Geekly articles weekly

Tudo deve estar bem no analisador: funcionalidade e interface ... Estamos explorando a nova interface Solar appScreener 3.1

imagem Como Henry Ford costumava dizer, tudo pode ser feito melhor do que foi feito até agora. Então pensamos assim quando começamos a trabalhar na versão 3.1 do nosso analisador de segurança de aplicativos. Queríamos realmente tornar nosso produto não apenas com a funcionalidade mais interessante: por exemplo, implementar suporte para o número máximo de linguagens de programação. Mas também o mais ergonômico, confortável, esteticamente atraente ... - bem, para não arrancar os olhos! E assim nos empolgamos com a nossa ideia de que até o nome do produto foi alterado. Em geral, eles deram tudo na íntegra. E eles decidiram compartilhar os resultados de seus esforços com você nesta revisão.


Então, hoje, mostraremos o que há de novo e útil no Solar appScreener 3.1 em comparação com a versão 2.10 anterior em termos de design e ergonomia. O lado funcional da edição pode ser encontrado no comunicado de imprensa. No momento da publicação deste artigo, a equipe de desenvolvimento do Solar appScreener já havia lançado uma nova versão 3.2 . Mas todas as alterações na interface 3.1 permaneceram válidas.

Brevemente sobre as mudanças


A primeira inovação é o nome do produto: até a versão 2.9, inclusive, o analisador foi chamado Solar inCode e, a partir da 2.10, ficou conhecido como Solar appScreener. Desde o lançamento da versão 2.10, o produto mudou tanto em conteúdo quanto externamente.

Muito brevemente sobre realizações funcionais. Agora, o Solar appScreener é o líder absoluto entre as ferramentas de análise estática em termos do número de idiomas suportados (existem 26 deles no 3.1 e já 3.2 no 3.2, lançado recentemente). 3.1 adicionado suporte para COBOL, TypeScript, VBScript, Apex. Implementamos a integração com o Active Directory, um filtro para o módulo FLE (Fuzzy Logic Engine) apareceu, o que ajudará a gerenciar mais livremente os falsos positivos. Tornou a integração com o Jira mais flexível.

Quanto às alterações de design , tentamos tornar a interface mais elegante e conveniente. Redesenhamos a estrutura das páginas, a aparência do menu, as listas e os botões. Em cada página, há uma funcionalidade que fará com que o usuário trabalhe com a ferramenta de forma rápida e agradável. Durante o redesenho, tentamos minimizar o espaço não utilizado, reduzir o número de etapas e os cliques necessários para concluir as tarefas e tornar a funcionalidade o mais acessível possível.

Desenho


Mudanças dramáticas no design já podem ser vistas no estágio de autorização. Janelas minimalistas, campos, botões. Os elementos se tornaram planos, as fontes mais legíveis. Mantivemos a paleta azul-branco-cinza da marca. O principal esquema de cores foi a saída do gradiente azul para um branco liso.

Era: Página Projetos


Agora: página Projetos


Um objetivo importante do redesenho era eliminar o espaço vazio, organizar os elementos mais compactos, mas não sobrecarregar as páginas. Os resultados podem ser vistos no menu de exemplo.
Era: o menu lateral do projetoAgora: o menu lateral do projeto
imagem

Na nova interface, os itens do menu lateral são acompanhados por ícones claros. Para economizar espaço, o menu pode estar oculto. Em geral, a interface se tornou mais vívida e moderna.

Navegação


Após a autorização, na interface antiga, o usuário era redirecionado para a página Projetos com uma lista de aplicativos analisados. Para iniciar uma nova varredura, você tinha que ir para a página Novo Projeto .

Era: Página Projetos


O novo conceito envolve um mínimo de etapas para começar. Após a autorização, o usuário chega à página inicial . Aqui você pode visualizar as verificações mais recentes e lançar uma nova.

Agora: Página inicial


Início da digitalização


Usando o exemplo do lançamento de uma varredura, mostraremos como conseguimos reduzir o número de cliques necessários para acessar as funções do sistema.

Na interface antiga, era possível baixar aplicativos para análise de três maneiras: por meio de um link para o Google Play ou a App Store , de um computador local ou por um link para o repositório . Após escolher o método de download, você pode especificar o nome do projeto, fazer upload de um logotipo, selecionar um arquivo ou especificar um link.

Foi: escolher o método de baixar o aplicativo e iniciar a verificação



Na nova interface, você pode começar a digitalizar com dois cliques: arraste o arquivo do aplicativo e clique no botão Iniciar Digitalização .

