Платформа стингрей

Внедрить платформу Стингрей в процесс безопасной разработки элементарно

Запросить демо

Внедрить Стингрей в процесс разработки можно как с помощью Command Line Interface (CLI), так и путем встроенных интеграций

01

Command Line Interface (CLI)

Способ интеграции в Pipeline разработки или в независимые системы CI. Представляет собой удобный интерфейс командной строки (CLI), написанный на языке Python. Поставляется в виде Python-пакета для системы PyPi, в виде Docker образа, либо в виде исходного кода.

Плюсы

  • Возможность максимально быстро проводить сканирование приложений сразу же после сборки.
  • Возможность автоматически анализировать результаты сканирования и проводить необходимые действия сразу внутри пайплайна.
02

Встроенные интеграции

В платформе предусмотрена встроенный мониторинг появления новых версий в системах дистрибуции или магазинах приложений. Как только приложение было загружено в систему дистрибуции или в магазин, новая версия автоматически загружается в платформу Стингрей для анализа защищенности.

Плюсы

  • Нет необходимости в изменении текущего процесса сборки, все интеграции настраиваются через интерфейс платформы Стингрей и не затрагивают пайплайны разработки.
  • Возможность интеграции даже в случае, если приложение разрабатывается вне контура или подрядчиком.
  • Контроль продуктивных сборок.

Этапы интеграции Стингрей в процесс

  • Подготовительный этап

    Онбординг приложения

  • Процесс

    Первичное подключение приложения

  • Артефакт

    Проанализированные дефекты, настроенные профили

  • Когда происходит

    При первоначальном подключении

  • Способ интеграции

    Ручное

  • Тип сканирования

    Полное

  • цель

    Провести первичный полный анализ приложения, выявить и проанализировать существующие уязвимости, настроить правила сканирования, определить точки интеграции в процесс. После онбординга при полном сканировании не должно возникать большого количества новых уязвимостей

  • Этап I

    Сборка приложения

  • Процесс

    Сборка приложения на стороне инструмента CI

  • Артефакт

    Собранное приложение

  • Когда происходит

    После сборки приложения

  • Способ интеграции

    CLI

  • Тип сканирования

    Быстрое сканирование

  • цель

    Получить базовое представление о состоянии сборки и убедиться, что основные правила соблюдены, обфускация присутствует и т. д.

  • Этап II

    Загрузка в систему дистрибуции

  • Процесс

    Загрузка приложения для тестирования в систему дистрибуции

  • Артефакт

    Приложение, готовое к загрузке тестировщиками

  • Когда происходит

    После загрузки в систему дистрибуции

  • Способ интеграции

    Встроенные

  • Тип сканирования

    С активными проверками

  • цель

    Находить более серьезные уязвимости, не влияя на скорость разработки параллельно с процессом ручного функционального тестирования приложений.

  • Этап III

    Загрузка Release Candidate в систему дистрибуции

  • Процесс

    Проведение регрессионного тестирования и подготовка к публикации

  • Артефакт

    Предрелизная сборка приложения

  • Когда происходит

    После загрузки Release Candidate в систему дистрибуции

  • Способ интеграции

    Встроенные

  • Тип сканирования

    Полное

  • цель

    Проведение полноценного регресса информационной безопасности приложения, включающая полное прохождение бизнес-сценариев

Этапы интеграции Стингрей в процесс

Выявляемые категории уязвимостей

Поиск чувствительной информации

Стингрей определяет чувствительную информацию (пароли, сессионные идентификаторы, номера банковских карт и т. д.) и её производные (md5, sha1, base64, и т. д.), которые хранятся локально или обрабатываются мобильным приложением.

Определяется на всех этапах, включая исходный код, ресурсы, сетевой трафик, межпроцессное взаимодействие, внутренние файлы приложения на устройстве.

Недостатки
конфигурации

Стингрей определяет различные некорректные настройки приложения, отсутствие или слабую обфускацию, недостаточные проверки окружения (root / jailbreak / emulator / Frida / debugger и т. д.), SSL Pinning, недостатки настроек сетевого взаимодействия, слабые пароли для ключевых хранилищ (jks/bks и др.), некорректное применение шифрования и другие.

Недостатки валидации и санитизации

Стингрей определяет доступные входные точки в приложение (AppLink / DeepLink, Activity / Content Provider и другие), взаимодействует с ними, отправляю на вход специальные конструкции и отслеживает движение данных в приложении. При помощи методов taint-анализа определяя, присутствуют ли в приложении недостатки, связанные с валидацией входных данных, которые как правило приводят к наиболее серьёзным уязвимостям.

Типы сканирований

  • Сканирование без запуска приложения или «быстрое сканирование»

  • Скорость сканирования

    Быстрая

  • Методы проверки

    SAST

  • Выявляемые типы уязвимостей

    Недостатки конфигурацииоиск чувствительной информации (часть данных)

  • Необходимость работы пользователя с приложением

    Отсутствует

  • цель

    В профиле сканирования задействованы модули, не требующие запуска приложения. Происходит статический анализ, поиск секретов от сторонних сервисов, оставшихся в ресурсах приложения файлов с конфиденциальной информацией, поиск и идентификация приватных ключей и сертификатов, проверка обфускации приложения и другие проверки, которые возможны без работы приложения.

  • Сканирование с активными проверками

  • Скорость сканирования

    Средняя

  • Методы проверки

    SAST, DAST, часть IAST

  • Выявляемые типы уязвимостей

    Недостатки конфигурацииоиск чувствительной информации (часть данных)

  • Необходимость работы пользователя с приложением

    Отсутствует или минимальное (аутентификация)

  • цель

    В профиле сканирования задействованы модули, которые требуют запуск приложения, но не требуют ручного взаимодействия пользователя с приложением (либо минимального бизнес-сценария по аутентификации). При данном типе сканирования происходит анализ входных точек в приложение и автоматическая их проверка. Данный пункт дополняет проверки предыдущего типа сканирования.

  • Полное сканирование

  • Скорость сканирования

    Низкая

  • Методы проверки

    SAST, DAST, IAST

  • Выявляемые типы уязвимостей

    Недостатки конфигурации, поиск чувствительной информации, недостатки валидации

  • Необходимость работы пользователя с приложением

    Присутствует

  • цель

    Целью данного типа проверки является полноценная проверка всех данных. Именно в этом типе сканирования важную роль играет покрытие бизнес-сценариев в приложении, так как при прохождении максимально возможного количества действий, приложение сохраняет и обрабатывает всю доступную ему информацию, которая в дальнейшем проверяется на наличие в ней конфиденциальной информации.