Анализ уязвимостей программного обеспечения:
обнаруживаем и подтверждаем уязвимости в программном обеспечении на ранних этапах — до того, как они будут эксплуатироваться злоумышленниками
Анализ уязвимостей программного обеспечения — это систематическое выявление, подтверждение и приоритизация уязвимостей в прикладном и системном ПО: банковских системах, веб-приложениях, мобильных и десктопных клиентах. SolidPoint проводит анализ уязвимостей ПО по методикам OWASP, CVSS и БДУ ФСТЭК России, а для финансового сектора — анализ уязвимостей прикладного программного обеспечения по ОУД4 (ГОСТ Р ИСО/МЭК 15408). Это фундаментальный элемент выстраивания надёжной системы безопасности ПО.
Что такое анализ уязвимостей программного обеспечения
Анализ уязвимостей программного обеспечения — это систематический процесс выявления, подтверждения и приоритизации уязвимостей в прикладном и системном ПО: веб-приложениях, мобильных и десктопных клиентах, банковских системах, библиотеках и зависимостях. Цель анализа уязвимостей программного обеспечения — получить объективную картину слабых мест в коде и архитектуре приложения и устранить уязвимости до того, как ими воспользуются злоумышленники. Анализ уязвимостей ПО позволяет выявлять как известные уязвимости в используемых компонентах (в том числе в сторонних библиотеках), так и дефекты, возникшие на этапе разработки.
В отличие от эпизодических проверок, комплексный анализ уязвимостей ПО сочетает автоматизированный статический и динамический анализ с экспертным ручным аудитом кода и логики приложения. SolidPoint проводит анализ уязвимостей ПО по международным и российским методикам — OWASP, CVE, CVSS, CWE и Банк данных угроз (БДУ) ФСТЭК России, — а для финансового сектора выполняет анализ уязвимостей прикладного программного обеспечения по ОУД4 (ГОСТ Р ИСО/МЭК 15408). Каждая подтверждённая уязвимость сопровождается детализированной оценкой критичности (в том числе по шкале CVSS) и практическими рекомендациями по устранению для команды разработки. Это основа системного управления безопасностью ПО и эффективного сокращения поверхности атаки.
Полная картина безопасности ПО
Анализ уязвимостей программного обеспечения даёт объективную картину текущего уровня защищённости приложения — с указанием уязвимостей, их критичности и зон наибольшего риска: какие уязвимости существуют в коде и зависимостях и где сосредоточены основные риски.
Приоритизация уязвимостей по критичности
Каждая выявленная уязвимость программного обеспечения оценивается по CVSS и с учётом контекста — экспозиции, наличия эксплойтов и ценности обрабатываемых данных, — чтобы команда могла в первую очередь устранять наиболее опасные и критичные уязвимости, несущие реальный риск для бизнеса.
Соответствие требованиям
Анализ уязвимостей ПО помогает выполнить требования ЦБ РФ, 152-ФЗ, ГОСТ Р 57580 и ФСТЭК России, а для финансовых организаций — провести анализ уязвимостей прикладного ПО по ОУД4 (ГОСТ Р ИСО/МЭК 15408).
Основа для устранения уязвимостей
Конкретные рекомендации по каждой уязвимости программного обеспечения и повторная проверка после исправлений превращают анализ уязвимостей ПО в управляемый процесс снижения рисков, а не разовый отчёт.
Какое программное обеспечение мы анализируем
Анализ уязвимостей программного обеспечения охватывает все типы приложений — от банковских систем и веб-приложений до встроенного ПО и сторонних зависимостей. Состав работ определяется индивидуально в зависимости от объекта и целей. Максимально полный охват проверяемых компонентов (код, зависимости, конфигурация, работающее приложение) повышает достоверность оценки безопасности и полноту выявления уязвимостей.
Банковское ПО и АБС
Анализ уязвимостей банковского программного обеспечения, автоматизированных банковских систем (АБС), процессинга и платёжных приложений с учётом требований ЦБ РФ и ГОСТ Р 57580.
Веб-приложения и API
Анализ уязвимостей веб-приложений и API по OWASP Top 10 и OWASP API Security Top 10: инъекции, обходы аутентификации и авторизации, небезопасные конфигурации серверной логики.
Мобильные приложения
Анализ уязвимостей мобильного программного обеспечения (Android и iOS) и его серверной части по методике OWASP MASVS — небезопасное хранение данных, обход проверок и слабая криптография.
