ГК «Солар» запустила облачное решение по анализу Open Source для команд ИТ-разработки и стартапов

Группа компаний «Солар», архитектор комплексной кибербезопасности, предлагает облачное решение на базе продукта...

Группа компаний «Солар», архитектор комплексной кибербезопасности, предлагает облачное решение на базе продукта Solar appScreener для анализа безопасности Open Source-компонентов. Продукт ориентирован на команды разработки внутри компаний, ИТ-компании, работающие в контуре корпораций, и стартапы, работающие в сфере заказной разработки. Запуск решения отражает растущий интерес ИТ-рынка к вопросам безопасности в софтверной индустрии и расширению практик Secure SDLC (secure software development lifecycle) на внешних подрядчиков.

Среди основных драйверов для запуска облачного решения «Солар» отмечает несколько направлений. В первую очередь, российский рынок ИТ-разработки вырос на 40% в 2024 г. относительно данных 2023 г. (Росстат), при этом число ИТ-компаний увеличилось на 14%. Важную роль в развитии рынка сыграли ИТ- и ИБ-стартапы, которые занимаются заказной разработкой для крупных компаний. Так, около 38% ИТ-стартапов работают в сегменте B2B, а четверть из этих компаний выбирают корпорации в качестве основного типа клиентов.

По данным аналитики Solar appScreener, до 80% кода современных приложений составляют сторонние и Open Source-компоненты. При этом 95% компаний используют сторонние библиотеки для ускорения выхода продукта на рынок, оптимизации затрат и концентрации на основной функциональности своих решений. Однако массовое использование Open Source-библиотек сопровождается рядом рисков: 79% сторонних библиотек не обновляются, отсутствует контроль зависимостей, регулярно выявляются критические уязвимости (например, Log4j, OpenSSL).

Ситуацию также осложняет следующий фактор: в 2024 г. число уязвимостей в компонентах открытого кода выросло на 98%, при этом число библиотек опенсорса всего на 25%. Таким образом, количество угроз растет в четыре раза быстрее, чем объем компонентов открытого кода.

В разработке критичных ИТ-систем, включая решения с обработкой персональных данных, финансовые сервисы и продукты в рамках импортозамещения, сейчас принимает участие несколько подрядчиков. В результате контроль за безопасностью кода на всем протяжении «цепочки поставки» стал важным и актуальным вопросом для софтверной индустрии.

«Мы наблюдаем устойчивый тренд: с одной стороны, растет скорость разработки, с другой — качество управления Open Source-зависимостями остаётся на очень низком уровне. Все это создает риски: уязвимости попадают в выпущенные на рынок приложения и обнаруживаются уже в ходе их использования заказчиками и конечными пользователями. С появлением оборотных штрафов и новых ГОСТов внедрение практик безопасной разработки — это не только вопрос доверия, но и ответственности перед партнерами и клиентами. Большинство решений для проверки Open Source чаще всего ориентированы на крупные компании с большими отделами разработки и ИБ и недоступны ИТ-стартапам. Поэтому мы решили сделать доступный инструмент по безопасной разработке, который будет удобен даже небольшим командам разработки без выделенного отдела ИБ», — сказал Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.

С учетом потребностей малых команд разработки внутри компаний и ИТ-стартапов «Солар» запустил на базе платформы Solar appScreener облачное решение для автоматического анализа компонентов открытого кода. В его основе — модуль анализа сторонних компонентов OSA, сочетающий в себе несколько видов анализа.

В первую очередь, это SCA-анализ для проверки состава ПО. Технология SCA анализирует используемые Open Source-библиотеки и зависимости на наличие уязвимостей и снижает риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки.

SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров — от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ).

Для доступа к инструментам безопасной разработки в «облаке» компания оформляет лицензию сроком на 1 год без ограничений по количеству сканирований проектов разработки. Условия лицензии распространяются на одного пользователя от компании, что по оценке «Солара», является оптимальным сценарием для ИТ-стартапов и небольших компаний-разработчиков ПО.

Для крупных компаний также доступна on-premise-версия платформы Solar appScreener для комплексной разработки приложений на основе технологий статического, динамического анализа, анализа состава и цепочки поставок ПО (SAST, DAST, OSA). Комбинированный анализ SAST/OSA выявляет использование уязвимых функций сторонних компонентов в проекте, их источник и снижает количество ложных срабатываний. Таким образом решение оптимизирует процесс DevSecOps за счет более эффективного использования ресурсов.

Облачная версия Solar appScreener поддерживает функционал и отвечает требованиям к надежности ПО, которые распространяются на on-premise-версию продукта в рамках реестра российского ПО Минцифры России, необходимых стандартов по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239.

Адрес новости:
https://safe.cnews.ru/news/line/2025-07-15_gk_solar_zapustila_oblachnoe