Описание релизов

Release Notes

Список версий:

Версия 2.4

Версия 2.3

Версия 2.2

Версия 2.1

Версия 2.0

Версия 1.4

Версия 1.3

Версия 2.4

текущая версия

[Новая функциональность]

  • Интеграция с системой OverSecured для статического анализа;
  • Интеграция с системой Appscreener для статического анализа;
  • При загрузке приложения, которое уже было просканировано в системе оно не загружается еще раз, а используется загруженный ранее файл;
  • Добавление исключений ко всем уязвимостям в сканировании, отмеченным как ложное срабатывание;
  • Добавление исключения к конкретной уязвимости в сканировании;
  • Получение содержимого файлов в результатах сканирования.

 

[Доработки текущей функциональности]

  • В рамках проекта стало возможным сканирование только одного приложения;
  • Фильтрация доступных для выбора архитектур по активным сканирующим агентам;
  • Подсветка синтаксиса в результатх сканирования и собранных данных;
  • Более информативное отображение ошибок;
  • Возможность отменять запущенные тест-кейсы;
  • Изменен порядок выбора полей при старте сканирования или записи тест-кейса;
  • Добавлена возможность скачивания логов записи тест-кейса;
  • При выгрузке отчета ограничевается выводимая информация;
  • Доработка правил сканирования;
  • В уязвимости «Поиск ранее обнаруженной информации» добавлен поиск по модифицированным данным (md5, sha1, sha256, sha512, base64).

 

[Bugfix]

  • Исправлена ошибка отображения экрана устройства;
  • Исправлена ошибка модуля при отсутствии интернета при проверке корректности ключей FCM/GCM;
  • Исправление работы очереди сканирования;
  • Исправлена работа с изменением hosts в системе;
  • Обработка некорректных кодировок при сканировании;
  • Исправление ошибок в UI.

 

[Supporting Features]

  • Добавлена возможность запуска CLI при помощи готового docker-контейнера;
  • Параметр архитектуры в CLI стал не обязательным;
  • Добавлена возможность установки всех новых параметров при установке в значения по умолчанию;
  • Исправление уязвимостей и обновление библиотек до неуязвимых версий.

Версия 2.3

текущая версия

[Новая функциональность]

  • Добавление возможности изменения и управления парольной политикой.
  • Реализация механизма Captcha и изменение логики работы аутентификации.
  • Добавление возможности скачивания лога сканирования из интерфейса приложения.
  • Добавлена возможность отмены сканирования в любой момент жизненного цикла сканирования.
  • Реализовано автоматическое определение корректности запуска приложения перед сканированием или записью тестового сценария.
  • Реализовано автоматическое закрытие всплывающих окон перед запуском процесса сканирования или записи тестовых сценариев.
  • Фильтрация списка архитектур доступных для выбора при сканировании и записи тестовых сценариев по активным сканирующим агентам.
  • При уходе со страницы сканирования реализован возврат к экрану сканирования или записи тесткейса.
  • Выгрузка результатов модуля сетевой активности в формате HAR для возможности загрузки в инструменты динамического анализа.

[Новые уязвимости]

  • [iOS] Наличие Podfile в собранном пакете приложения.
  • [iOS] Наличие скриптов сборки в собранном пакете приложения.

[Доработки текущей функциональности]

  • Улучшение валидации при воспроизведении тестовых сценариев во время автоматического сканирования.
  • Добавлен читаемый формат сообщения об ошибках.
  • Проведена работа над безопасностью системы.
  • Улучшено логирования при запуске сканирования и записи тетсовых сценариев.
  • Реализован автоматический выбор архитектуры при автоматическом сканировании с тествоым сценарием.
  • В CLI добавлена возможность сканирования без указания тестового сценария.
  • Переработка UI для разделов «Запуск сканирования» и «Результаты сканирования».

[Bugfix]

  • Исправление продолжающихся запросов на получение на статуса после ухода со страницы запуска сканирования.
  • Улучшение стабильности работы сканирующих агентов, исправление ошибок, влияющих на процесс сканирования.
  • Исправление ошибок в нескольких модулях.
  • Исправление ошибки «белого экрана» при записи тестового сценария или запуска сканирования из очереди.
  • Исправление некорректного обновления токенов доступа при перезагрузке страницы.

Версия 2.2

[Новая функциональность]

  • Реализован механизм загрузки результатов непосредственно со страницы выявленной уязвимости.
  • Возможность просмотреть уязвимости на основе которых был найден дефект “Хранение ранее найденной чувствительной информации”.
  • Добавлены настройки модулей: SAST, Networking, Поиск чувствительной информации.
  • Добавлена возможность скачивать PDF отчет по конкретной уязвимости.
  • Добавлена двухфакторная аутентификация при помощи Google Authenticator.
  • Добавлена возможность удаления сканирований.
  • Добавлена возможность скачивания проанализированного приложения.
  • Добавлена возможность завершения записи тесткейса из таблицы со списком тесткейсов.
  • В API добавлена возможность фильтрации уязвимостей при попадании в отчет.
  • В API добавлен механизм управления сканирующими агентами.
  • В API добавлена возможность обновления файла /etc/hosts на сканирующих агентах.
  • В случае, если приложение завершило работу аварийно — производится поиск дефектов по тем данным, что удалось собрать.