Десктопное ПО (толстый клиент)
Анализ уязвимостей десктопного программного обеспечения и толстых клиентов: обработка данных на стороне клиента, взаимодействие с сервером, локальное хранение и обновление.
Встроенное ПО и IoT
Анализ уязвимостей встроенного программного обеспечения и устройств IoT: прошивки, протоколы обмена, механизмы аутентификации и обновления.
Библиотеки и зависимости
Анализ уязвимостей сторонних библиотек, фреймворков и зависимостей программного обеспечения с известными уязвимостями (CVE) и отсутствующими обновлениями безопасности.
Анализ уязвимостей ПО по ОУД4
Для финансовых организаций SolidPoint проводит анализ уязвимостей прикладного программного обеспечения по оценочному уровню доверия ОУД4 в соответствии с ГОСТ Р ИСО/МЭК 15408. Это требование ЦБ РФ к безопасности ПО, обрабатывающего данные клиентов и платёжную информацию. Анализ уязвимостей ПО по ОУД4 включает работы по семейству AVA_VAN и подготовку документации для оценщика.
ОУД4 и анализ AVA_VAN
Проведение анализа уязвимостей прикладного ПО в соответствии с требованиями оценочного уровня доверия ОУД4 (ГОСТ Р ИСО/МЭК 15408), включая работы по семейству AVA_VAN — поиск, верификация и классификация уязвимостей, оценка устойчивости механизмов защиты и моделирование возможностей потенциального нарушителя.
- Поиск уязвимостей программного обеспечения по AVA_VAN;
- Оценка стойкости функций безопасности;
- Анализ потенциала нарушителя.
ГОСТ Р ИСО/МЭК 15408
Анализ уязвимостей ПО проводится в соответствии с серией стандартов ГОСТ Р ИСО/МЭК 15408 (Общие критерии), который является общепринятой методологической базой для оценки безопасности ПО в российской практике.
- Оценка безопасности по Общим критериям;
- Профиль защиты и задание по безопасности;
- Сопоставимость результатов оценки.
Требования ЦБ РФ
Для финансовых организаций анализ уязвимостей прикладного программного обеспечения по ОУД4 является требованием регулятора. Мы оказываем поддержку в подготовке ПО к прохождению оценки соответствия требованиям регулятора, включая формирование необходимой документации.
- Анализ уязвимостей ПО для финсектора;
- Подготовка к оценке соответствия;
- Соответствие ГОСТ Р 57580.
Документация для оценщика
По итогам анализа уязвимостей программного обеспечения формируется полный комплект сопроводительной документации, требуемый для проведения независимой оценки и подтверждения соответствия ПО заданному уровню доверия.
- Описание архитектуры безопасности;
- Отчёт об анализе уязвимостей ПО;
- Свидетельства проведённых проверок.
Классы уязвимостей программного обеспечения
Анализ уязвимостей программного обеспечения охватывает широкий спектр недостатков — от распространённых уязвимостей в сторонних зависимостях до нетривиальных логических дефектов, выявляемых только при экспертном ручном аудите. Ниже — основные классы уязвимостей ПО, которые мы выявляем.
Инъекции и выполнение кода
SQL-инъекции, command injection, SSTI и небезопасная десериализация — уязвимости программного обеспечения, которые могут приводить к удалённому выполнению кода, несанкционированному доступу к данным и полной компрометации приложения.
Аутентификация и авторизация
Обходы аутентификации, некорректная авторизация, IDOR и эскалация привилегий — уязвимости ПО, которые позволяют обходить механизмы контроля доступа, получать несанкционированные привилегии и извлекать конфиденциальные данные.
Уязвимости веб-приложений
Межсайтовый скриптинг (XSS), CSRF, SSRF и другие классы уязвимостей программного обеспечения по классификации OWASP и CWE.
Устаревшие компоненты и зависимости
Использование библиотек, фреймворков и стороннего ПО с известными уязвимостями (CVE) и отсутствующими обновлениями безопасности.
Ошибки конфигурации и криптографии
Небезопасные настройки приложения, слабая или неверно применённая криптография и раскрытие чувствительных данных, существенно снижающие уровень защищённости ПО и повышающие риски инцидентов информационной безопасности.
