. Um einen neuen Scan zu starten, mussten Sie zur Seite Neues Projekt gehen.

Es war: Projektseite

Das neue Konzept umfasst ein Minimum an Schritten, um loszulegen. Nach der Autorisierung gelangt der Benutzer zur Startseite . Hier können Sie sowohl die neuesten Scans anzeigen als auch einen neuen starten.

Jetzt: Homepage

Scan-Start

Am Beispiel des Startens eines Scans zeigen wir, wie wir es geschafft haben, die Anzahl der erforderlichen Klicks für den Zugriff auf die Systemfunktionen zu reduzieren.

In der alten Benutzeroberfläche konnten Anwendungen zur Analyse auf drei Arten heruntergeladen werden: über einen Link zu Google Play oder zum App Store , von einem lokalen Computer oder über einen Link zum Repository . Nach Auswahl der Download-Methode können Sie den Namen des Projekts angeben, ein Logo hochladen, eine Datei auswählen oder einen Link angeben.

Es war: Wählen Sie die Methode zum Herunterladen der Anwendung und Starten des Scans

In der neuen Benutzeroberfläche können Sie mit zwei Klicks mit dem Scannen beginnen: Ziehen Sie die Anwendungsdatei und klicken Sie auf die Schaltfläche Scan starten .

Jetzt: Herunterladen der Anwendung zur Analyse vom lokalen Computer

Um die Anwendung aus dem App Store, Google Play oder über den Link zum Git-Repository herunterzuladen, rufen Sie die Registerkarte Anwendung über den Link herunterladen auf und geben Sie die erforderliche URL an.

Jetzt: Laden Sie die Anwendung zur Analyse als Referenz herunter

Ergebnisse anzeigen

Wenn die Analyse beginnt, wird ein neues Projekt im System erstellt. Es wird in der Liste auf der Seite Projekte angezeigt . Darüber hinaus können Sie im Rahmen des erstellten Projekts mit der Analyse neuer Versionen der Anwendung beginnen. So kann der Benutzer Änderungen in der Anzahl der Sicherheitslücken und Sicherheitsbewertungen überwachen.

Ich muss zugeben, dass es in der alten Benutzeroberfläche ziemlich schwierig war, die Ergebnisse verschiedener Scans zu navigieren. Um die detaillierten Ergebnisse früherer Scans anzuzeigen, mussten Sie zur Projektseite gehen, einen Scan aus der Liste auswählen und erst danach zur Seite mit den detaillierten Ergebnissen gehen .

Was: detaillierte Ergebnisseite

In der neuen Benutzeroberfläche finden Sie alle Informationen zum letzten Scan auf der Seite Übersicht. Über das Seitenmenü können Sie problemlos zwischen detaillierten Ergebnissen und anderen Abschnitten des Projekts wechseln. Auf jeder der Seiten Übersicht, Detaillierte Ergebnisse und Scanvergleich können Sie jederzeit zu den vorherigen Scans wechseln. Wählen Sie dazu das Analysedatum aus der Liste in der rechten Ecke der Seite aus.

Jetzt: Übersichtsseite

Jetzt werden alle wichtigen Informationen zum ausgewählten Scan in Form von Diagrammen auf einer Seite angezeigt (zuvor befanden sich einige der Diagramme auf der Projektseite und einige auf der Scanseite):

Startoptionen für die Analyse. Durch Klicken auf das Informationssymbol neben der Liste der Scans kann der Benutzer die Einstellungen anzeigen, mit denen der ausgewählte Scan gestartet wurde. In der alten Schnittstelle gab es keine solche Möglichkeit.
Scan-Status.
Bewertung Jetzt spricht nicht nur die Bewertung auf einer Fünf-Punkte-Skala von der Sicherheitsstufe der Anwendung, sondern auch von der Farbe der Bewertung.
Scandauer.
Die Anzahl der Codezeilen.

Darüber hinaus wurden in Schnittstelle 3.1 neue Diagramme hinzugefügt:

Statistiken über Arten von Schwachstellen (Sie können herausfinden, welche Schwachstellen mehr sind),
Sprachstatistik (Sie können die Anzahl der Schwachstellen in jeder der analysierten Anwendungssprachen anzeigen).

Lesen Sie im Spoiler "Detaillierte Ergebnisse", welche anderen wertvollen Informationen aus den Scanergebnissen extrahiert werden können.

Detaillierte Ergebnisse

1. Der Schwachstellenfilter wurde im Vergleich zur alten Schnittstelle erheblich erweitert.

Es war: ein Schwachstellenfilter	Jetzt: Schwachstellenfilter

Beachten Sie die neuen Filterfunktionen:

Suche nach Schwachstellennamen . Geben Sie beispielsweise "XSS" in das Eingabefeld ein und erhalten Sie eine Liste der zugehörigen Sicherheitsanfälligkeiten.
Suche nach Verzeichnis und Dateiname mit Sicherheitslücke. Geben Sie den Namen in die Suchleiste ein, um Schwachstellen in einer bestimmten Datei anzuzeigen.
Filter im Vergleich zum vorherigen Scan. Wenn das Projekt mehrere Scans enthält, können Sie den aktuellen mit einem der vorherigen vergleichen. Sie können nur neue oder nur überlebende Schwachstellen sehen. Dies ist nützlich, wenn Sie die Analyse regelmäßig ausführen. Sie können neue Ergebnisse jetzt schneller verarbeiten. Der Benutzer kann auch herausfinden, welche Schwachstellen behoben wurden und welche seit der ersten Analyse aufgetreten sind.
Nach Sprache filtern . Zunächst wurden im Filter alle Sprachen ausgewählt, in denen Schwachstellen entdeckt wurden. Deaktivieren Sie die Kontrollkästchen, um Schwachstellen in den Sprachen anzuzeigen, an denen Sie interessiert sind.
Fuzzy Logic Engine (FLE). Hilft bei der Priorisierung von Schwachstellenkorrekturen. Wählen Sie einen der Modi aus, um Schwachstellen anzuzeigen:

nur wahre - mit einer hohen Wahrscheinlichkeit, dass Ereignisse eine echte Sicherheitslücke darstellen;
Nur wichtige sind Schwachstellen, die zuerst behoben werden müssen.
Benutzerdefiniert - Sie können die Empfindlichkeit der Fuzzy Logic Engine anpassen, indem Sie den Schieberegler in verschiedene Positionen bewegen. Die Position ganz links zeigt die Ereignisse mit der höchsten Wahrscheinlichkeit einer korrekten Antwort an. Die Position ganz rechts zeigt Schwachstellen für jede Wahrscheinlichkeit an.
dynamisch - Sie können das Perzentil (Wert von 1 bis 100) festlegen, je nachdem, welcher Teil / Prozentsatz der wichtigsten Schwachstellen angezeigt wird.

2. Empfehlungen zum Einrichten von Informationssicherheitstools. In Version 2.10 befanden sich Empfehlungen zum Einrichten des SPI auf einer separaten Seite. In der neuen Benutzeroberfläche sind Empfehlungen auf der Seite Detaillierte Ergebnisse auf der Registerkarte SIS-Einstellungen verfügbar.

Jetzt können Sie für jede Sicherheitsanfälligkeit sofort sehen, ob es möglich ist, Imperva SecureSphere, ModSecurity oder F5 so zu konfigurieren, dass der Fehler behoben wird.

Um die Verarbeitung der Ergebnisse zu beschleunigen, können Sie mithilfe des Filters nur die Sicherheitsanfälligkeiten auswählen, für die Empfehlungen zum Einrichten des Sicherheitsinformationssystems vorliegen.

Entfernen Sie nach dem Einrichten des Schutzes die "geschlossenen" Sicherheitslücken, die in nachfolgenden Scans nicht angezeigt werden. Wie in der alten Benutzeroberfläche können Sie eine bestimmte Sicherheitsanfälligkeit auf der Registerkarte "Sicherheitsanfälligkeitsverwaltung" entfernen . Wir haben die Textschaltfläche durch ein ordentliches Symbol ersetzt und die Position der Elemente geändert.

Wir empfehlen dringend, einen Kommentar mit dem Grund für das Entfernen der Sicherheitsanfälligkeit zu hinterlassen.

3. Link zum Eintrag . Eine weitere Verbesserung bei der Scan-Navigation. In früheren Versionen von Solar appScreener war es nicht möglich, einen Link zu einer detaillierten Beschreibung einer bestimmten Sicherheitsanfälligkeit bereitzustellen. Aus diesem Grund musste ich die Sicherheitsanfälligkeit anhand des Namens und des Pfads zur Datei angeben, um das gewünschte Element in der Liste zu finden. Wir haben wiederholt Feedback mit Anfragen erhalten, um das Verfahren zum Verknüpfen mit einer Sicherheitsanfälligkeit zu vereinfachen. Dies kann jetzt durch Angabe der URL erfolgen.

4. Scannen
In der alten Benutzeroberfläche war es nicht möglich, Projekt-Scans in jeder Hinsicht zu vergleichen. Die Projektseite enthielt nur eine Liste von Scans, die die Bewertung (Sicherheitsstufe) angaben. In der neuen Benutzeroberfläche werden im entsprechenden Abschnitt alle Scans im Projekt im Tabellenformat angezeigt.

Auf dieser Seite können Sie die Hauptindikatoren jedes Scans anzeigen und vergleichen. Wenn Sie auf das Symbol neben dem Scan-Datum klicken, werden Informationen zu den Startparametern angezeigt, um die Unterschiede in den Scan-Ergebnissen zu erklären. Insbesondere kann festgestellt werden, unter welchen Parametern der Scan erfolgreich abgeschlossen wurde und unter welchen - ein Fehler aufgetreten ist.

Verwenden Sie die Sortierung nach Datum, Status, Scandauer und Bewertung, um mit einer großen Anzahl von Scans zu arbeiten. Wählen Sie zwei Scans aus, um sie nach Sicherheitsanfälligkeit zu vergleichen. Damit unnötige Scans beispielsweise mit dem Fehlerstatus nicht angezeigt werden, können Sie sie in das Archiv einfügen.

Archivierte Scans werden in den Diagrammen auf der Übersichtsseite nicht angezeigt. Sie können keine detaillierten Ergebnisse anzeigen oder einen Bericht exportieren. Bei Bedarf können Scans entpackt werden. In der alten Schnittstelle war nur deren dauerhafte Entfernung verfügbar.

Hier können Sie mehrere Scans auswählen, um den Bericht über die Ergebnisse zu exportieren.

In der neuen Benutzeroberfläche ist es bequemer geworden, Schwachstellen für den Bericht abhängig von ihrem Status auszuwählen (neu, beibehalten, behoben, gelöscht). Durch das Hochladen entfernter / entfernter Sicherheitslücken können Sie einen Bericht über die geleistete Arbeit erhalten. Indem Sie nur neue Schwachstellen in den Bericht aufnehmen, können Sie eine Liste dringender Aufgaben erstellen. Bisher war es möglich, entweder alle oder nur neue Schwachstellen in den Bericht aufzunehmen. Es ist wichtig, dass Sie den Bericht jetzt mit einem Klick per E-Mail senden können.

Projekte

Der Inhalt der Seite " Projekte " hat sich kaum geändert, es wurden jedoch neue Filter- und Suchfunktionen angezeigt.

Um nur die Projekte anzuzeigen, die Sie benötigen, konfigurieren Sie jetzt den Filter oder die Suche.

