Поделиться
С помощью Solar appScreener проверено более 100 млрд строк кода за 10 лет
Платформа для комплексной безопасности разработки ПО Solar appScreener, один из первых продуктов ГК «Солар», который развивался вместе с компанией и рынком кибербезопасности с 2015 г., за 10 лет продукт прошел путь от первой идеи до зрелого решения, которое стал частью процессов безопасной разработки для более 200 компаний – банков и ИТ-компаний, ритейлеров, энергетических, транспортных и логистических компаний.
В 2015 г. лидерство иностранных вендоров в сфере анализа кода и безопасной разработки было бесспорным: большую долю российского рынка занимали решения Fortify (Hewlett-Packard), AppScan (IBM), Checkmarx. Но «Солар» решил рискнуть и разработал российский AppSec-продукт для отечественных компаний, на русском языке, с понятными рекомендациями, четким анализом и наукоемкими технологиями «под капотом». И уже к 2017 г. Solar appScreener вошел в перечень мировых решений для безопасной разработки от Gartner наряду с технологиями иностранных разработчиков.
Эксперты «Солара» сделали ставку на практичность: первыми доступными сценариями стали бинарный анализ мобильных приложений и поддержка ключевых бэкенд-языков (Java, Scala, Kotlin). Спустя 10 лет развития продукт лидирует среди российских решений, поддерживая анализ кода, написанного на 36 языках программирования.
Сейчас Solar appScreener объединяет на базе одного ядра несколько модулей. Модуль SAST (статический анализ кода) помогает найти уязвимости и недекларированные возможности в исходном коде с первых этапов разработки. Одной из особенностей модуля SAST в Solar appScreener является возможность проведения бинарного анализа (анализа бинарных файлов при отсутствии доступа к исходным кодам). Динамический анализ кода (DAST) анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них. Проекты динамического анализа в Solar appScreener можно привязать к проектам статического анализа и на основе корреляции их результатов получить более точную картину безопасности приложения.
В 2024 г. в продукте появился модуль анализа OSA. Он включает в себя два вида анализа SCA и SCS. Анализ состава ПО (SCA) позволяет выявить зависимости и уязвимости в используемых open-source-библиотеках и снизить риски для разработки приложений. В продукте используются стандартные базы уязвимостей, собственные источники данных «Солара» об актуальных угрозах, ориентированных на российские компании. Анализ безопасности цепочки поставок ПО (SCS) позволяет оценить риски, связанные с open source, и сформировать рейтинг безопасности каждого стороннего компонента. Рейтинг строится на базе восьми конкретных метрик: репутация автора, активность сообщества, внимание к безопасности и др. Анализ лицензионных рисков помогает отслеживать лицензионные политики при использовании open-source-компонентов, оценивает критичность использования той или иной библиотеки и позволяет избежать юридических рисков, связанных с лицензиями.
Важным этапом развития стало расширение партнерской сети, интеграция продукта с репозиториями, баг-трекерами, CI/CD-серверами, а также технологическое партнерство с российскими вендорами. В результате к 2025 г. 35 компаний в России реализуют проекты для крупных клиентов, формируют комплексные решения на базе собственных продуктов и Solar appScreener. В число ключевых партнеров по безопасной разработке входят ГК Softline, «Инфосистемы Джет», Swordfish, УЦСБ, «Кросс Технолоджис», ГК «Астра», «Нота» (входит в «Т1 Холдинг») и др.
C позиции задач по импортозамещению и использования в проектах по безопасной разработке в госсекторе Solar appScreener поддерживает необходимые стандарты по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239 и входит в реестр российского ПО Минцифры России.
«За 10 лет мы прошли путь от идеи AppSec-продукта до зрелого решения, которое на равных конкурирует с разработками иностранных и российских вендоров. Важным фактором для развития стала подход «от клиента» − мы разрабатывали Solar appScreener и одновременно помогали крупным компаниям выстраивать полноценный цикл безопасной разработки, взаимно обогащая экспертизу нашей команды и специалистов из российского бизнеса и госсектора. Таким образом мы создали продукт, который отвечает задачам разных категорий разработчиков «здесь и сейчас» и обладает необходимым потенциалом для дальнейшего технологического развития вместе с IT-индустрией», − сказал Владимир Высоцкий, руководитель по развитию бизнеса ПО Solar appScreener.
Поделиться
Короткая ссылка
