Как бесплатно проверить ПО на предмет уязвимостей

В силу человеческого фактора разработка программного обеспечения сопряжена с допущением тех или иных ошибок в коде продукта и заложенных в него алгоритмах. Эти недоработки часто носят скрытый характер и не сказываются на функциональности ПО, но могут активно использоваться злоумышленниками для взлома пользовательских компьютеров и доступа к закрытой информации. Во избежание подобных ситуаций следует внимательнейшим образом оценивать выпускаемый софт «на прочность» — справиться с данной задачей может бесплатный онлайновый сервис «СКАТмен», созданный российским IT-вендором «Инферит» (входит в группу компаний Softline).

«СКАТмен» относится к категории инструментов композиционного анализа (Software Composition Analysis, SCA) и позволяет проверять готовое ПО на известные уязвимости без загрузки исходного кода. Решение поддерживает работу с DEB- и RPM‑пакетами, SBOM‑файлами, простыми списками зависимостей, ISO-образами и выявляет уязвимости по данным банка данных угроз ФСТЭК России, а также баз NIST, Debian Security и Red Hat.

Сервис «СКАТмен» предназначен для исследователей софтверных продуктов, сотрудников испытательных лабораторий, органов по сертификации средств защиты информации, а также вендоров, инженеров и специалистов по оценке безопасности программных компонентов и модулей. Благодаря функции анализа уже готового ПО решение можно использовать на этапах сертификации, аттестации и тестирования безопасности. «СКАТмен» экономит время ИБ-экспертов и позволяет софтверным компаниям выпускать более безопасные продукты даже в условиях сжатых сроков.

До конца 2025 года разработчики «СКАТмена» планируют дополнить инструмент инструкцией по проведению композиционного анализа зависимостей в исходном коде ПО. Кроме того, в планах команды «Инферит» — расширение функциональности сканера и включение в его состав средств поиска уязвимостей в программных продуктах для платформ Windows и iOS.