Scan-Status. Wählen Sie Projekte aus, bei denen nur die letzten Scans abgeschlossen wurden, oder umgekehrt Scans, die gestartet wurden.
Sprache. Wählen Sie mindestens eine oder mehrere Sprachen aus, die in der analysierten Anwendung enthalten sind.
Bewertung Geben Sie den Bereich an, in dem die Anwendungsbewertung liegen soll (von 0 bis 5). Mithilfe einer Farbanzeige können Sie Projekte auswählen, die der angeforderten Schwachstellenbewertung entsprechen.
Die Anzahl der Schwachstellen. Geben Sie den Bereich der Schwachstellen mit unterschiedlichen Schweregraden an. Zum Beispiel Projekte mit nur kritischen Schwachstellen.
Nach Datum filtern . Wählen Sie Scans für einen bestimmten Tag oder ein bestimmtes Intervall von Tagen für die letzte Woche oder den letzten Monat aus. Sie können beispielsweise Scans des aktuellen Monats anzeigen.
Die Suche nach Projekten kann nicht nur nach Name und Autor erfolgen, sondern auch nach der ID eines bestimmten Projekts (angezeigt unter dem Projektnamen und auf der Übersichtsseite).

Projekt-ID auf der Seite Projekte	Projekt-ID im projektseitigen Menü

Für diejenigen, die sich besonders für den Spoiler „Analytics“ interessieren, zeigt das Beispiel dieses Abschnitts Änderungen in der Seitenstruktur der neuen Benutzeroberfläche.

Analytik

Auf der Analytics-Seite wurde es möglich, Statistiken zu Projekten zu verfolgen: Anzahl der Codezeilen, Anzahl der Schwachstellen, Bewertung. In der alten Benutzeroberfläche war ein erheblicher Teil der Seite von der Seitenleiste belegt, die Grafiken waren unpraktisch und klein. Die Namen der Grafiken und der Modi (Anzeige des Durchschnitts- / Gesamtwerts) nahmen ebenfalls viel Platz ein. Um ein Diagramm neu zu erstellen, mussten Sie auf die Schaltfläche Diagramm neu erstellen klicken.

Es war: Analytics-Seite

In der neuen Version haben wir die Diagramme vergrößert, die Textmenge reduziert und durch visuelle Schaltflächen ersetzt. Um Speicherplatz auf der linken Seite freizugeben, wurde das Menü in Form von Registerkarten nach oben verschoben. Um das Anzeigen der Diagramme zu vereinfachen, haben wir deren Miniaturansichten hinzugefügt. Zum bequemen Anzeigen der Diagrammtabelle können Sie sie ausblenden.

Jetzt: Analytics-Seite

Wir haben das Menü verwendet, um die Liste der vorhandenen Gruppen anzuzeigen und neue Gruppen oben auf der Seite zu erstellen. Außerdem wurden Symbole hinzugefügt. Eine neue Gruppe kann durch Auswahl einzelner Projekte oder basierend auf vorhandenen Gruppen erstellt werden.

Wir haben Kontrollkästchen durch Dropdown-Listen mit Mehrfachauswahl und Suche ersetzt. Jetzt kann der Benutzer die erforderlichen Gruppen und Projekte nach Namen suchen und nicht die gesamte Liste durchsuchen.

Und noch eines, diesmal der letzte, Spoiler, der sich der Entwicklung der Integration mit Jira widmet. In früheren Versionen unseres Analysators war es bereits möglich, in Jira Aufgaben zur Behebung von Sicherheitslücken zu erstellen. In Version 3.1 haben wir einige neue Funktionen hinzugefügt. Welche können Sie herausfinden

Hier

In Version 3.1 haben wir neue Felder "übergeordnete Aufgabe" und "Komponenten" hinzugefügt. Sie können auch einen Link zum Quell-Repository angeben, damit in der Aufgabenbeschreibung ein Link zum Code mit Sicherheitslücke in Gitlab generiert wird.

