«Сбер» внедрил отечественную систему для проверки безопасности кода
«Сбер» начал применять российскую платформу для статического анализа защищенности приложений (SAST), отказавшись от зарубежного продукта в рамках программы импортозамещения. Внедрение было организовано так, что разработчики банка не заметили изменений: рабочие процессы не прерывались, а уровень безопасности программного кода повысился.
Курс на замену иностранных технологий «Сбер» взял уже давно. Компания последовательно и тщательно выбирает отечественные продукты для своих систем и сервисов.
Зарубежный инструмент SAST использовался в банке с 2017 года, но со временем перестал удовлетворять как внешним регуляторным нормам, так и внутренним стандартам. Техническое состояние платформы стало вызывать опасения: её архитектура морально устаревала, что снижало надёжность и возможности масштабирования под увеличивающиеся потребности экосистемы «Сбера».
После прекращения иностранным поставщиком выпуска обновлений и полноценной технической поддержки, качество обнаружения уязвимостей перестало расти. Новые типы угроз и стандарты разработки не учитывались, что создавало бреши в защите. Это многократно увеличило нагрузку на команду безопасности приложений (AppSec): для поддержания высокого уровня обнаружения дефектов специалистам приходилось вручную создавать правила для поиска новых уязвимостей.
Критерии выбора
Поиск альтернативы вёлся по строгим параметрам. Основным требованием стало качество проверки. Новая система должна была точно находить реальные проблемы безопасности, не генерируя при этом большого количества ложных срабатываний.
«Сбер» как ключевой банк и технологичная компания не может допускать длительных проверок, замедляющих циклы разработки, поэтому скорость сканирования оказалась столь же важным критерием, как и точность. Банк искал решение, способное оперативно работать даже с крупными и сложными проектами.
В продуктовой экосистеме «Сбера» ежедневно работают тысячи команд, запускающих множество процедур проверки безопасности. Утрата контекста для разработчиков и специалистов по защите данных привела бы к сбоям или полной остановке процессов. Поэтому ключевым требованием к новому решению стала преемственность: полное сохранение архива сканирований, итогов ручных проверок, внутренних политик и конфигураций. Интеграция в текущую инфраструктуру — включая CI/CD, системы управления задачами и корпоративные реестры — должна была быть естественной, без необходимости создания сложных переходных модулей. Также новый инструмент должен был изначально поддерживать внутренние разработки «Сбера», такие как система валидации на основе искусственного интеллекта.
Кроме того, надёжность рассматриваемых решений оценивалась по показателям количества и длительности незапланированных перерывов в работе.
Банк нуждался в поставщике, открытом для плотного сотрудничества. В ходе пилотного внедрения SASTAV его команда, кстати, выпустила несколько десятков обновлений, учитывающих пожелания «Сбера», что продемонстрировало гибкость и отлаженность рабочих процессов.
Тестирование
Соответствие перечисленным условиям проверялось на практике. Оценка проводилась в несколько шагов.
Первоначально анализировалось качество обнаружения угроз. Эксперты «Сбера» проверяли точность выявления инструментом реально существующих уязвимостей. Отчёты тщательно изучались, выборочно проводилась ручная проверка, а результаты сопоставлялись с текущей практикой. Далее исследовалась сама возможность перехода с переносом накопленной информации, истории операций и настроек. Анализировались форматы отчётов, возможности API и способы интеграции. Завершающей фазой стало стресс-тестирование в реальных условиях. SAST подключали параллельно к тысячам действующих проектов и обрабатывали исходный код под пиковой нагрузкой, контролируя стабильность, время отклика и использование ресурсов.
Внедрение
По итогам всестороннего тестирования «Сбер» остановил выбор на SASTAV. Внедрение происходило в период пиковой нагрузки. Переход прошёл беспрепятственно, разработчики и аналитики продолжили работу в знакомых интерфейсах. Фактический момент перехода на новую систему остался для них незаметным.
Весь исторический контекст был сохранён: результаты работы прежнего SAST были полностью перенесены на новую платформу. Удалось избежать повторного появления «старых» проблем, которые уже были проверены и устранены ранее. SASTAV подтвердил способность работать с масштабными проектами, включая монолитные системы объёмом свыше трёх миллионов строк кода, сохраняя при этом приемлемую скорость анализа. После перехода команда безопасности «Сбера» продолжила совершенствовать методы анализа, а внедрение новых правил позволило выявлять уязвимости, которые ранее оставались незамеченными.
Архитектура SASTAV обеспечивает линейное наращивание производительности — для увеличения пропускной способности достаточно подключить дополнительные вычислительные мощности. Это особенно актуально для «Сбера», поскольку количество его цифровых инициатив непрерывно растёт.
Эксплуатация нового инструмента стала значительно удобнее: обслуживающие специалисты отмечают его надёжность и предсказуемость поведения.
SASTAV эффективно заместил иностранный аналог, который был полностью выведен из использования.
Итоги и достижения
«Сбер» приобрёл современный технологический стек для статического анализа исходного кода. SASTAV представляет собой облачно-ориентированное решение.
В настоящее время SASTAV ежедневно выполняет от 8 000 до 15 000 операций сканирования. В рамках централизованной платформы проверок данный статический анализатор в среднем обрабатывает 200–500 тысяч строк кода за один запуск, стабильно справляясь с пиковыми нагрузками до 11 миллионов строк кода одновременно. Такой масштаб охвата гарантирует защищённость всей цифровой экосистемы Сбера, начиная от основных банковских систем и заканчивая сервисами электронной коммерции и облачных решений.
Быстрота проведения сканирований позволяет глубоко внедрить анализ в процессы CI/CD, избегая образования очередей и не замедляя выход обновлений и новых продуктов. Для «Сбера» это имеет принципиальное значение: проверка безопасности является обязательным шагом при внедрении любых изменений. Сканер интегрирован «в разрыв» конвейера: пока проверка на уязвимости не завершена, доработка не может продвинуться дальше. Переход на новый инструмент позволил ускорить данный этап и уменьшить его влияние на сроки выпуска новых продуктов.
Примечательно, что при существенном повышении производительности и отказоустойчивости, потребление ресурсов снизилось примерно на 20–40% в сравнении с прежней платформой.
Благодаря слаженному взаимодействию команд кибербезопасности, ИТ-специалистов и поставщика, работы по импортозамещению прошли незаметно для разработчиков. Ключевыми итогами стали стабильность и повышение уровня защищённости приложений. С момента запуска SASTAV не было зарегистрировано ни одного сбоя, при этом точность обнаружения уязвимостей возросла. SASTAV функционирует, обеспечивая постоянный мониторинг безопасности кода в одной из крупнейших цифровых экосистем страны.
