Editor de reglas, detección de errores lógicos y soporte para Scala: Positive Technologies lanza PT Application Inspector 5.2 con análisis de código ampliado
Un único escáner para Go, Java, JavaScript, PHP, Python, Scala y .NET 9 — que entiende la semántica de cada uno.
Positive Technologies lanzó PT Application Inspector 5.2 — una actualización de su escáner de seguridad de aplicaciones, que incluye un constructor de reglas personalizadas y una lógica de análisis ampliada. Ahora el producto puede detectar no solo vulnerabilidades clásicas, sino también puntos débiles en el código que pueden provocar errores de ejecución, alteraciones de la lógica prevista y problemas de estabilidad.
La novedad clave es la posibilidad de adaptar el análisis a un proyecto concreto mediante el lenguaje especializado JSA DSL. En él se puede describir la semántica del código fuente: puntos de entrada para los datos, filtros, operaciones potencialmente peligrosas, características de frameworks web, código dinámico y mecanismos de inyección de dependencias. Este enfoque permite ampliar rápidamente las reglas expertas SAST sin intervenir en el núcleo del producto. Según la compañía, JSA DSL ya funciona de la misma forma para Go, Java, JavaScript, PHP y Python, y en el futuro planean ampliar su funcionalidad.
Otra línea de la actualización es el control de la corrección de la ejecución. PT Application Inspector 5.2 detecta situaciones como desbordamientos enteros, desreferenciación de punteros nulos y divisiones por cero, es decir, esos errores que con frecuencia son el punto de partida para ataques o que provocan fallos. El modo se activa según necesidad y ya está disponible para proyectos en Go, Java, JavaScript, .NET, PHP, Python, Ruby y TypeScript.
También se amplió la compatibilidad de lenguajes. En la nueva versión se añadió el escaneo de aplicaciones en Scala, incluidos proyectos en Play Framework, y se garantiza la compatibilidad con .NET 9. Esto reduce el riesgo de zonas ciegas y permite a los equipos desarrollar y verificar código en pilas tecnológicas actuales.
Para organizaciones grandes con varias líneas de desarrollo resulta útil la agrupación de reglas. Los administradores pueden combinar conjuntos de reglas y asignarlos a diferentes proyectos, eligiendo solo lo relevante para cada equipo. Esto simplifica la configuración, acelera la verificación y ayuda a mejorar la calidad del análisis estático sin ruido innecesario.
La compañía señala que el objetivo de la actualización es hacer SAST más gestionable e "inteligente" a nivel de pila y framework concretos. Según Sergey Sinyakov, responsable de la línea de producto Application Security, el nuevo mecanismo de reglas amplía la lógica experta del análisis y permite adaptar con seguridad la herramienta a las particularidades de la aplicación sin modificar el núcleo.
Los usuarios actuales de PT Application Inspector pueden actualizar la licencia y obtener acceso a la nueva funcionalidad en condiciones especiales — a través de su gestor o mediante una solicitud en el sitio web de Positive Technologies.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla