AI в ИБ-отрасли и кибератаки в эпоху информационной войны: подробности программы SOC Forum 2025
Узнать большеПлатформа для комплексной безопасности разработки ПО Solar appScreener – это один из первых продуктов ГК «Солар», который развивался вместе с компанией и рынком кибербезопасности с 2015 года. За 10 лет продукт прошел путь от первой идеи до зрелого решения, которое стал неотъемлемой частью процессов безопасной разработки для более 200 компаний – банков и IT-компаний, ритейлеров, энергетических, транспортных и логистических компаний.
В 2015 году лидерство иностранных вендоров в сфере анализа кода и безопасной разработки было бесспорным: большую долю российского рынка занимали решения Fortify (Hewlett-Packard), AppScan (IBM), Checkmarx. Но «Солар» решил рискнуть и разработал российский AppSec-продукт для отечественных компаний, на русском языке, с понятными рекомендациями, четким анализом и наукоемкими технологиями «под капотом». И уже к 2017 году Solar appScreener вошел в перечень мировых решений для безопасной разработки от Gartner наряду с технологиями иностранных разработчиков.
Эксперты «Солара» сделали ставку на практичность: первыми доступными сценариями стали бинарный анализ мобильных приложений и поддержка ключевых бэкенд-языков (Java, Scala, Kotlin). Спустя 10 лет развития продукт лидирует среди российских решений, поддерживая анализ кода, написанного на 36 языках программирования.
Сейчас Solar appScreener объединяет на базе одного ядра несколько модулей. Модуль SAST (статический анализ кода) помогает найти уязвимости и недекларированные возможности в исходном коде с первых этапов разработки. Одной из особенностей модуля SAST в Solar appScreener является возможность проведения бинарного анализа (анализа бинарных файлов при отсутствии доступа к исходным кодам). Динамический анализ кода (DAST) анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них. Проекты динамического анализа в Solar appScreener можно привязать к проектам статического анализа и на основе корреляции их результатов получить более точную картину безопасности приложения.
В 2024 году в продукте появился модуль анализа OSA. Он включает в себя два вида анализа SCA и SCS. Анализ состава ПО (SCA) позволяет выявить зависимости и уязвимости в используемых open-source-библиотеках и снизить риски для разработки приложений. В продукте используются стандартные базы уязвимостей, собственные источники данных «Солара» об актуальных угрозах, ориентированных на российские компании. Анализ безопасности цепочки поставок ПО (SCS) позволяет оценить риски, связанные с open source, и сформировать рейтинг безопасности каждого стороннего компонента. Рейтинг строится на базе восьми конкретных метрик: репутация автора, активность сообщества, внимание к безопасности и др. Анализ лицензионных рисков помогает отслеживать лицензионные политики при использовании open-source-компонентов, оценивает критичность использования той или иной библиотеки и позволяет избежать юридических рисков, связанных с лицензиями.
Важным этапом развития стало расширение партнерской сети, интеграция продукта с репозиториями, баг-трекерами, CI/CD-серверами, а также технологическое партнерство с российскими вендорами. В результате к 2025 году 35 компаний в России реализуют проекты для крупных клиентов, формируют комплексные решения на базе собственных продуктов и Solar appScreener. В число ключевых партнеров по безопасной разработке входят ГК Softline, «Инфосистемы Джет», Swordfish, УЦСБ, «Кросс Технолоджис», ГК «Астра», НОТА (входит в Т1 Холдинг) и др.
C позиции задач по импортозамещению и использования в проектах по безопасной разработке в госсекторе Solar appScreener поддерживает необходимые стандарты по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239 и входит в Реестр российского ПО Минцифры России.