[Новые уязвимости]

  • [Android][iOS] Поиск ключей/сертификатов в ресурсах и файлах приложения (публичных, приватных, ключевых хранилищ и т.д.).
  • [Android] Поиск значений Cookie в стандартных базах WebView.
  • [Android] Поиск чувствительных данных в кэше клавиатуры.

[Доработки текущей функциональности]

  • Автоматическая проверка ключей GCM/FCM на возможность отправки push-сообщений (проверка валидностиключей и их скоупа).
  • Изменение группировки уязвимостей. Теперь при нахождении нескольких уязвимостей, связанных одной чувствительной информацией, они будут представлены в рамках одной уязвимости с несколькими результатами.
  • Запуск сканирования происходит только после полной загрузки приложения, когда основная Activity находится на переднем плане.
  • Ряд улучшений в UI.
  • Обновление системных компонентов до актуальных версий.

[Bugfix]

  • Исправлено неверное отображение иконки приложения для некоторых приложений
  • Исправление записи тесткейсов на 11-м Android (проблема с записью с клавиатуры)
  • Исправление ряда функциональных дефектов

Версия 2.1

  • Поддержка сканирований iOS приложений;
  • Поддержка BCA (Byte Code Analisys) для приложений на платформе iOS;
  • Поддержка статического анализа для приложений на платформе Android;
  • Добавлены новые типы обнаруживаемых уязвимостей на платформах iOS и Android (суммарно 45 типов дефектов);
  • Документация перенесена в поставку продукта (возможен просмотр без доступа к сети интернет);
  • В документацию добавлена инструкция по установке;
  • Полноценная локализация продукта для английского языка;
  • Добавлена возможность просмотра видео сформированного в системе автотеста;
  • Опубликована новая версия cli (command line interface) с возможностью установки в качестве python пакета;
  • Добавлены настройки в ранее реализованные модули;

Версия 2.0

  • Изменение подхода работы со сканирующими агентами. Выбор версии системы, на которой необходимо выполнить проверку вместо выбора конкретного агента;
  • Управление сканирующими агентами из интерфейса системы;
  • Добавление функциональности очередей сканирования;
  • Валидация успешности прохождения тесткейсов при автоматическом сканировании. Обнаружение расхождения воспроизводимого сценария с записанным ранее;
  • Возможность просмотра видео прошедшего автоматического сканирования;
  • Возможность просмотра видео записанного тесткейса;
  • Изменение/добавление правил анализа для всех приложений на уровне организации и отдельно для конкретного приложения;
  • Более точное определение дефектов, связанных с системными компонентами (Activity, Service, Broadcast и т.д.)
  • Добавлены новые правила для поиска чувствительной информации;
  • Добавлены новые правила динамического анализа;
  • Динамический поиск чувствительной (sensitive) информации (при нахождении дефекта связанного с чувствительной информацией будет проведен повторный поиск значения по всем собранным данным);
  • Возможность скачивания собранной информации во время работы приложения (как отдельного модуля, так и всю информацию по сканированию);
  • Формирование pdf-отчетов о результатах сканирования.
    Обновление и детализация рекомендаций по устранению найденных дефектов;
  • Перенос рекомендаций по устранению дефектов в поставку продукта (возможен просмотр без доступа к сети интернет);
  • Упрощенный вариант установки on-premise благодаря наличию интерактивного Wizard по установке;
  • Открытый API со swagger для упрощения интеграции системы;
  • CLI для интеграции в системы непрерывной сборки приложений (CI/CD);

Версия 1.4

  • Добавлено обнаружение 10 новых типов уязвимостей (всего 31 тип уязвимостей);
  • Добавлены новые правила поиска уязвимостей;
  • Добавлен модуль для сбора информации о проводимых SQL-запросах (всего 14 активных модулей);
  • Добавлено расширенное описание рекомендаций по устранению дефектов для части категорий;
  • Улучшена производительность и скорость анализа приложений;
  • Добавлен функционал проверки на соответствия стандартам информационной безопасности;
  • Добавлена возможность создания собственного стандарта безопасности и проверка на соответствие ему;
  • Добавлена корреляция найденных уязвимостей с предыдущими результатами;
  • Добавлена интеграция с системой дистрибуции AppCenter;
  • Добавлена возможность управления состояниями приложениями (установка с нуля или сохранение предыдущего состояния);
  • Добавлена возможность блокировки/разблокировки пользователей из интерфейса системы;
  • Исправление дефектов;

Версия 1.3

  • Добавлено обнаружение 8 новых типов уязвимостей (всего 21 тип уязвимостей);
  • Добавлены новые правила поиска уязвимостей;
  • Добавлены модули по сбору и анализу информации из дампа памяти приложения (Heap Dump), сбор и поиск информации в базах данных приложений (App Databases), отслеживание операций с внешними и внутренними сервисами (Services) (всего 13 активных модулей);
  • Разработан CLI (Command Line Interface) для упрощения интеграции в процесс разработки;
  • Добавлена интеграция с системой дистрибуции HockeyApp;
  • Добавлена возможность авторизации по токену для интеграции с системами CI/CD;
  • Добавлена возможность модификации и добавления правил поиска уязвимостей пользователем из интерфейса системы;
  • Доработана ролевая модель пользователей;
  • Добавлено визуальное отображение статистики по сканированию;