正如亨利·福特(Henry Ford)过去所说,所有事情都可以做得比迄今为止更好。 因此,当我们开始开发应用程序安全分析器的3.1版时,便以为如此。 我们确实想使我们的产品不仅功能最酷:例如,实现对最大数量编程语言的支持。 而且还具有最符合人体工程学,舒适,美观的特点……-好,以免使您的眼睛直视! 因此,我们放弃了甚至更改产品名称的想法。 总的来说,他们全力以赴。 他们决定在这次回顾中与您分享他们的努力成果。
因此,今天我们将告诉您与以前的2.10版本相比,Solar appScreener 3.1在设计和人体工程学方面出现了哪些新功能和有用之处。 问题的功能方面可以在新闻稿中找到。 在本文发布时,Solar appScreener开发团队已经推出了
新版本3.2 。 但是所有接口更改3.1仍然有效。
简要介绍变化
第一个创新就是产品的名称:直到2.9版及更高版本,该分析仪都被称为Solar inCode,从2.10开始,它被称为Solar appScreener。 自版本2.10发行以来,该产品的内容和外部均发生了变化。
关于功能成就的简要介绍。 就支持的语言数量而言,Solar appScreener现在是静态分析工具中的绝对领导者(3.1中有26种语言,而最近发布的3.2中已经有3.2种语言)。 3.1添加了对COBOL,TypeScript,VBScript,Apex的支持。 我们实现了与Active Directory的集成,出现了FLE模块(模糊逻辑引擎)的过滤器,这将有助于更自由地管理误报。 与Jira的集成更加灵活。
至于
设计更改 ,我们试图使界面更加时尚和方便。 我们重新设计了页面的结构,菜单的外观,列表和按钮。 每个页面上都有一项功能,可让用户快速轻松地使用该工具。 在重新设计期间,我们试图最大程度地减少未使用的空间,减少步骤数量和必要的点击次数以完成任务,并使功能尽可能容易地使用。
设计方案
在授权阶段就已经可以看到设计的巨大变化。 简约的窗户,田野,按钮。 元素变得扁平,字体更易读。 我们保留了该品牌的蓝灰色白色调色板。 主要配色方案是从蓝色渐变到纯白色。
那是:“项目”页面
现在:“项目”页面
重新设计的一个重要目标是消除空白空间,使元素排列得更紧凑,但不使页面超载。 结果可以在示例菜单中看到。
在新界面中,侧面菜单项带有清晰的图标。 为了节省空间,可以隐藏菜单。 通常,界面变得更加生动和现代。
导览
授权后,在旧界面中,将用户重定向到带有已分析应用程序列表的“
项目”页面。 要开始新的扫描,您必须转到“
新项目”页面。
那是:“项目”页面新概念涉及最少的入门步骤。 授权后,用户进入
首页 。 在这里,您既可以查看最新扫描,也可以启动新扫描。
现在:首页
扫描开始
使用启动扫描的示例,我们将展示如何减少访问系统功能所需的单击次数。
在旧界面中,可以
通过三种方式下载应用程序以进行分析:
通过与Google Play或App Store 的链接 ,
从本地计算机或
通过与存储库的链接 。 选择下载方法后,您可以指定项目名称,上载徽标,选择文件或指定链接。
它是:选择下载应用程序并开始扫描的方法
在新界面中,您可以单击两次以开始扫描:拖动应用程序文件,然后单击
开始扫描按钮。
现在:从本地计算机下载应用程序以进行分析
要从App Store,Google Play或通过指向Git存储库的链接
下载应用程序 ,请通过链接转到“
下载应用程序”标签
,然后指定所需的URL。
现在:下载应用程序以供参考分析
查看结果
分析开始时,将在系统中创建一个新项目。 它出现在“
项目”页面上的列表中