Ошибки бизнес-логики
Логические уязвимости программного обеспечения, которые не выявляют автоматические сканеры и которые требуют экспертного ручного анализа кода и логики приложения.
Методология анализа уязвимостей ПО
Для полноты выявления уязвимостей программного обеспечения мы сочетаем несколько взаимодополняющих методов — автоматизацию для широкого охвата и ручной аудит для глубины. Такой комбинированный подход позволяет сочетать высокую скорость автоматизированного анализа с глубиной экспертной проработки.
Статический анализ кода (SAST)
Анализ исходного кода программного обеспечения без запуска приложения для поиска уязвимостей на уровне реализации, небезопасных паттернов и потенциально опасных конструкций.
- Поиск уязвимостей в исходном коде;
- Выявление небезопасных паттернов;
- Анализ потоков данных в приложении.
Динамический анализ (DAST)
Анализ работающего приложения, в том числе с помощью собственного сканера SolidPoint DAST, который обнаруживает больше точек входа за счёт анализа клиентского JavaScript.
- Анализ уязвимостей работающего ПО;
- Расширенное обнаружение точек входа;
- Интеллектуальная валидация находок.
Экспертный ручной аудит
Ручной анализ уязвимостей программного обеспечения выявляет то, что пропускают сканеры: логические уязвимости, ошибки бизнес-логики и сложные цепочки — и отсеивает ложноположительные срабатывания.
- Ручной аудит кода и логики;
- Поиск сложных цепочек уязвимостей;
- Отсев ложноположительных результатов.
Методики OWASP и БДУ ФСТЭК
Анализ уязвимостей ПО опирается на методики OWASP (Top 10, API Security Top 10, WSTG, MASVS) и Банк данных угроз (БДУ) ФСТЭК России — это обеспечивает полноту и сопоставимость результатов.
- OWASP Top 10 и API Security Top 10;
- OWASP WSTG и MASVS;
- Учёт угроз БДУ ФСТЭК России.
Этапы проведения анализа уязвимостей ПО
Мы проводим анализ уязвимостей программного обеспечения по структурированному процессу — это обеспечивает полноту выявления и прозрачность на каждом шаге. Регулярный анализ переводит выявление уязвимостей из категории «разовых задач» в системный, измеримый и предсказуемый процесс.
Определение границ и подготовка
Согласование объёма работ и состава анализируемого программного обеспечения, получение доступа к приложению, коду и документации. Перед началом работ подписывается NDA.
Статический анализ кода
Статический анализ исходного кода (SAST) для выявления уязвимостей программного обеспечения на уровне реализации — до запуска приложения в продуктивной среде.
Динамический анализ приложения
Динамический анализ работающего ПО (DAST), в том числе с помощью SolidPoint DAST, для выявления уязвимостей, проявляющихся во время выполнения.
Ручной аудит и валидация
Экспертная проверка результатов, ручной анализ кода и бизнес-логики, поиск уязвимостей программного обеспечения, недоступных сканерам, и отсев ложноположительных срабатываний.
Приоритизация и оценка рисков
Оценка каждой уязвимости программного обеспечения по CVSS с учётом контекста — экспозиции, наличия эксплойтов и критичности обрабатываемых данных — для объективной приоритизации работ по устранению уязвимостей с учётом реального бизнес-риска.
Отчёт, рекомендации и повторный анализ
Подготовка отчёта с реестром уязвимостей ПО, оценкой критичности и рекомендациями по устранению. После исправлений мы проводим повторный анализ уязвимостей программного обеспечения, чтобы подтвердить эффективность мер.
Что вы получаете по итогам анализа
По результатам анализа уязвимостей программного обеспечения вы получаете отчёт с реестром найденных уязвимостей, оценкой их критичности и практическими рекомендациями по устранению. Отчёт становится ключевым документом для управления безопасностью ПО — он фиксирует выявленные риски и формирует дорожную карту по их устранению.
Реестр уязвимостей программного обеспечения
Подробный реестр уязвимостей с описанием, привязкой к компонентам, классификацией по CVE/CWE и оценкой критичности по CVSS.
Оценка рисков и приоритизация
Ранжирование уязвимостей программного обеспечения по реальной опасности с учётом контекста — чтобы устранять критичное в первую очередь.
Рекомендации по устранению
Чёткие, технически применимые инструкции для разработчиков, позволяющие оперативно устранить каждую уязвимость и предотвратить её повторное появление.
