Облачное решение «Солар» для анализа open source

--> Дата: Июл 25, 2025 0

Анализ состава ПО (SCA)Анализаторы исходного кода Выявление уязвимостей ПО с открытым кодом (Open Source)Разработка ПО Солар (ГК Ростелеком)

Группа компаний «Солар» запустила облачное решение на базе продукта Solar appScreener для анализа безопасности компонентов open source. Продукт ориентирован на команды разработки внутри компаний, ИТ-компании, работающие в контуре корпораций, и стартапы в сфере заказной разработки. Запуск решения, отмечают в «Солар», отражает растущий интерес IT-рынка к вопросам безопасности в софтверной индустрии и расширению практик Secure SDLC (secure software development lifecycle) на внешних подрядчиков.

По данным аналитики Solar appScreener, до 80% кода современных приложений составляют сторонние и open source-компоненты. При этом 95% компаний используют сторонние библиотеки для ускорения выхода продукта на рынок, оптимизации затрат и концентрации на основной функциональности своих решений. Однако массовое использование библиотек open source сопровождается рядом рисков: 79% сторонних библиотек не обновляются, отсутствует контроль зависимостей, регулярно выявляются критические уязвимости (например, Log4j, OpenSSL).

Далее, в 2024 г. число уязвимостей в компонентах открытого кода выросло на 98%, при этом число библиотек «опенсорса» – всего на 25%. Таким образом, количество угроз растет в четыре раза быстрее, чем объем компонентов «открытого кода».

Как комментируют в «Солар», наблюдается устойчивый тренд: с одной стороны, растет скорость разработки, с другой – качество управления зависимостями open source остается на очень низком уровне. Все это создает риски: уязвимости попадают в выпущенные на рынок приложения и обнаруживаются уже в ходе их использования заказчиками и пользователями. Большинство решений для проверки open source чаще всего ориентированы на крупные компании с большими отделами разработки и ИБ и недоступны ИТ-стартапам. Поэтому в компании решили сделать доступный инструмент безопасной разработки, который будет удобен даже небольшим командам разработки без выделенного отдела ИБ.

С учетом потребностей малых команд разработки внутри компаний и стартапов «Солар» запустил на базе платформы Solar appScreener облачное решение для автоматического анализа компонентов открытого кода. В его основе – модуль анализа сторонних компонентов OSA, сочетающий в себе несколько видов анализа.

В первую очередь, это SCA-анализ для проверки состава ПО. Технология SCA анализирует используемые open source-библиотеки и зависимости на наличие уязвимостей и снижает риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки.

SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров – от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ).

Для доступа к инструментам безопасной разработки в облаке компания оформляет лицензию сроком на год без ограничений по количеству сканирований проектов разработки. Условия лицензии распространяются на одного пользователя от компании, что, по оценке «Солара», является оптимальным сценарием для ИТ-стартапов и небольших компаний-разработчиков ПО.

Для крупных компаний также доступна on-premise версия платформы Solar appScreener для комплексной разработки приложений на основе технологий статического, динамического анализа, анализа состава и цепочки поставок ПО (SAST, DAST, OSA). Комбинированный анализ SAST/OSA выявляет использование уязвимых функций сторонних компонентов в проекте, их источник и снижает количество ложных срабатываний. Таким образом решение оптимизирует процесс DevSecOps за счет более эффективного использования ресурсов.

Облачная версия Solar appScreener поддерживает функционал и отвечает требованиям к надежности ПО, которые распространяются на on-premise версию продукта в рамках Реестра российского ПО Минцифры России, необходимых стандартов по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК № 239.