Анализатор кода АК-ВС 3

Анализатор исходных текстов программ «АК-ВС 3» — инструмент, предназначенный для автоматизации процесса проведения испытаний при сертификации в соответствии с требованиями различных регуляторов, а также для выполнения периодических проверок в рамках разработки безопасного программного обеспечения.

Данное решение является коробочным и объединяет статический (SAST) и динамический (DAST) анализ кода, а также фаззинг-тестирование (FAST), что позволяет автоматизировать тестирование на предмет безопасности и выявлять различные дефекты и уязвимости.

Возможности продукта:

• Комплексный подход к анализу ПО. АК-ВС 3 предоставляет широкий спектр инструментов для анализа ПО, включая статический анализ исходных текстов, динамический анализ с инструментацией кода, фаззинг-исследования и исследование полносистемных трасс выполнения. Это позволяет выявлять как потенциальные ошибки в коде, так и уязвимости безопасности на всех этапах разработки и эксплуатации программ.
• Поддержка множества языков программирования. АК-ВС 3 анализирует исходные тексты программ, написанные на языках программирования: C (ANSI C, C90, C99, C11, C17), C++ (C++98, C++2003, С++11, С++14, С++17, частично C++20), Java (SE 8, частично SE 11), C# (5.0 полностью, частично до 9.0).
• Интеграция с международными стандартами безопасности. АК-ВС 3 включает энциклопедию уязвимостей, соответствующую международному стандарту CWE, а также поддерживает построение отчетов в соответствии с требованиями Гостехкомиссии России. Это делает продукт особенно ценным для организаций, которые обязаны соблюдать строгие нормативные требования в области информационной безопасности и защиты от несанкционированного доступа.
• Гибкость формирования отчётов и работа с данными. АК-ВС 3 предоставляет широкие возможности для формирования детализированных отчетов о результатах анализа, включая структуру кода, результаты динамического анализа и исследования методом помеченных данных. Это позволяет разработчикам и аналитикам эффективно документировать найденные проблемы, отслеживать их статус и принимать обоснованные решения по устранению дефектов.

Функциональные возможности

• Анализ сборки и составление перечня команд компиляции и компоновки, а также создание архива исходных и заголовочных файлов.
• Статический анализ исходных текстов программ и программных комплексов.
• Отображение проанализированных исходных текстов с возможностью просмотра найденных потенциальных ошибок и перехода к определению сущностей.
• Ввод, хранение и отображение примечаний о найденных потенциальных ошибках.
• Инструментация исходных текстов программ для проведения динамического анализа.
• Формирование отчётов о структуре проанализированных исходных текстов.
• Формирование отчётов о результатах динамического анализа.
• Получение доступной информации о загруженных бинарных файлах.
• Съём полносистемных трасс выполнения ПО на виртуальных машинах.
• Возможность проведения фаззинг-исследования.
• Исследование снятых полносистемных трасс методами отладки и отслеживания помеченных данных.
• Вывод ассемблерной трассы в файл.
• Формирование отчётов о результатах исследования методом помеченных данных.

Технические характеристики

• Поддержка множества языков – C (ANSI C, C90, C99, C11, C17, частично С23), C++ (С++17, частично C++20, частично C++23), Java (SE 15 полностью, частично SE 17), C# (C# 5.0, частично C# 11.0), PHP (от версии 5.2 до версии 8.3), Python (до версии 3.12 включительно), Modula2, JavaScript, Pascal, Lua, 1С, Assembler (MASM), Ruby, Erlang, ADVPL, PLX, VHDL, Verilog, Go, Perl, Rust, Scala, Kotlin, Closure, Swift.
• Наличие энциклопедии уязвимостей (в соответствии с международным стандартом CWE для описания дефектов в области безопасности программ).
• Имеет изначальные установки для выполнения межпроцедурного контекстно-чувствительного анализ в рамках языков C/C++, C#, Java, Golang
• Поддержка построения отчетов в соответствии с требованиями РД “Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей” (Гостехкомиссия России).