Преимущества анализа уязвимостей ПО
Регулярный анализ уязвимостей программного обеспечения непосредственно укрепляет безопасность приложения и позволяет принимать обоснованные управленческие решения на основе объективной картины рисков.
Снижение рисков для приложения
Своевременный анализ уязвимостей программного обеспечения снижает риск успешных атак, утечек данных и компрометации приложения и повышает общий уровень безопасности ПО.
Управление безопасностью ПО
Анализ уязвимостей программного обеспечения превращает безопасность приложения в управляемый процесс: вы знаете уязвимости в коде и устраняете их по приоритету.
Экономия ресурсов разработки
Стоимость проведения анализа уязвимостей существенно ниже затрат на ликвидацию последствий киберинцидента, репутационные потери и возможные штрафные санкции — особенно когда уязвимости программного обеспечения выявлены до выхода релиза.
Доверие и репутация
Регулярный анализ уязвимостей программного обеспечения служит подтверждением зрелости процессов информационной безопасности и ответственного подхода к защите данных — что важно для клиентов, партнёров и проверяющих органов.
Кому необходим анализ уязвимостей программного обеспечения
Анализ уязвимостей программного обеспечения необходим организациям, для которых критичны безопасность приложений, защита данных и соответствие требованиям регуляторов. Наиболее актуален анализ по ОУД4 для финансовых организаций, где соответствие требованиям регуляторов и высокий уровень доверия к ПО являются обязательными.
Банки и финтех
Анализ уязвимостей банковского программного обеспечения и АБС, анализ уязвимостей прикладного ПО по ОУД4 (ГОСТ Р ИСО/МЭК 15408), соответствие требованиям ЦБ РФ и ГОСТ Р 57580.
Разработчики ПО и вендоры
Анализ уязвимостей программного обеспечения как часть процессов безопасной разработки и подготовки продукта к сертификации.
SaaS и продуктовые компании
Анализ уязвимостей веб-приложений и API как часть управления рисками и непрерывного контроля безопасности ПО.
E-commerce и ритейл
Анализ уязвимостей программного обеспечения торговых платформ для защиты персональных и платёжных данных клиентов.
Госструктуры и КИИ
Анализ уязвимостей прикладного ПО информационных систем и объектов КИИ с учётом требований ФСТЭК России и 187-ФЗ.
Телеком и промышленность
Анализ уязвимостей встроенного и прикладного программного обеспечения критичных систем и технологической инфраструктуры.
Анализ уязвимостей ПО и соответствие требованиям
Анализ уязвимостей программного обеспечения помогает выполнить требования российских и международных стандартов по безопасности ПО. Для многих организаций анализ уязвимостей прикладного программного обеспечения — неотъемлемая составляющая комплексной защиты информации и выполнения требований по информационной безопасности.
ОУД4 и сертификация ПО
Анализ уязвимостей прикладного программного обеспечения по ОУД4 (ГОСТ Р ИСО/МЭК 15408) с работами по семейству AVA_VAN — требование для ряда финансовых организаций.
Финансовый сектор
ГОСТ Р 57580 и требования ЦБ РФ предполагают анализ уязвимостей программного обеспечения и оценку защищённости приложений финансовых организаций.
Персональные данные и КИИ
152-ФЗ, 187-ФЗ и требования ФСТЭК России к защите информации предполагают выявление и устранение уязвимостей программного обеспечения.
Почему анализ уязвимостей ПО стоит доверить SolidPoint
Наша группа компаний более 10 лет на рынке информационной безопасности. Команда ведёт исследования на факультете ВМК МГУ, результаты представлены на ведущих конференциях — OWASP AppSec, DEF CON, Black Hat, Hack in the Box, Positive Hack Days, OffZone, ZeroNights.
Исследовательская экспертиза
Основатели и ключевые сотрудники — исследователи безопасности с публикациями в научных журналах и докладами на ведущих конференциях. Технологии сканирования представлены на WASP at ESORICS 2023.
Подтверждённые результаты
20+ опубликованных CVE в продуктах Apple, Google Chrome, VMware vCenter, MySQL2. Более 100 принятых отчётов в программах Bug Bounty ведущих мировых компаний.
Опыт с 2011 года
Команда SolidLab проводит анализ защищённости и пентесты самых сложных приложений и инфраструктур с 2011 года.