。 此外,在创建的项目的框架内,您可以开始分析应用程序的新版本。 因此,用户将能够监视漏洞数量和安全等级的变化。
我必须承认,在旧界面中,浏览各种扫描结果非常困难。 要查看先前扫描的详细结果,您必须转到
项目页面,从列表中选择一个
扫描 ,然后再转到
详细结果页面
。是:详细结果页面
在新界面中,有关最后一次扫描的所有信息都可以在“
概述”页面上找到
。 使用侧面菜单,您可以轻松地在详细结果和项目的其他部分之间切换。 在“
概述”,“详细结果”和“扫描比较”页面上
,您始终可以转到以前的任何扫描。 为此,请从页面右上角的列表中选择分析日期。
现在:概述页面
现在,有关所选扫描的所有重要信息都以图形的形式显示在一页上(以前,有些图形位于项目页上,有些位于扫描页上):
- 分析启动选项。 通过单击扫描列表附近的信息图标,用户将能够查看启动所选扫描的设置。 旧界面中没有这种可能性。
- 扫描状态。
- 等级 现在,不仅是五分制的等级,而且等级的颜色也代表了应用程序的安全级别。
- 扫描时间。
- 代码行数。
另外,在接口3.1中添加了新图形:
- 有关漏洞类型的统计信息(您可以找到更多的漏洞),
- 语言统计信息(您可以查看每种分析的应用程序语言中的漏洞数量)。
关于可以从扫描结果中提取哪些其他有价值的信息,请阅读扰流板“详细结果”。
详细结果1.与旧界面相比,
漏洞过滤器已大大扩展。
考虑新的过滤器功能:
- 按漏洞名称搜索 。 在输入字段中输入例如“ XSS”,并获取相关漏洞的列表。
- 通过具有漏洞的目录和文件名搜索。 要查看特定文件中的漏洞,请在搜索栏中输入其名称。
- 与上次扫描相比进行过滤。 如果项目有几次扫描,则可以将当前扫描结果与之前的任何扫描结果进行比较。 您只能看到新的或尚存在的漏洞。 如果您定期运行分析,这将很有用-现在您可以更快地处理新结果。 用户还可以找出自第一次分析以来已修复的漏洞和已出现的漏洞。
- 按语言过滤 。 最初,在筛选器中选择了发现漏洞的所有语言。 取消选中该框可查看您感兴趣的语言中的漏洞。
- 模糊逻辑引擎(FLE)。 帮助确定漏洞修复的优先级。 选择一种模式来显示漏洞:
- 只有真实的 -发生的可能性很大,是真正的脆弱性;
- 只有重要的漏洞需要首先解决;
- 自定义 -可以通过将滑块移动到不同位置来调整模糊逻辑引擎的灵敏度。 最左边的位置表示发生正确响应的可能性最高;最右边的位置显示任何概率的漏洞;
- 动态 -您可以设置百分位数(值从1到100),具体取决于将显示哪个部分/最重要漏洞的百分比。
2.
有关设置信息安全工具的建议。 在版本2.10中,设置SPI的建议位于单独的页面上。 在新界面中,“
SIS设置”选项卡中“
详细结果”页面上提供了建议。
现在,对于每个漏洞,您都可以立即查看是否可以配置Imperva SecureSphere,ModSecurity或F5来消除缺陷。
为了加快结果的处理速度,使用筛选器,您只能选择建议建立安全信息系统的那些漏洞。
设置保护后,删除“已关闭”漏洞,它们将不会出现在后续扫描中。 与旧界面一样,您可以在“
漏洞管理”选项卡中删除特定漏洞
。 我们将文本按钮替换为简洁的图标,更改了元素的位置。
强烈建议您发表评论,以说明删除漏洞的原因。
3.
链接到条目 。 扫描导航的另一项改进。 在以前版本的Solar appScreener中,无法提供指向特定漏洞的详细描述的链接。 因此,我必须通过名称和文件路径引用该漏洞,才能在列表中找到所需的项目。 我们已经多次收到有关简化连接到漏洞的过程的请求的反馈-现在可以通过指定其URL来完成。
4.