Владимир Высоцкий
руководитель по развитию бизнеса ПО Solar appScreener
«За 10 лет мы прошли путь от идеи AppSec-продукта до зрелого решения, которое на равных конкурирует с разработками иностранных и российских вендоров. Важным фактором для развития стала подход «от клиента» − мы разрабатывали Solar appScreener и одновременно помогали крупным компаниям выстраивать полноценный цикл безопасной разработки, взаимно обогащая экспертизу нашей команды и специалистов из российского бизнеса и госсектора. Таким образом мы создали продукт, который отвечает задачам разных категорий разработчиков «здесь и сейчас» и обладает необходимым потенциалом для дальнейшего технологического развития вместе с IT-индустрией».
О будущем Solar appScreener
По оценке Б1, решения для обеспечения безопасной разработки являются частью сегмента анализа, контроля и реагирования на угрозы ИБ, это второй по величине сегмент рынка продуктов информационной безопасности. Как отмечают аналитики, этот сегмент в 2025 году может достичь 42 млрд рублей и продолжит рост со среднегодовыми темпами на уровне 14%, до 79 млрд руб. к 2030 году.
В сфере безопасной разработки рыночный спрос поддерживают три ключевых тренда. В первую очередь, это высокая доля кибератак, которые реализуются благодаря уязвимостями ПО и приложений, в 2024 году доля таких инцидентов составила 12% от общего объема зафиксированных случаев. Второй тренд – рост софтверной индустрии. По оценке Б1, в 2024 году почти четверть рынка (24%) ИТ-услуг пришлось на сегмент заказной разработки. Корпоративные и государственные заказчики увеличивали спрос на проектное ПО на фоне тенденции к импортозамещению и инвестиций в цифровую трансформацию.
Третий тренд – это опенсорс и связанный с ним рост кибератак, использующих уязвимости открытого кода. Так, уже 95% компаний-разработчиков используют готовые программные компоненты с открытым исходным кодом (Open Source), что ускоряет реализацию проекта, позволяет сократить затраты, но при этом может создавать дополнительные киберриски в процессе использования решения в дальнейшем.
Зрелый рынок также задает и новые стандарты безопасной разработки. С появлением оборотных штрафов и новых ГОСТов внедрение практик безопасной разработки — это не только вопрос доверия, но и ответственности перед партнерами и клиентами. Сейчас в разработке критичных IT-систем, включая решения с обработкой персональных данных, финансовые сервисы и продукты в рамках импортозамещения, принимает участие несколько подрядчиков. Поэтому контроль за безопасностью кода на всем протяжении «цепочки поставки» становится крайне актуальным для всей IT-индустрии.
Команда Solar appScreener не только развивает продукт с учетом актуальных задач софтверной индустрии, но и инвестирует в подготовку специалистов для отрасли и развитие их компетенций. Так, при поддержке «Солара» МГТУ имени Н.Э. Баумана, Новосибирский государственный технический университет, Восточно-Сибирский государственный университет технологий и управления, Казанский национальный исследовательский технологический университет и другие вузы становятся важными центрами подготовки DevOps и DevSecOps-инженеров для российского IT-рынка. Сейчас бесплатными лицензиями для обучения пользуются более 1000 студентов технических специальностей.
Еще один вклад в развитие отрасли со стороны Solar appScreener – это доступные инструменты по безопасной разработке для небольших команд, IT-стартапов, которые пока не могут позволить себе продукты по анализу кода. При этом они играют огромную роль в создании приложений, которыми пользуются миллионы клиентов финтеха, e-commerce-, медицинских сервисов. Для решения этой задачи «Солар» разработал для небольших IT-компаний облачное решение, открывающее доступ к модулю анализа сторонних компонентов OSA, который сочетает несколько видов анализа кода.
ГК «Солар» последовательно расширяет клиентский портфель Solar appScreener с акцентом на компании в сфере e-commerce, финтеха, разработки игр, здравоохранения, логистики, транспорта и госсектора. Будущее продукта связано с постоянным технологическим развитием и расширением возможностей платформы, чтобы соответствовать новым вызовам и трендам в сфере безопасной разработки.
