Geekly articles weekly

Semuanya harus baik-baik saja dalam penganalisa: fungsionalitas dan antarmuka ... Kami sedang mengeksplorasi antarmuka appScreener 3.1 baru Solar

gambar Seperti yang dikatakan Henry Ford, semuanya bisa dilakukan lebih baik daripada yang telah dilakukan sejauh ini. Jadi kami pikir begitu ketika kami mulai bekerja pada versi 3.1 dari penganalisis keamanan aplikasi kami. Kami benar-benar ingin menjadikan produk kami tidak hanya fungsionalitas paling keren: misalnya, menerapkan dukungan untuk jumlah maksimum bahasa pemrograman. Tetapi juga yang paling ergonomis, nyaman, menarik secara estetika ... - yah, agar tidak merobek mata Anda! Jadi, kami terbawa oleh gagasan kami bahwa bahkan nama produk pun diubah. Secara umum, mereka memberikan semuanya secara penuh. Dan mereka memutuskan untuk membagikan hasil upaya mereka dengan Anda dalam ulasan ini.


Jadi, hari ini kami akan memberi tahu Anda apa yang baru dan berguna telah muncul di Solar appScreener 3.1 dibandingkan dengan versi sebelumnya 2.10 dalam hal desain dan ergonomi. Sisi fungsional masalah dapat ditemukan dalam siaran pers. Pada saat publikasi artikel ini, tim pengembangan appScreener Solar telah meluncurkan versi baru 3.2 . Tetapi semua perubahan antarmuka 3.1 tetap valid.

Secara singkat tentang perubahan


Inovasi pertama adalah nama produk: hingga versi 2.9 inklusif, alat analisa itu disebut Solar inCode, dan mulai dari 2.10 ia dikenal sebagai Solar appScreener. Sejak rilis versi 2.10, produk telah berubah baik dalam konten dan eksternal.

Sangat singkat tentang pencapaian fungsional. Solar appScreener sekarang menjadi pemimpin mutlak di antara alat analisis statis dalam hal jumlah bahasa yang didukung (ada 26 di antaranya dalam 3.1, dan sudah 3.2 dalam 3.2 yang baru dirilis). 3.1 menambahkan dukungan untuk COBOL, TypeScript, VBScript, Apex. Kami menerapkan integrasi dengan Active Directory, sebuah filter untuk modul FLE (Fuzzy Logic Engine) muncul, yang akan membantu untuk lebih bebas mengelola positif palsu. Membuat integrasi dengan Jira lebih fleksibel.

Mengenai perubahan desain , kami mencoba membuat antarmuka lebih gaya dan nyaman. Kami mendesain ulang struktur halaman, tampilan menu, daftar, dan tombol. Di setiap halaman ada fungsi yang akan membuat pengguna bekerja dengan alat ini dengan cepat dan menyenangkan. Selama mendesain ulang, kami mencoba meminimalkan ruang yang tidak digunakan, mengurangi jumlah langkah dan klik yang diperlukan untuk menyelesaikan tugas dan membuat fungsionalitas dapat diakses semaksimal mungkin.

Desain


Perubahan dramatis dalam desain dapat dilihat sudah pada tahap otorisasi. Jendela, bidang, tombol minimalis. Elemen menjadi datar, font lebih mudah dibaca. Kami telah menyimpan palet biru-putih-abu-abu dari merek. Skema warna utama adalah keberangkatan dari gradien biru ke putih polos.

Itu adalah: halaman Proyek


Sekarang: Halaman proyek


Tujuan penting dari desain ulang adalah untuk menghilangkan ruang kosong, mengatur elemen lebih kompak, tetapi tidak membebani halaman. Hasilnya dapat dilihat pada menu contoh.
Itu adalah: menu samping proyekSekarang: menu samping proyek
gambar

Di antarmuka baru, item menu samping disertai dengan ikon yang jelas. Untuk menghemat ruang, menu bisa disembunyikan. Secara umum, antarmuka menjadi lebih jelas dan modern.

Navigasi


Setelah otorisasi, di antarmuka lama, pengguna diarahkan ke halaman Projects dengan daftar aplikasi yang dianalisis. Untuk memulai pemindaian baru, Anda harus pergi ke halaman Proyek Baru .