Agora: baixando o aplicativo para análise do computador local



Para baixar o aplicativo da App Store, do Google Play ou do link para o repositório Git, vá para a guia Baixar o aplicativo pelo link e especifique o URL necessário.

Agora: baixe o aplicativo para análise por referência



Visualizar resultados


Quando a análise é iniciada, um novo projeto é criado no sistema. Ele aparece na lista na página Projetos. Além disso, dentro da estrutura do projeto criado, você pode iniciar a análise de novas versões do aplicativo. Assim, o usuário poderá monitorar alterações no número de vulnerabilidades e classificações de segurança.

Devo admitir que na interface antiga era bastante difícil navegar pelos resultados de várias varreduras. Para visualizar os resultados detalhados das varreduras anteriores, você tinha que ir para a página do projeto , selecionar uma varredura na lista e somente depois ir para a página de resultados detalhados.

Foi: página de resultados detalhados



Na nova interface, todas as informações sobre a última verificação podem ser encontradas na página Visão geral. Usando o menu lateral, você pode alternar facilmente entre resultados detalhados e outras seções do projeto. Em qualquer uma das páginas Visão geral, Resultados detalhados, Comparação de varredura, você sempre pode acessar as varreduras anteriores. Para fazer isso, selecione a data da análise na lista no canto direito da página.

Agora: Página Visão Geral



Agora, todas as informações importantes sobre a verificação selecionada são apresentadas na forma de gráficos em uma página (anteriormente, alguns dos gráficos estavam localizados na página do projeto e outras na página da verificação):

  • Opções de inicialização da análise. Ao clicar no ícone de informações próximo à lista de verificações, o usuário poderá visualizar as configurações com as quais a verificação selecionada foi iniciada. Não havia essa possibilidade na interface antiga.
  • Status da digitalização.
  • Classificação Agora, não apenas a classificação em uma escala de cinco pontos fala do nível de segurança do aplicativo, mas também da cor da classificação.
  • Duração da digitalização.
  • O número de linhas de código.

Além disso, novos gráficos foram adicionados na interface 3.1:
  • estatísticas sobre tipos de vulnerabilidades (você pode descobrir quais são mais vulnerabilidades),
  • estatísticas de idioma (você pode ver o número de vulnerabilidades em cada um dos idiomas de aplicativo analisados).

Sobre quais outras informações valiosas podem ser extraídas dos resultados da verificação, leia o spoiler "Resultados detalhados".

Resultados detalhados
1. O filtro de vulnerabilidade expandiu-se significativamente em comparação com a interface antiga.
Era: um filtro de vulnerabilidadeAgora: filtro de vulnerabilidade

Considere os novos recursos de filtro:

  • Pesquise pelo nome da vulnerabilidade . Digite, por exemplo, “XSS” no campo de entrada e obtenha uma lista de vulnerabilidades relacionadas.
  • Pesquise por diretório e nome de arquivo com vulnerabilidade. Para visualizar vulnerabilidades em um arquivo específico, digite seu nome na barra de pesquisa.
  • Filtro comparado à verificação anterior. Se o projeto tiver várias varreduras, você poderá comparar a atual com qualquer uma das anteriores. Você pode ver apenas vulnerabilidades novas ou sobreviventes. Isso será útil se você executar a análise regularmente - agora poderá processar novos resultados mais rapidamente. O usuário também pode descobrir quais vulnerabilidades foram corrigidas e quais apareceram desde a primeira análise.
  • Filtrar por idioma . Inicialmente, todos os idiomas em que as vulnerabilidades foram descobertas foram selecionados no filtro. Desmarque as caixas para visualizar vulnerabilidades nos idiomas de seu interesse.
  • Motor de lógica difusa (FLE). Ajuda a priorizar correções de vulnerabilidade. Selecione um dos modos para exibir vulnerabilidades:

  1. apenas verdadeiros - com alta probabilidade de que as ocorrências sejam uma vulnerabilidade real;
  2. apenas importantes são vulnerabilidades que precisam ser tratadas primeiro;
  3. personalizado - é possível ajustar a sensibilidade do Fuzzy Logic Engine movendo o controle deslizante para diferentes posições. A posição mais à esquerda indica as ocorrências com a maior probabilidade de uma resposta correta; a posição da extrema direita exibe vulnerabilidades para qualquer probabilidade;
  4. dinâmico - você pode definir o percentil (valor de 1 a 100), dependendo de qual determinada parte / porcentagem das vulnerabilidades mais importantes será exibida.