Собственные технологии
Анализ уязвимостей усиливается сканером SolidPoint DAST: больше обнаруженных конечных точек за счёт анализа клиентского JavaScript и интеллектуальная валидация находок.
Конфиденциальность
Перед началом работ подписывается NDA. Строгое соблюдение всех пунктов соглашения и безопасное удаление всей информации по завершении проекта.
Признание индустрии
Благодарности от Alibaba, Amazon, Apple, Google, IBM, PlayStation, Mail.ru и других компаний за ответственное раскрытие уязвимостей.
Критические уязвимости, выявленные нашей командой
Apple
CVE-2025-24192
Google Chrome
CVE-2023-5480 · CVE-2024-10229 · CVE-2025-4664
VMware vCenter Server
VMSA-2021-0020 · VMSA-2022-0004
Jenkins
CVE-2019-1003029 · CVE-2019-1003030
MySQL2 для Node.js
CVE-2024-21507 · CVE-2024-21508 · CVE-2024-21509
SheetJS
CVE-2023-30533
Вопросы и ответы об анализе уязвимостей программного обеспечения
Что такое анализ уязвимостей программного обеспечения?
Анализ уязвимостей программного обеспечения — это систематическое выявление, подтверждение и приоритизация уязвимостей в прикладном и системном ПО: коде приложения, его зависимостях и архитектуре. Анализ уязвимостей ПО сочетает статический и динамический анализ с ручным аудитом и завершается отчётом с оценкой критичности и рекомендациями по устранению.
Что такое анализ уязвимостей ПО по ОУД4?
Это анализ уязвимостей прикладного программного обеспечения в соответствии с оценочным уровнем доверия ОУД4 по ГОСТ Р ИСО/МЭК 15408. Он включает работы по семейству AVA_VAN — поиск уязвимостей, оценку стойкости функций безопасности и потенциала нарушителя — и востребован прежде всего в финансовом секторе по требованиям ЦБ РФ.
Какое программное обеспечение можно анализировать?
Банковское ПО и АБС, веб-приложения и API, мобильные и десктопные приложения, встроенное ПО и устройства IoT, а также сторонние библиотеки и зависимости. Состав анализа уязвимостей программного обеспечения определяется индивидуально под объект и цели.
Нужен ли доступ к исходному коду?
Анализ уязвимостей программного обеспечения возможен и без доступа к коду, но доступ к исходному коду и конфигурациям повышает полноту анализа за счёт статического анализа (SAST). Для оценки по ОУД4 доступ к коду и документации необходим.
Чем анализ уязвимостей ПО отличается от анализа уязвимостей кода?
Анализ уязвимостей программного обеспечения охватывает приложение целиком — код, зависимости, конфигурацию и работающее приложение, — тогда как анализ уязвимостей кода сосредоточен на исходном коде (SAST). Это смежные услуги, которые часто применяют вместе.
По каким методикам и базам вы работаете?
Мы используем OWASP (Top 10, API Security Top 10, WSTG, MASVS), CVE, CWE и CVSS, базу NVD и Банк данных угроз (БДУ) ФСТЭК России, а для финансового сектора — ГОСТ Р ИСО/МЭК 15408 (ОУД4) и ГОСТ Р 57580.
Безопасен ли анализ уязвимостей ПО для рабочих систем?
Да. Мы заранее согласуем правила и при необходимости проводим анализ уязвимостей программного обеспечения в щадящем режиме или в изолированной среде, чтобы исключить влияние на работу приложения.
Сколько длится анализ уязвимостей программного обеспечения?
Сроки зависят от объёма и сложности приложения: анализ уязвимостей одного приложения обычно занимает от 2 до 4 недель, а оценка по ОУД4 — дольше за счёт работы с документацией. Точные сроки определяются на этапе определения границ.
Что вы делаете после получения отчёта?
Мы консультируем по приоритизации и устранению уязвимостей программного обеспечения и проводим повторный анализ уязвимостей ПО после внесения исправлений, чтобы подтвердить их эффективность. Смежная услуга — анализ уязвимостей инфраструктуры и сети.
Закажите анализ уязвимостей программного обеспечения
Напишите нам, чтобы обсудить анализ уязвимостей вашего ПО, в том числе анализ уязвимостей прикладного программного обеспечения по ОУД4. Мы определим объём работ и предложим оптимальный план выявления и устранения уязвимостей.