Конструктор правил, поиск логических ошибок и поддержка Scala. Positive Technologies выпустила PT Application Inspector 5.2 с расширенным анализом кода

leer en español

PT Application Inspector безопасность приложений статический анализ кода пользовательские правила JSA DSL уязвимости Scala
Конструктор правил, поиск логических ошибок и поддержка Scala. Positive Technologies выпустила PT Application Inspector 5.2 с расширенным анализом кода
PT Application Inspector безопасность приложений статический анализ кода пользовательские правила JSA DSL уязвимости Scala

Один сканер для Go, Java, JavaScript, PHP, Python, Scala, .NET 9 — и он понимает семантику каждого.

image

Positive Technologies выпустила PT Application Inspector 5.2 — обновление своего сканера защищенности приложений, в котором появился конструктор пользовательских правил и расширенная логика анализа. Теперь продукт умеет обнаруживать не только классические уязвимости, но и слабые места в коде, способные приводить к ошибкам выполнения, нарушению задуманной логики и проблемам со стабильностью работы.

Ключевое нововведение — возможность адаптировать анализ под конкретный проект с помощью специализированного языка JSA DSL. На нем можно описывать семантику исходников: входные точки для данных, фильтры, потенциально опасные операции, особенности веб-фреймворков, динамического кода и механизмы внедрения зависимостей. Такой подход позволяет быстро расширять экспертные правила SAST без вмешательства в ядро продукта. По данным компании, JSA DSL уже одинаково работает для Go, Java, JavaScript, PHP и Python, а в дальнейшем его функциональность планируют расширять.

Еще одно направление обновления — контроль корректности исполнения. PT Application Inspector 5.2 распознает ситуации вроде целочисленных переполнений, разыменования нулевых указателей и деления на ноль, то есть те ошибки, которые часто становятся отправной точкой для атак или приводят к сбоям. Режим включается по необходимости и уже доступен для проектов на Go, Java, JavaScript, .NET, PHP, Python, Ruby и TypeScript.

Расширилась и языковая поддержка. В новой версии добавлено сканирование приложений на Scala, включая проекты на Play Framework, а также обеспечена совместимость с .NET 9. Это снижает риск «слепых зон» и позволяет командам разрабатывать и проверять код на актуальных стеках.

Для крупных организаций с несколькими линиями разработки пригодится группировка правил. Администраторы могут объединять наборы правил и назначать их разным проектам, выбирая только релевантное для каждой команды. Это упрощает настройку, ускоряет проверку и помогает повысить качество статического анализа без лишнего шума.

В компании отмечают, что цель обновления — сделать SAST более управляемым и «умным» на уровне конкретного стека и фреймворка. По словам руководителя продуктовой линейки application security Сергея Синякова, новый механизм правил расширяет экспертную логику анализа и позволяет безопасно адаптировать инструмент под особенности приложения без правок ядра.

Действующие пользователи PT Application Inspector могут обновить лицензию и получить доступ к новой функциональности на специальных условиях — через своего менеджера или по заявке на сайте Positive Technologies.