Itu adalah: halaman Proyek


Konsep baru ini melibatkan minimal langkah-langkah untuk memulai. Setelah otorisasi, pengguna sampai ke halaman Beranda . Di sini Anda dapat melihat pindaian terbaru dan meluncurkan pindaian baru.

Sekarang: Beranda


Mulai memindai


Menggunakan contoh meluncurkan pemindaian, kami akan menunjukkan bagaimana kami berhasil mengurangi jumlah klik yang diperlukan untuk mengakses fungsi sistem.

Di antarmuka lama, memungkinkan untuk mengunduh aplikasi untuk analisis dalam tiga cara: melalui tautan ke Google Play atau App Store , dari komputer lokal atau dengan tautan ke repositori . Setelah memilih metode pengunduhan, Anda dapat menentukan nama proyek, mengunggah logo, memilih file atau menentukan tautan.

Itu adalah: memilih metode mengunduh aplikasi dan memulai pemindaian



Di antarmuka baru, Anda dapat mulai memindai dalam dua klik: seret file aplikasi dan klik tombol Mulai Pindai .

Sekarang: mengunduh aplikasi untuk analisis dari komputer lokal



Untuk mengunduh aplikasi dari App Store, Google Play atau melalui tautan ke repositori Git, buka tab Unduh aplikasi melalui tautan dan tentukan URL yang diperlukan.

Sekarang: unduh aplikasi untuk analisis dengan referensi



Lihat Hasil


Ketika analisis dimulai, proyek baru dibuat dalam sistem. Itu muncul dalam daftar di halaman Proyek. Selanjutnya, dalam kerangka proyek yang dibuat, Anda dapat memulai analisis versi baru aplikasi. Jadi pengguna akan dapat memantau perubahan dalam jumlah kerentanan dan peringkat keamanan.

Saya harus mengakui bahwa di antarmuka lama cukup sulit untuk menavigasi hasil berbagai pemindaian. Untuk melihat hasil terperinci dari pemindaian sebelumnya, Anda harus pergi ke halaman proyek , pilih pemindaian dari daftar, dan hanya setelah itu pergi ke halaman hasil rinci.

Apakah: halaman hasil terperinci



Di antarmuka baru, semua informasi tentang pemindaian terakhir dapat ditemukan di halaman Ikhtisar. Menggunakan menu samping, Anda dapat dengan mudah beralih antara hasil terperinci dan bagian lain dari proyek. Pada halaman Tinjauan Umum, Hasil Rinci, Pindai Perbandingan, Anda selalu dapat membuka pemindaian sebelumnya. Untuk melakukan ini, pilih tanggal analisis dari daftar di sudut kanan halaman.

Sekarang: Halaman Ikhtisar



Sekarang semua informasi penting tentang pemindaian yang dipilih disajikan dalam bentuk grafik pada satu halaman (sebelumnya, beberapa grafik berada di halaman proyek, dan beberapa di halaman pemindaian):

  • Opsi peluncuran analisis. Dengan mengklik ikon informasi di dekat daftar pemindaian, pengguna akan dapat melihat pengaturan peluncuran pemindaian yang dipilih. Tidak ada kemungkinan seperti itu di antarmuka lama.
  • Status pemindaian.
  • Peringkat Sekarang, tidak hanya peringkat pada skala lima poin berbicara tentang tingkat keamanan aplikasi, tetapi juga warna peringkat.
  • Durasi pemindaian.
  • Jumlah baris kode.

Selain itu, grafik baru telah ditambahkan di antarmuka 3.1:
  • statistik tentang jenis kerentanan (Anda dapat mengetahui kerentanan mana yang lebih banyak),
  • statistik bahasa (Anda dapat melihat jumlah kerentanan di setiap bahasa aplikasi yang dianalisis).

Tentang apa informasi berharga lainnya yang dapat diekstraksi dari hasil pemindaian, baca spoiler "Hasil terperinci".