2. Recomendações para configurar as Ferramentas de segurança da informação. Na versão 2.10, as recomendações para configurar o SPI estavam localizadas em uma página separada. Na nova interface, as recomendações estão disponíveis na página Resultados detalhados , na guia Configurações do SIS .

Agora, para cada vulnerabilidade, você pode ver imediatamente se é possível configurar o Imperva SecureSphere, ModSecurity ou F5 para fechar o defeito.



Para acelerar o processamento de resultados, usando o filtro, você pode selecionar apenas as vulnerabilidades para as quais existem recomendações para configurar o sistema de informações de segurança.

Após configurar a proteção, remova as vulnerabilidades “fechadas” e elas não aparecerão nas verificações subseqüentes. Como na interface antiga, você pode remover uma vulnerabilidade específica na guia Gerenciamento de vulnerabilidades. Substituímos o botão de texto por um ícone limpo, alteramos a localização dos elementos.



É altamente recomendável deixar um comentário com o motivo da remoção da vulnerabilidade.

3. Link para entrada . Outra melhoria na navegação de digitalização. Nas versões anteriores do Solar appScreener, não era possível fornecer um link para uma descrição detalhada de uma vulnerabilidade específica. Por causa disso, tive que me referir à vulnerabilidade por nome e caminho para o arquivo para encontrar o item desejado na lista. Recebemos repetidamente comentários com solicitações para simplificar o procedimento de vinculação a uma vulnerabilidade - agora isso pode ser feito especificando seu URL.

4. Digitalizar
Na interface antiga, não era possível comparar as verificações do projeto em todos os aspectos. A página do projeto continha apenas uma lista de varreduras indicando a classificação (nível de segurança). Na nova interface, a seção correspondente exibe todas as verificações no projeto em formato de tabela.



Esta página permite visualizar e comparar os principais indicadores de cada verificação. Quando você clica no ícone próximo à data da verificação, são exibidas informações sobre os parâmetros de início, o que ajuda a explicar as diferenças nos resultados da verificação. Em particular, é possível determinar sob quais parâmetros a verificação foi concluída com êxito e sob os quais - ocorreu um erro.

Para trabalhar com um grande número de verificações, use a classificação por data, status, duração da verificação, classificação. Selecione duas varreduras para compará-las por vulnerabilidade. E para que verificações desnecessárias não sejam exibidas, por exemplo, com o status Erro , você pode colocá-las no arquivo morto.

As verificações arquivadas não serão exibidas nos gráficos da página Visão geral ; para elas, você não pode exibir resultados detalhados ou exportar um relatório. Se necessário, as digitalizações podem ser descompactadas. Na interface antiga, apenas a remoção permanente estava disponível.

Aqui você pode selecionar várias varreduras para exportar o relatório com os resultados.



Na nova interface, tornou-se mais conveniente selecionar vulnerabilidades para o relatório, dependendo de seu status (novo, preservado, corrigido, excluído). O upload de vulnerabilidades removidas / removidas permite que você obtenha um relatório sobre o trabalho realizado. E incluindo apenas novas vulnerabilidades no relatório, você pode criar uma lista de tarefas urgentes. Anteriormente, era possível incluir no relatório todas as vulnerabilidades ou apenas novas. É importante que agora você possa enviar o relatório por email em um clique.

Projetos


A página Projetos dificilmente mudou de conteúdo, mas novas funções de filtro e pesquisa apareceram nela.



Agora, para visualizar apenas os projetos necessários, configure o filtro ou pesquise.

  • Status da digitalização. Selecione projetos com apenas as últimas verificações concluídas ou, inversamente, verificações que foram iniciadas.
  • Idioma. Selecione pelo menos um ou mais idiomas contidos no aplicativo analisado.
  • Classificação Indique o intervalo dentro do qual a classificação do aplicativo deve estar (de 0 a 5). Um indicador de cor ajudará você a selecionar projetos que correspondam à classificação de vulnerabilidade solicitada.
  • O número de vulnerabilidades. Indique o intervalo de vulnerabilidades de diferentes níveis de gravidade. Por exemplo, projetos com apenas vulnerabilidades críticas.
  • Filtrar por data . Selecione varreduras para um dia ou intervalo específico de dias, na última semana ou no mês passado. Por exemplo, você pode visualizar as verificações do mês atual.
  • A pesquisa de projetos pode ser realizada não apenas pelo nome e autor, mas também pelo ID de um projeto específico (exibido sob o nome do projeto e na página Visão geral).
ID do projeto na página ProjetosID do projeto no menu lateral do projeto

Para aqueles que estão particularmente interessados ​​no spoiler "Analytics", o exemplo desta seção mostra alterações na estrutura da página da nova interface.

