codesecure.eu > Uncategorized > DerScanner

DerScanner

DerScanner je hlavní produkt společnosti DerSecur. DerSecur je alespoň původně izraelská společnost, zaměřující se na „AppSec technologie“, které vycházejí ze zkušeností získaných v rámci institutu pro základní a aplikovaný výzkum v informatice.

DerScanner není v pravém smyslu slova produkt, ale platforma pokrývající bezpečnost během celého životního cyklu aplikace. To zahrnuje SAST, DAST, SCA, MAST a také posouzení souladu s oborovými standardy (Compliance). V současné době DerScanner podporuje (na různé úrovni) víc něž 40 programovacích jazyků, nabízí i binární analýzu. Zákazníci si mohou vybrat mezi nasazením ve vlastním prostředí (on‑premise) nebo v cloudu.

DerScanner je nově také oficiální „technology partner“ společnosti Embarcadero.

Co je SAST, DAST, SCA, MAST a SBOM?

SAST (Static Application Security Testing) – Analýza zdrojového (nebo binárního) kódu bez běhu aplikace. Mapuje toky dat a hledá vzory chyb (CWE) ještě před sestavením a produkčním nasazením.

Příklad: Riziko SQL Injection, hard‑coded klíče, slabé hashování, chybné použití Try/Except, null dereference, nadměrná komplexita a podobně.

DAST (Dynamic Application Security Testing) – Automatizované testy běžící proti živé webové aplikaci/API. Simuluje útoky a zkouší zneužít chyby, které se typicky projevují až za běhu.

Příklad (WebBroker/RAD Serve server nasazený na IIS/Apache): DAST zkusí XSS, SQLi, misconfig (chybné headers, CORS).

SCA (Software Composition Analysis) – Inventarizace knihoven a závislostí (vč. transitivních), vyhledání známých zranitelností (CVE) a licenčních rizik, generování a údržba SBOM.

Příklad: Identifikace použitých součástí, upozornění na použití starších verzí (OpenSSL, ZIP komponenty se známou CVE a podobně), doporučení aktualizací. SBOM je strojově čitelný seznam komponent (knihovny, verze, relace závislostí, licence). Nejčastěji používané formáty jsou CycloneDX a SPDX. SBOM je jedním z požadavků EU Cyber Resilience Act (CRA) na technickou dokumentaci (s plnou vymahatelností od 11. 12. 2027).

MAST (Mobile Application Security Testing) – Testování bezpečnosti mobilních aplikací (Android/iOS), často analýzou APK/IPA a proti požadavkům OWASP MASVS.

Příklad (FMX mobilní aplikace): Identifikace citlivých dat v lokální SQLite bez šifrování, upozornění na nezabezpečené úložiště dat, případně slabou konfiguraci TLS.

DerScanner také nabízí generování výstupních sestav. Zjištěné problémy jsou mapovány na související požadavky předpisů (například HIPAA). Lze použít pro prokázání „souladu“ a také jako auditní stopa.