Hasil Lengkap
1. Filter kerentanan telah berkembang secara signifikan dibandingkan dengan antarmuka lama.
Itu: filter kerentananSekarang: Filter Kerentanan

Pertimbangkan fitur filter baru:

  • Cari berdasarkan nama kerentanan . Masukkan, misalnya, "XSS" di bidang input dan dapatkan daftar kerentanan terkait.
  • Cari berdasarkan direktori dan nama file dengan kerentanan. Untuk melihat kerentanan dalam file tertentu, masukkan namanya di bilah pencarian.
  • Filter dibandingkan dengan pemindaian sebelumnya. Jika proyek memiliki beberapa pemindaian, Anda dapat membandingkan arus dengan yang sebelumnya. Anda hanya dapat melihat kerentanan yang baru atau hanya bertahan. Ini akan berguna jika Anda menjalankan analisis secara teratur - Anda sekarang dapat memproses hasil baru lebih cepat. Pengguna juga dapat mengetahui kerentanan mana yang telah diperbaiki dan yang telah muncul sejak analisis pertama.
  • Saring berdasarkan bahasa . Awalnya, semua bahasa tempat kerentanan ditemukan dipilih dalam filter. Hapus centang pada kotak untuk melihat kerentanan dalam bahasa yang Anda minati.
  • Mesin Logika Fuzzy (FLE). Membantu memprioritaskan perbaikan kerentanan. Pilih salah satu mode untuk menampilkan kerentanan:

  1. hanya yang benar - dengan probabilitas tinggi bahwa kejadian adalah kerentanan nyata;
  2. hanya yang penting adalah kerentanan yang perlu ditangani terlebih dahulu;
  3. kustom - dimungkinkan untuk menyesuaikan sensitivitas Mesin Logika Fuzzy dengan menggerakkan panel geser ke posisi yang berbeda. Posisi paling kiri menunjukkan kejadian dengan probabilitas tertinggi dari respons yang benar, posisi paling kanan menampilkan kerentanan untuk probabilitas apa pun;
  4. dinamis - Anda dapat mengatur persentil (nilai dari 1 hingga 100), tergantung pada bagian / persentase tertentu dari kerentanan paling penting yang akan ditampilkan.



2. Rekomendasi untuk menyiapkan Alat Keamanan Informasi. Dalam versi 2.10, rekomendasi untuk pengaturan SPI terletak di halaman terpisah. Di antarmuka baru, rekomendasi tersedia di halaman Hasil Lengkap di tab Pengaturan SIS .

Sekarang, untuk setiap kerentanan, Anda dapat segera melihat apakah mungkin untuk mengkonfigurasi Imperva SecureSphere, ModSecurity atau F5 untuk menutup cacat.



Untuk mempercepat pemrosesan hasil, menggunakan filter, Anda dapat memilih hanya kerentanan yang ada rekomendasi untuk menyiapkan sistem informasi keamanan.

Setelah mengatur perlindungan, hapus kerentanan "tertutup" dan mereka tidak akan muncul di pemindaian berikutnya. Seperti pada antarmuka lama, Anda dapat menghapus kerentanan tertentu di tab Manajemen Kerentanan. Kami mengganti tombol teks dengan ikon rapi, mengubah lokasi elemen.



Kami sangat menyarankan meninggalkan komentar dengan alasan untuk menghapus kerentanan.

3. Tautan ke entri . Peningkatan lain dalam navigasi pemindaian. Dalam versi Solar appScreener sebelumnya, tidak mungkin memberikan tautan ke deskripsi terperinci tentang kerentanan tertentu. Karena itu, saya harus merujuk pada kerentanan dengan nama dan jalur ke file untuk menemukan item yang diinginkan dalam daftar. Kami telah berulang kali menerima umpan balik dengan permintaan untuk menyederhanakan prosedur penautan ke kerentanan - sekarang ini dapat dilakukan dengan menentukan URL-nya.

4. Pindai
Dalam antarmuka lama, tidak mungkin membandingkan pemindaian proyek dalam semua hal. Halaman proyek hanya berisi daftar pemindaian yang menunjukkan peringkat (tingkat keamanan). Di antarmuka baru, bagian yang sesuai menampilkan semua pemindaian dalam proyek dalam format tabel.



Halaman ini memungkinkan Anda untuk melihat dan membandingkan indikator utama dari setiap pemindaian. Ketika Anda mengklik ikon di dekat tanggal pemindaian, informasi tentang parameter awal ditampilkan, yang membantu menjelaskan perbedaan dalam hasil pemindaian. Secara khusus, dimungkinkan untuk menentukan parameter pemindaian yang berhasil diselesaikan, dan di mana - kesalahan terjadi.