扫描在旧界面中,不可能在所有方面都比较项目扫描。 项目页面仅包含指示等级(安全级别)的扫描列表。 在新界面中,相应部分以表格格式显示项目中的所有扫描。
此页面使您可以查看和比较每次扫描的主要指标。 单击扫描日期附近的图标时,将显示有关开始参数的信息,这有助于解释扫描结果的差异。 特别是可以确定在哪些参数下扫描成功完成,以及在哪种参数下发生错误。
要进行大量扫描,请使用按日期,状态,扫描持续时间,等级排序。 选择两次扫描以按漏洞比较它们。 这样就不会显示不必要的扫描(例如,处于“
错误”状态),您可以将其放入存档中。
存档扫描将不会显示在“
概述”页面上的图表上;对于它们,您无法查看详细结果或导出报告。 如有必要,可以解压缩扫描文件。 在旧界面中,只有它们的永久删除可用。
在这里,您可以选择几次扫描以导出结果报告。
在新界面中,根据漏洞的状态(新的,保留的,已修复的,已删除的)为报告选择漏洞变得更加方便。 上载已删除/已删除的漏洞可让您获得有关已完成工作的报告。 通过仅在报告中包含新漏洞,您可以创建紧急任务列表。 以前,可以在报告中包含所有漏洞,也可以仅包含新漏洞。 现在,您可以一键通过电子邮件发送报告,这一点很重要。
专案
“
项目”页面的内容几乎没有变化,但是新的过滤器和搜索功能已经出现在页面上。
现在,仅查看所需项目,请配置过滤器或搜索。
- 扫描状态。 选择仅最后一次扫描完成的项目,或者相反,选择已开始扫描的项目。
- 语言 选择所分析的应用程序中包含的至少一种或多种语言。
- 等级 指明应用程序评级的范围(从0到5)。 颜色指示器将帮助您选择与要求的漏洞等级匹配的项目。
- 漏洞数量。 指示不同严重性级别的漏洞范围。 例如,仅具有严重漏洞的项目。
- 按日期过滤 。 选择扫描特定天或几天间隔,即最后一周或上个月。 例如,您可以查看当月的扫描。
- 搜索项目不仅可以按名称和作者进行,还可以通过特定项目的ID(显示在项目名称和“概述”页面上)进行。
对于那些对“ Analytics”扰流器特别感兴趣的人,本节的示例显示了新界面的页面结构中的更改。
分析工具在Analytics(分析)页面上,可以跟踪项目的统计信息:代码行数,漏洞数,评级。 在旧界面中,页面的很大一部分被侧边栏占据,图形不方便且很小。 图的名称和模式(显示平均值/总计值)也占用了大量空间。 要重建图表,您必须单击“重建图表”按钮。
原为:“分析”页面
在新版本中,我们增加了图形的大小,减少了文本的数量,并用可视按钮代替了它。 为了释放页面左侧的空间,菜单以选项卡的形式向上移动。 为了方便查看图形,我们添加了它们的缩略图,并且为了方便查看图形表,您可以将其隐藏。
现在:分析页面
我们通过菜单查看了现有组的列表,并在页面顶部添加了图标,以创建新的组。 可以通过选择单个项目或基于现有组来创建一个新组。
我们已使用具有多个选择和搜索功能的下拉列表替换了复选框。 现在,用户将能够通过名称找到必要的组和项目,而无需浏览整个列表。
还有一次,这是最后一次破坏者,致力于
与Jira集成的
发展 。 在我们的分析器的早期版本中,已经可以在Jira中创建漏洞修复任务。 在3.1版中,我们添加了一些新功能。 您可以找出哪些
在这里在3.1版中,我们添加了新字段“父任务”和“组件”。 您还可以指定到源存储库的链接,以便在任务描述中生成到Gitlab上存在漏洞的代码的链接。
现在:在Jira中创建任务
现在,当在Jira界面中查看创建的任务时,用户将看到带有漏洞,列表和突出显示链接的格式化源代码。 总之,阅读任务说明变得更加方便。
行政管理
我们完全重新设计了“管理”部分。 更改了该部分的结构,实现了对用户和用户组的搜索和排序,简化了他们的创建和编辑。 在用户列表中,列的顺序已更改,多余的列已删除(可以在用户的编辑页面上查看电话和网站)。
它是:用户列表
现在:用户列表
在旧版本的界面中,创建用户帐户的过程包括在不同页面上的三个重要步骤:1.用所有用户凭证(登录名,密码,名称,电子邮件,电话,网站等)填写表格; 2.从一长串适合用户的角色中进行选择; 3.设置访问特定项目的用户权限。 现在,您可以在一页上更快地填写用户数据,授予权限并授予对现有项目的访问权限。
创建帐户时,可以向用户发送包含用户名和密码的电子邮件。 您可以在用户编辑页面或项目设置页面上为现有用户授予对该项目的访问权限。 如果您需要配置多个用户的权限,我们建议创建一个组。 在这种情况下,将可以在一个步骤中为该组的所有用户提供访问权限。
重要修订:新版本实现了与LDAP的集成。 管理员可以在LDAP选项卡的系统设置中设置连接参数。
要查看已添加连接的用户和用户组,请在相应的“管理”部分中,选择所需的LDAP连接。
个人账户
如果之前是“我的帐户”按钮,则位于主菜单中,在新界面中,我们将其作为图标放置在右上角。
它是:个人机舱中的转换按钮
现在:转到我的帐户的按钮
页面上有单独的选项卡,用于不同的设置。 现在,您可以更轻松地浏览个人帐户。
总结
分析仪的界面变得更加方便,易于理解且更加时尚。 开始新的扫描需要更少的时间。 在项目中的扫描之间导航更为方便。 在3.1中,筛选器出现在页面上,其中包含项目和详细结果,借助这些筛选器,用户将能够更快地处理分析结果并及时消除重要漏洞。
, , , . , , .
, Solar appScreener