Korelasyonları yanlış pozitifleri azaltacaktır. Bu sayede, DerScanner kullanıcılarının dikkati öncelikle, ortadan kaldırılması birinci öncelikli görev olan doğrulanmış güvenlik açıkları ve belgelenmemiş özelliklere odaklanacaktır.
DerScanner 3.12, uygulamanın dinamik kod analizinin (DAST) yanı sıra statik kod analizinin (SAST) yapılmasını sağlar. Dinamik analiz ile güvenlik açıkları öykünülmüş harici saldırılar aracılığıyla tespit edilir.
Uygulamadan gelen cevaba göre sistem herhangi bir zafiyet olup olmadığı sonucuna varır. Statik analiz sırasında program yürütülmez, ancak tüm kodu analiz edilir. Yöntemin avantajı, daha fazla güvenlik açığını kapsamasıdır.
Uygulamayı DerScanner’ın yeni sürümünde kontrol etmek için uygulamanın URL’sini belirtmeniz ve taramayı çalıştırmanız yeterlidir. Kullanıcı, iki analiz yönteminden elde edilen sonuçların korelasyonuna dayalı tek bir rapor alır.
Statik kod analizi sırasında tespit edilen güvenlik açıklarını ve belgelenmemiş özellikleri yansıtır ve DAST tarafından doğrulanmış olanları vurgular. Rapor, daha önce olduğu gibi, tespit edilen hataları ortadan kaldırmanın ve kontrol edilen yazılımın güvenliğini artırmanın yollarına ilişkin ayrıntılı öneriler içermektedir.
DerSecur’ün CTO’su Daniil Chernov şunları belirtiyor: “Önceden yazılım güvenliği uzmanları, ayrı SAST ve DAST çözümleri kullanarak test sonuçlarını manuel olarak karşılaştırmak zorundaydı. İki analiz yönteminin sonuçlarını ilişkilendirmek için algoritmalar geliştirerek, yanlış pozitifleri azaltmayı ve güvenlik açıkları ile belgelenmemiş özellikleri aramada daha doğru sonuçlar elde etmeyi başardık.”
“Bu, SAST ve DAST olmak üzere iki farklı araçtan elde edilen güvenlik açığı analizi sonuçlarının işlenmesini önemli ölçüde hızlandıracak, böylece uygulamaların ve bilgi sistemlerinin güvenliğinden sorumlu mühendislerin yükünü azaltacaktır. Gelecekte, yazılımdaki güvenlik açıklarını daha etkin bir şekilde tespit etmemizi sağlayacak başka teknolojiler ekleyerek korelasyon modülünü geliştireceğiz” diye devam etti Chernov.
DerScanner 3.12, çözümle uğraşırken kullanıcı rahatlığını artırmak için yapılan bir dizi değişiklik içerir. Özellikle, arayüz artık analiz için dosya yükleme sürecini gösteriyor, bu da büyük projeleri indirirken hataları önleyecek.
Ek olarak, güvenlik açığı grupları yönetimi iyileştirildi, böylece kullanıcı listedeki herhangi bir güvenlik açığını seçebilir ve durumu/kritikliği değiştirebilir veya tüm grup için bir yorum bırakabilir.
Ek olarak, DerScanner arayüzünden otomatik olarak döndürülen belirteçler ve SSH anahtarlarının entegrasyonu sayesinde özel depo yönetimi optimize edilmiştir.
Güncelleme, rapor dışa aktarma şablonlarını yönetme mantığını değiştirdi. Sistem artık belirli bir projeye bağlı olmayan genel bir şablon oluşturma seçeneğine sahiptir. Artık kullanıcılar, belirli alıcıların adreslerini belirterek programlanmış analizler çalıştırabilecek ve otomatik rapor göndermeyi yapılandırabilecek.
DerScanner, 36 programlama dilini ve 9 yürütülebilir dosya biçimini destekler. Çözümün yeni sürümü, desteklenen programlama dilleri için yeni ek güvenlik açığı arama modellerine, Android için genişletilmiş kural tabanına ve Python için geliştirilmiş kusur analizine ve Java 17 projeleri desteğine sahiptir.
Ek olarak, Java uygulamasının yalnızca kaynak kodunu tarama özelliğinin yanı sıra PHP Symphony çerçevesi için destek eklenmiştir.