«Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

 «Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

 Группа компаний «Солар», архитектор комплексной кибербезопасности, предлагает облачное решение на базе продукта Solar appScreener для анализа безопасности Open Source-компонентов. Продукт ориентирован на команды разработки внутри компаний, IT-компании, работающие в контуре корпораций, и стартапы, работающие в сфере заказной разработки. Запуск решения отражает растущий интерес IT-рынка к вопросам безопасности в софтверной индустрии и расширению практик Secure SDLC (secure software development lifecycle) на внешних подрядчиков.

 Среди основных драйверов для запуска облачного решения «Солар» отмечает несколько направлений. В первую очередь, российский рынок IT-разработки вырос на 40% в 2024 году относительно данных 2023 года (Росстат), при этом число IT-компаний увеличилось на 14%. Важную роль в развитии рынка сыграли IT и ИБ-стартапы, которые занимаются заказной разработкой для крупных компаний. Так, около 38% IT-стартапов работают в сегменте B2B, а четверть из этих компаний выбирают корпорации в качестве основного типа клиентов.

«Мы наблюдаем устойчивый тренд: с одной стороны, растет скорость разработки, с другой — качество управления Open Source-зависимостями остаётся на очень низком уровне. Все это создает риски: уязвимости попадают в выпущенные на рынок приложения и обнаруживаются уже в ходе их использования заказчиками и конечными пользователями. С появлением оборотных штрафов и новых ГОСТов внедрение практик безопасной разработки — это не только вопрос доверия, но и ответственности перед партнерами и клиентами. Большинство решений для проверки Open Source чаще всего ориентированы на крупные компании с большими отделами разработки и ИБ и недоступны IT-стартапам. Поэтому мы решили сделать доступный инструмент по безопасной разработке, который будет удобен даже небольшим командам разработки без выделенного отдела ИБ», — комментирует Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.

С учетом потребностей малых команд разработки внутри компаний и IT-стартапов «Солар» запустил на базе платформы Solar appScreener облачное решение для автоматического анализа компонентов открытого кода. В его основе — модуль анализа сторонних компонентов OSA, сочетающий в себе несколько видов анализа.

В первую очередь, это SCA-анализ для проверки состава ПО. Технология SCA анализирует используемые Open Source-библиотеки и зависимости на наличие уязвимостей и снижает риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки.

SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров — от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ). 

Для доступа к инструментам безопасной разработки в «облаке» компания оформляет лицензию сроком на 1 год без ограничений по количеству сканирований проектов разработки. Условия лицензии распространяются на одного пользователя от компании, что по оценке «Солара» является оптимальным сценарием для IT-стартапов и небольших компаний-разработчиков ПО. 

Для крупных компаний также доступна on-premise версия платформы Solar appScreener для комплексной разработки приложений на основе технологий статического, динамического анализа, анализа состава и цепочки поставок ПО (SAST, DAST, OSA). Комбинированный анализ SAST/OSA выявляет использование уязвимых функций сторонних компонентов в проекте, их источник и снижает количество ложных срабатываний. Таким образом решение оптимизирует процесс DevSecOps за счет более эффективного использования ресурсов. 

«Облачная» версия Solar appScreener поддерживает функционал и отвечает требованиям к надежности ПО, которые распространяются на on-premise версию продукта в рамках Реестра российского ПО Минцифры России, необходимых стандартов по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239.