Google Analytics
Na página Análise, tornou-se possível rastrear estatísticas de projetos: o número de linhas de código, o número de vulnerabilidades, a classificação. Na interface antiga, uma parte significativa da página era ocupada pela barra lateral, os gráficos eram inconvenientes e pequenos. Os nomes dos gráficos e os modos (exibindo o valor médio / total) também consumiram muito espaço. Para reconstruir um gráfico, você teve que clicar no botão Reconstruir gráfico.

Era: página do Google Analytics



Na nova versão, aumentamos o tamanho dos gráficos, reduzimos a quantidade de texto, substituindo-o por botões visuais. Para liberar espaço no lado esquerdo da página, o menu foi movido para cima na forma de guias. Para facilitar a visualização dos gráficos, adicionamos as miniaturas e, para facilitar a visualização da tabela, você pode ocultá-la.

Agora: página do Google Analytics



Pegamos o menu para visualizar a lista de grupos existentes e criar novos no topo da página, adicionamos ícones. Um novo grupo pode ser criado selecionando projetos individuais ou com base em grupos existentes.

Substituímos as caixas de seleção por listas suspensas por várias seleções e pesquisas. Agora, o usuário poderá encontrar os grupos e projetos necessários por nome, e não navegar na lista inteira.



E mais um, desta vez o último spoiler, é dedicado ao desenvolvimento da integração com o Jira . Nas versões anteriores do nosso analisador, já era possível criar tarefas de correção de vulnerabilidades no Jira. Na versão 3.1, adicionamos alguns novos recursos. Quais você pode descobrir

Aqui
Na versão 3.1, adicionamos novos campos "tarefa pai" e "componentes". Você também pode especificar um link para o repositório de origem, para que um link para o código com vulnerabilidade no Gitlab seja gerado na descrição da tarefa.

Agora: crie uma tarefa no Jira



Agora, ao visualizar a tarefa criada na interface do Jira, o usuário verá um código-fonte formatado com vulnerabilidade, listas, links destacados. Em uma palavra, a leitura da descrição da tarefa se tornou mais conveniente.



Administração


Redesenhamos completamente a seção Administração. Mudou a estrutura da seção, implementou a pesquisa e a classificação de usuários e grupos de usuários, simplificou sua criação e edição. Na lista de usuários, a ordem das colunas foi alterada e as extras foram removidas (o telefone e o site podem ser visualizados na página de edição do usuário).

Era: uma lista de usuários



Agora: lista de usuários



Na versão antiga da interface, o procedimento para criar uma conta de usuário incluía três etapas não triviais em páginas diferentes: 1. preencher uma tabela com todas as credenciais do usuário - login, senha, nome, email, telefone, site, etc; 2. escolher entre uma longa lista de funções adequadas ao usuário; 3. Definir direitos de usuário para acessar um projeto específico. Agora você pode preencher os dados do usuário, conceder direitos e conceder acesso aos projetos existentes mais rapidamente e em uma página.

Ao criar uma conta, foi possível enviar um email a um usuário com um nome de usuário e senha. Você pode conceder a um usuário existente acesso ao projeto na página de edição do usuário ou na página de configurações do projeto. Se você precisar configurar os direitos de vários usuários, recomendamos a criação de um grupo. Nesse caso, será possível fornecer acesso a todos os usuários do grupo em uma única etapa.

Revisão importante: a nova versão implementa integração com LDAP. O administrador pode definir os parâmetros de conexão nas configurações do sistema na guia LDAP.



Para visualizar os usuários e grupos de usuários da conexão adicionada, nas seções correspondentes da Administração, é necessário selecionar a conexão LDAP desejada.

Conta pessoal


Se anteriormente o botão para acessar Minha conta estava localizado no menu principal, na nova interface, o colocávamos no canto superior direito como um ícone.

Era: o botão de transição na cabine pessoal t



Agora: o botão para acessar Minha conta



Na página, havia guias separadas para configurações diferentes. Agora é mais fácil navegar na sua conta pessoal.



Sumário


A interface do analisador tornou-se mais conveniente, compreensível e mais elegante. Iniciar uma nova verificação leva menos tempo. A navegação entre as verificações em um projeto é mais conveniente. Na versão 3.1, os filtros apareceram nas páginas com projetos e resultados detalhados, com a ajuda dos quais os usuários poderão processar os resultados da análise mais rapidamente e eliminar as vulnerabilidades importantes a tempo.

, , , . , , .

, Solar appScreener

Source: https://habr.com/ru/post/pt459648/

More articles:


All Articles