Jetzt: Erstellen Sie eine Aufgabe in Jira

Beim Anzeigen der erstellten Aufgabe in der Jira-Oberfläche wird dem Benutzer nun ein formatierter Quellcode mit Sicherheitslücken, Listen und hervorgehobenen Links angezeigt. Mit einem Wort, das Lesen der Beschreibung der Aufgabe ist bequemer geworden.

Verwaltung

Wir haben den Bereich Administration komplett neu gestaltet. Die Struktur des Abschnitts wurde geändert, die Suche und Sortierung von Benutzern und Benutzergruppen implementiert und deren Erstellung und Bearbeitung vereinfacht. In der Benutzerliste wurde die Reihenfolge der Spalten geändert, die zusätzlichen wurden entfernt (das Telefon und die Website können auf der Bearbeitungsseite des Benutzers angezeigt werden).

Es war: eine Liste von Benutzern

Jetzt: Benutzerliste

In der alten Version der Benutzeroberfläche umfasste das Verfahren zum Erstellen eines Benutzerkontos drei nicht triviale Schritte auf verschiedenen Seiten: 1. Ausfüllen einer Tabelle mit allen Benutzeranmeldeinformationen - Login, Passwort, Name, E-Mail, Telefon, Website usw.; 2. Auswahl aus einer langen Liste von Rollen, die für den Benutzer geeignet sind; 3. Festlegen von Benutzerrechten für den Zugriff auf ein bestimmtes Projekt. Jetzt können Sie Benutzerdaten eingeben, Rechte gewähren und Zugriff auf vorhandene Projekte schneller und auf einer Seite gewähren.

Beim Erstellen eines Kontos wurde es möglich, einem Benutzer eine E-Mail mit einem Benutzernamen und einem Passwort zu senden. Sie können einem vorhandenen Benutzer auf der Benutzerbearbeitungsseite oder auf der Seite mit den Projekteinstellungen Zugriff auf das Projekt gewähren. Wenn Sie die Rechte mehrerer Benutzer konfigurieren müssen, empfehlen wir, eine Gruppe zu erstellen. In diesem Fall ist es möglich, allen Benutzern der Gruppe in einem Schritt Zugriff zu gewähren.

Wichtige Überarbeitung: Die neue Version implementiert die Integration mit LDAP. Der Administrator kann die Verbindungsparameter in den Systemeinstellungen auf der Registerkarte LDAP festlegen.

Um die Benutzer und Benutzergruppen der hinzugefügten Verbindung anzuzeigen, müssen Sie in den entsprechenden Administrationsabschnitten die gewünschte LDAP-Verbindung auswählen.

Persönliches Büro

Wenn sich zuvor die Schaltfläche zum Aufrufen meines Kontos im Hauptmenü befand, haben wir sie in der neuen Benutzeroberfläche in der oberen rechten Ecke als Symbol platziert.

Es war: der Übergangsknopf in der persönlichen Kabine t

Jetzt: die Schaltfläche, um zu Mein Konto zu gelangen

Auf der Seite gab es separate Registerkarten für verschiedene Einstellungen. Jetzt ist es einfacher, in Ihrem persönlichen Konto zu navigieren.

Zusammenfassung

Die Benutzeroberfläche des Analysators ist bequemer, verständlicher und eleganter geworden. Das Starten eines neuen Scans dauert weniger lange. Die Navigation zwischen Scans in einem Projekt ist bequemer. In 3.1 wurden auf den Seiten Filter mit Projekten und detaillierten Ergebnissen angezeigt, mit deren Hilfe Benutzer Analyseergebnisse schneller verarbeiten und wichtige Schwachstellen rechtzeitig beseitigen können.

In Anbetracht dessen, wo wir mit dieser Überprüfung begonnen haben, sammeln wir weiterhin Benutzerbewertungen über die neue Benutzeroberfläche und das Produkt als Ganzes. , , .

, Solar appScreener

Im Analysator sollte alles in Ordnung sein: sowohl Funktionalität als auch Schnittstelle ... Wir untersuchen die neue Solar AppScreener 3.1-Schnittstelle