Untuk bekerja dengan sejumlah besar pemindaian, gunakan pengurutan berdasarkan tanggal, status, durasi pemindaian, peringkat. Pilih dua pindaian untuk membandingkannya berdasarkan kerentanan. Dan agar pemindaian yang tidak perlu tidak ditampilkan, misalnya, dengan status Kesalahan , Anda dapat memasukkannya ke dalam arsip.

Pindaian yang diarsipkan tidak akan ditampilkan pada bagan pada halaman Ikhtisar , bagi mereka, Anda tidak dapat melihat hasil terperinci atau mengekspor laporan. Jika perlu, pemindaian dapat dibuka ritsleting. Di antarmuka lama, hanya penghapusan permanen yang tersedia.

Di sini Anda dapat memilih beberapa pemindaian untuk mengekspor laporan hasil.



Di antarmuka baru, menjadi lebih mudah untuk memilih kerentanan untuk laporan tergantung pada statusnya (baru, dipertahankan, diperbaiki, dihapus). Mengunggah kerentanan yang dihapus / dihapus memungkinkan Anda untuk mendapatkan laporan tentang pekerjaan yang dilakukan. Dan dengan memasukkan hanya kerentanan baru dalam laporan, Anda dapat membuat daftar tugas mendesak. Sebelumnya, dimungkinkan untuk memasukkan dalam laporan semua kerentanan, atau hanya yang baru. Penting bahwa sekarang Anda dapat mengirim laporan melalui email dalam satu klik.

Proyek


Halaman Proyek hampir tidak berubah dalam konten, tetapi fungsi pencarian dan filter baru telah muncul di sana.



Sekarang, untuk melihat hanya proyek yang Anda butuhkan, konfigurasikan filter atau pencarian.

  • Status pemindaian. Pilih proyek dengan hanya pemindaian terakhir yang diselesaikan atau, sebaliknya, pemindaian yang telah dimulai.
  • Bahasa Pilih setidaknya satu atau lebih bahasa yang terkandung dalam aplikasi yang dianalisis.
  • Peringkat Tunjukkan kisaran di mana peringkat aplikasi seharusnya (dari 0 hingga 5). Indikator warna akan membantu Anda memilih proyek yang sesuai dengan peringkat kerentanan yang diminta.
  • Jumlah kerentanan. Tunjukkan kisaran kerentanan dari berbagai tingkat keparahan. Misalnya, proyek dengan kerentanan kritis saja.
  • Saring berdasarkan tanggal . Pilih pindaian untuk hari atau interval hari tertentu, untuk minggu terakhir atau bulan lalu. Misalnya, Anda dapat melihat pindaian bulan saat ini.
  • Pencarian untuk proyek dapat dilakukan tidak hanya dengan nama dan penulis, tetapi juga dengan ID dari proyek tertentu (ditampilkan di bawah nama proyek dan pada halaman Ikhtisar).
ID Proyek di halaman ProyekID Proyek di menu sisi proyek

Bagi mereka yang sangat tertarik dengan spoiler "Analytics", contoh bagian ini menunjukkan perubahan dalam struktur halaman antarmuka baru.

Analisis
Di halaman Analytics, dimungkinkan untuk melacak statistik proyek: jumlah baris kode, jumlah kerentanan, peringkat. Di antarmuka lama, sebagian besar halaman ditempati oleh sidebar, grafisnya tidak nyaman dan kecil. Nama-nama grafik dan mode (menampilkan nilai rata-rata / total) juga memakan banyak ruang. Untuk membangun kembali bagan, Anda harus mengklik tombol Rebuild chart.

Itu adalah: halaman Analytics



Dalam versi baru, kami meningkatkan ukuran grafik, mengurangi jumlah teks, menggantinya dengan tombol visual. Untuk mengosongkan ruang di sisi kiri halaman, menu dipindahkan ke atas dalam bentuk tab. Untuk kenyamanan melihat grafik, kami menambahkan thumbnail mereka, dan untuk memudahkan melihat tabel grafik, Anda dapat menyembunyikannya.

Sekarang: halaman Analytics



Kami mengambil menu untuk melihat daftar grup yang ada dan membuat yang baru ke bagian atas halaman, menambahkan ikon. Grup baru dapat dibuat dengan memilih proyek individu atau berdasarkan grup yang ada.

