Поделиться
ГК «Солар» запустила облачное решение по анализу Open Source для команд ИТ-разработки и стартапов
Группа компаний «Солар», архитектор комплексной кибербезопасности, предлагает облачное решение на базе продукта Solar appScreener для анализа безопасности Open Source-компонентов. Продукт ориентирован на команды разработки внутри компаний, ИТ-компании, работающие в контуре корпораций, и стартапы, работающие в сфере заказной разработки. Запуск решения отражает растущий интерес ИТ-рынка к вопросам безопасности в софтверной индустрии и расширению практик Secure SDLC (secure software development lifecycle) на внешних подрядчиков.
Среди основных драйверов для запуска облачного решения «Солар» отмечает несколько направлений. В первую очередь, российский рынок ИТ-разработки вырос на 40% в 2024 г. относительно данных 2023 г. (Росстат), при этом число ИТ-компаний увеличилось на 14%. Важную роль в развитии рынка сыграли ИТ- и ИБ-стартапы, которые занимаются заказной разработкой для крупных компаний. Так, около 38% ИТ-стартапов работают в сегменте B2B, а четверть из этих компаний выбирают корпорации в качестве основного типа клиентов.
По данным аналитики Solar appScreener, до 80% кода современных приложений составляют сторонние и Open Source-компоненты. При этом 95% компаний используют сторонние библиотеки для ускорения выхода продукта на рынок, оптимизации затрат и концентрации на основной функциональности своих решений. Однако массовое использование Open Source-библиотек сопровождается рядом рисков: 79% сторонних библиотек не обновляются, отсутствует контроль зависимостей, регулярно выявляются критические уязвимости (например, Log4j, OpenSSL).
Ситуацию также осложняет следующий фактор: в 2024 г. число уязвимостей в компонентах открытого кода выросло на 98%, при этом число библиотек опенсорса всего на 25%. Таким образом, количество угроз растет в четыре раза быстрее, чем объем компонентов открытого кода.
В разработке критичных ИТ-систем, включая решения с обработкой персональных данных, финансовые сервисы и продукты в рамках импортозамещения, сейчас принимает участие несколько подрядчиков. В результате контроль за безопасностью кода на всем протяжении «цепочки поставки» стал важным и актуальным вопросом для софтверной индустрии.
«Мы наблюдаем устойчивый тренд: с одной стороны, растет скорость разработки, с другой — качество управления Open Source-зависимостями остаётся на очень низком уровне. Все это создает риски: уязвимости попадают в выпущенные на рынок приложения и обнаруживаются уже в ходе их использования заказчиками и конечными пользователями. С появлением оборотных штрафов и новых ГОСТов внедрение практик безопасной разработки — это не только вопрос доверия, но и ответственности перед партнерами и клиентами. Большинство решений для проверки Open Source чаще всего ориентированы на крупные компании с большими отделами разработки и ИБ и недоступны ИТ-стартапам. Поэтому мы решили сделать доступный инструмент по безопасной разработке, который будет удобен даже небольшим командам разработки без выделенного отдела ИБ», — сказал Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.
С учетом потребностей малых команд разработки внутри компаний и ИТ-стартапов «Солар» запустил на базе платформы Solar appScreener облачное решение для автоматического анализа компонентов открытого кода. В его основе — модуль анализа сторонних компонентов OSA, сочетающий в себе несколько видов анализа.
В первую очередь, это SCA-анализ для проверки состава ПО. Технология SCA анализирует используемые Open Source-библиотеки и зависимости на наличие уязвимостей и снижает риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки.
SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров — от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ).
Для доступа к инструментам безопасной разработки в «облаке» компания оформляет лицензию сроком на 1 год без ограничений по количеству сканирований проектов разработки. Условия лицензии распространяются на одного пользователя от компании, что по оценке «Солара», является оптимальным сценарием для ИТ-стартапов и небольших компаний-разработчиков ПО.
Для крупных компаний также доступна on-premise-версия платформы Solar appScreener для комплексной разработки приложений на основе технологий статического, динамического анализа, анализа состава и цепочки поставок ПО (SAST, DAST, OSA). Комбинированный анализ SAST/OSA выявляет использование уязвимых функций сторонних компонентов в проекте, их источник и снижает количество ложных срабатываний. Таким образом решение оптимизирует процесс DevSecOps за счет более эффективного использования ресурсов.
Облачная версия Solar appScreener поддерживает функционал и отвечает требованиям к надежности ПО, которые распространяются на on-premise-версию продукта в рамках реестра российского ПО Минцифры России, необходимых стандартов по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239.
Короткая ссылка
