«Ростелеком-Солар» внедрил анализатор кода Solar appScreener в государственном страховом фонде Сингапура Central Provident Fund Board (CPF) при Министерстве трудовых ресурсов. Благодаря этому CPF своевременно выявляет и устраняет уязвимости и недекларированные возможности в коде разрабатываемых для граждан и постоянных жителей страны программ.
Central Provident Fund Board – комплексная система социального обеспечения, которая позволяет трудоустроенным гражданам и постоянным жителям Сингапура откладывать средства для выхода на пенсию. Среди информационных активов фонда – веб-сайт со средней ежемесячной аудиторией в два миллиона пользователей* и шесть мобильных приложений на платформах Android (имеют более 100 000 установок) и iOS**.
Таким образом информационные системы страхового фонда обрабатывают огромные массивы критических данных, среди которых ФИО, дата рождения, адрес регистрации, серия и номер паспорта, баланс накопленных пенсионных средств пользователей. Набор этих данных позволяет однозначно идентифицировать личность, а значит, требует повышенного контроля и защиты со стороны оператора данных (CPF).
Для устранения уязвимостей в ПО, эксплуатация которых может привести к утечке данных или нелегитимному доступу к управлению системами, страховой фонд Сингапура применяет анализатор кода Solar appScreener.
«Как и многие другие современные компании, для ускорения процесса разработки специалисты Central Provident Fund Board используют в коде сторонние компоненты. Поэтому для них особенно важно, чтобы, помимо исходного кода, продукт мог анализировать исполняемые файлы в тех случаях, когда доступа к исходному коду нет», – уточняет Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар».
Среди преимуществ Solar appScreener сотрудники страхового фонда выделяют проработанный интерфейс и удобство взаимодействия с системой. Продукт автоматически определяет языки программирования, находит уязвимости, подсвечивая их в коде, и дает конкретные рекомендации по их устранению. Для оценки безопасности приложений специалисты опираются на стандарты OWASP Top 10 и OWASP Mobile Top 10, поэтому среди преимуществ продукта также отмечают возможность построения отчетов в соответствии с этими классификациями.