Kami telah mengganti kotak centang dengan daftar drop-down dengan banyak pilihan dan pencarian. Sekarang pengguna akan dapat menemukan grup dan proyek yang diperlukan berdasarkan nama, dan tidak menelusuri seluruh daftar.



Dan satu lagi, kali ini yang terakhir, spoiler dikhususkan untuk pengembangan integrasi dengan Jira . Dalam versi sebelumnya dari penganalisa kami, sudah dimungkinkan untuk membuat tugas perbaikan kerentanan di Jira. Dalam versi 3.1, kami menambahkan beberapa fitur baru. Yang mana, Anda bisa mengetahuinya

Di sini
Dalam versi 3.1, kami menambahkan bidang baru "tugas induk" dan "komponen". Anda juga bisa menentukan tautan ke repositori sumber sehingga tautan ke kode dengan kerentanan di Gitlab dihasilkan dalam deskripsi tugas.

Sekarang: buat tugas di Jira



Sekarang, ketika melihat tugas yang dibuat di antarmuka Jira, pengguna akan melihat kode sumber yang diformat dengan kerentanan, daftar, tautan yang disorot. Singkatnya, membaca deskripsi tugas menjadi lebih mudah.



Administrasi


Kami sepenuhnya mendesain ulang bagian Administrasi. Mengubah struktur bagian, mengimplementasikan pencarian dan pemilahan pengguna dan grup pengguna, menyederhanakan pembuatan dan pengeditan mereka. Dalam daftar pengguna, urutan kolom diubah, yang tambahan dihapus (telepon dan situs web dapat dilihat pada halaman pengeditan pengguna).

Itu: daftar pengguna



Sekarang: daftar pengguna



Dalam versi lama antarmuka, prosedur untuk membuat akun pengguna menyertakan tiga langkah non-sepele pada halaman yang berbeda: 1. mengisi tabel dengan semua kredensial pengguna - login, kata sandi, nama, email, telepon, situs web, dll; 2. memilih dari daftar panjang peran yang cocok untuk pengguna; 3. Menetapkan hak pengguna untuk mengakses proyek tertentu. Sekarang Anda dapat mengisi data pengguna, memberikan hak dan memberikan akses ke proyek yang ada lebih cepat dan pada satu halaman.

Saat membuat akun, menjadi mungkin untuk mengirim email kepada pengguna dengan nama pengguna dan kata sandi. Anda dapat memberikan akses pengguna yang ada ke proyek pada halaman pengeditan pengguna atau pada halaman pengaturan proyek. Jika Anda perlu mengonfigurasi hak beberapa pengguna, sebaiknya buat grup. Dalam hal ini, dimungkinkan untuk menyediakan akses ke semua pengguna grup dalam satu langkah.

Revisi penting: versi baru mengimplementasikan integrasi dengan LDAP. Administrator dapat mengatur parameter koneksi dalam pengaturan sistem di tab LDAP.



Untuk melihat pengguna dan grup pengguna dari koneksi yang ditambahkan, di bagian Administrasi yang sesuai, Anda harus memilih koneksi LDAP yang diinginkan.

Akun pribadi


Jika sebelumnya tombol untuk pergi ke Akun Saya terletak di menu utama, di antarmuka baru kami menempatkannya di sudut kanan atas sebagai ikon.

Itu: tombol transisi di kabin Pribadi t



Sekarang: tombol untuk pergi ke Akun Saya



Pada halaman tersebut ada tab terpisah untuk pengaturan yang berbeda. Sekarang lebih mudah untuk menavigasi di akun pribadi Anda.



Ringkasan


Antarmuka analyzer menjadi lebih nyaman, mudah dimengerti dan lebih bergaya. Memulai pemindaian baru membutuhkan waktu lebih sedikit. Navigasi antar pemindaian dalam suatu proyek lebih nyaman. Di 3.1, filter muncul di halaman dengan proyek dan hasil terperinci, dengan bantuan yang mana pengguna akan dapat memproses hasil analisis lebih cepat dan menghilangkan kerentanan penting dalam waktu.

, , , . , , .

, Solar appScreener

Source: https://habr.com/ru/post/id459648/

More articles:


All Articles