Группа компаний «Солар», архитектор комплексной кибербезопасности, запустила облачное решение на базе продукта Solar appScreener для анализа безопасности Open Source-компонентов. Продукт ориентирован на команды разработки внутри компаний, IT-компании, работающие в контуре корпораций, и стартапы, работающие в сфере заказной разработки. Запуск решения отражает растущий интерес IT-рынка к вопросам безопасности в софтверной индустрии и расширению практик Secure SDLC (secure software development lifecycle) на внешних подрядчиков.
Среди основных драйверов для запуска облачного решения «Солар» отмечает несколько направлений. В первую очередь, российский рынок IT-разработки вырос на 40% в 2024 году относительно данных 2023 года (Росстат), при этом число IT-компаний увеличилось на 14%. Важную роль в развитии рынка сыграли IT и ИБ-стартапы, которые занимаются заказной разработкой для крупных компаний. Так, около 38% IT-стартапов работают в сегменте B2B, а четверть из этих компаний выбирают корпорации в качестве основного типа клиентов.
По данным аналитики Solar appScreener, до 80% кода современных приложений составляют сторонние и Open Source-компоненты. При этом 95% компаний используют сторонние библиотеки для ускорения выхода продукта на рынок, оптимизации затрат и концентрации на основной функциональности своих решений. Однако массовое использование Open Source-библиотек сопровождается рядом рисков: 79% сторонних библиотек не обновляются, отсутствует контроль зависимостей, регулярно выявляются критические уязвимости (например, Log4j, OpenSSL).
Ситуацию также осложняет следующий фактор: в 2024 году число уязвимостей в компонентах открытого кода выросло на 98%, при этом число библиотек «опенсорса» всего на 25%. Таким образом, количество угроз растет в четыре раза быстрее, чем объем компонентов «открытого кода».
В разработке критичных IT-систем, включая решения с обработкой персональных данных, финансовые сервисы и продукты в рамках импортозамещения, сейчас принимает участие несколько подрядчиков. В результате контроль за безопасностью кода на всем протяжении «цепочки поставки» стал важным и актуальным вопросом для софтверной индустрии.
«Мы наблюдаем устойчивый тренд: с одной стороны, растет скорость разработки, с другой — качество управления Open Source-зависимостями остаётся на очень низком уровне. Все это создает риски: уязвимости попадают в выпущенные на рынок приложения и обнаруживаются уже в ходе их использования заказчиками и конечными пользователями. С появлением оборотных штрафов и новых ГОСТов внедрение практик безопасной разработки — это не только вопрос доверия, но и ответственности перед партнерами и клиентами. Большинство решений для проверки Open Source чаще всего ориентированы на крупные компании с большими отделами разработки и ИБ и недоступны IT-стартапам. Поэтому мы решили сделать доступный инструмент по безопасной разработке, который будет удобен даже небольшим командам разработки без выделенного отдела ИБ», — прокомментировал Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.
С учетом потребностей малых команд разработки внутри компаний и IT-стартапов «Солар» запустил на базе платформы Solar appScreener облачное решение для автоматического анализа компонентов открытого кода. В его основе — модуль анализа сторонних компонентов OSA, сочетающий в себе несколько видов анализа.
В первую очередь, это SCA-анализ для проверки состава ПО. Технология SCA анализирует используемые Open Source-библиотеки и зависимости на наличие уязвимостей и снижает риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки.
SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров — от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ).
Для доступа к инструментам безопасной разработки в «облаке» компания оформляет лицензию сроком на 1 год без ограничений по количеству сканирований проектов разработки. Условия лицензии распространяются на одного пользователя от компании, что по оценке «Солара» является оптимальным сценарием для IT-стартапов и небольших компаний-разработчиков ПО.
Для крупных компаний также доступна on-premise версия платформы Solar appScreener для комплексной разработки приложений на основе технологий статического, динамического анализа, анализа состава и цепочки поставок ПО (SAST, DAST, OSA). Комбинированный анализ SAST/OSA выявляет использование уязвимых функций сторонних компонентов в проекте, их источник и снижает количество ложных срабатываний. Таким образом решение оптимизирует процесс DevSecOps за счет более эффективного использования ресурсов.
«Облачная» версия Solar appScreener поддерживает функционал и отвечает требованиям к надежности ПО, которые распространяются на on-premise версию продукта в рамках Реестра российского ПО Минцифры России, необходимых стандартов по обеспечению кибербезопасности, включая ГОСТ Р
