Продукт Solar appScreener — это платформа для обеспечения безопасности разработки программного обеспечения, которая стала одним из первоначальных решений Группы компаний «Солар». С 2015 года он эволюционировал параллельно с развитием компании и рынка кибербезопасности. За десятилетие система прошла путь от концепции до зрелого инструмента, интегрированного в процессы безопасной разработки свыше 200 организаций — банков, ИТ-компаний, ритейлеров, а также предприятий энергетической, транспортной и логистической отраслей.
В 2015 году доминирование зарубежных поставщиков в области анализа кода и безопасной разработки было очевидным: значительную часть российского рынка занимали продукты Fortify (Hewlett-Packard), AppScan (IBM) и Checkmarx. Однако «Солар» принял решение создать отечественное AppSec-решение для российских организаций — с интерфейсом на русском языке, понятными советами, точной диагностикой и передовыми технологиями в основе. Уже к 2017 году Solar appScreener был включен в обзор Gartner среди мировых решений для безопасной разработки наравне с технологиями иностранных производителей.
Специалисты «Солара» сосредоточились на практической ценности: первыми реализованными возможностями стали бинарный анализ мобильных приложений и работа с основными серверными языками (Java, Scala, Kotlin). Спустя 10 лет усовершенствований продукт занимает ведущие позиции среди российских аналогов, обеспечивая проверку кода на 36 языках программирования.
Сегодня Solar appScreener объединяет несколько модулей на общей платформе. Модуль SAST (статический анализ кода) помогает обнаруживать уязвимости и скрытые возможности в исходном коде с ранних стадий создания программ. Особенностью SAST в Solar appScreener является проведение бинарного анализа (проверка исполняемых файлов при недоступности исходного кода). Динамический анализ (DAST) тестирует веб-приложения, направляя специально искаженные данные и отслеживая их обработку. Проекты динамического анализа в Solar appScreener можно связать с проектами статического анализа, что позволяет за счет сопоставления результатов получить более полное представление о защищенности приложения.
В 2024 году в системе появился модуль OSA. Он включает два вида проверки: SCA и SCS. Анализ компонентов программного обеспечения (SCA) выявляет зависимости и уязвимости в применяемых open-source библиотеках, снижая риски при разработке приложений. В продукте используются общедоступные базы уязвимостей, а также собственные источники данных «Солара» о текущих угрозах, актуальных для российских предприятий. Анализ безопасности цепочек поставок программного обеспечения (SCS) позволяет оценить риски, связанные с открытым кодом, и сформировать показатель защищенности для каждого стороннего компонента. Рейтинг основывается на восьми конкретных метриках: репутация разработчика, активность сообщества, внимание к вопросам безопасности и другие. Анализ лицензионных рисков помогает контролировать политики лицензирования при использовании open-source компонентов, оценивает степень критичности применения каждой библиотеки и позволяет предотвратить юридические проблемы, связанные с лицензиями.
Существенным шагом в эволюции стало увеличение числа партнеров, подключение решения к системам хранения кода, отслеживания ошибок, серверам непрерывной интеграции и доставки, а также стратегическое сотрудничество с отечественными производителями. Как следствие, к 2025 году 35 российских организаций будут осуществлять проекты для значимых заказчиков, создавая комплексные предложения на основе собственных разработок и Solar appScreener. Среди основных партнеров в области безопасной разработки значатся ГК Softline, «Инфосистемы Джет», Swordfish, УЦСБ, «Кросс Технолоджис», ГК «Астра», «Нота» (часть «Т1 Холдинг») и другие.
С точки зрения импортозамещения и применения в проектах безопасной разработки для государственных структур Solar appScreener соответствует требуемым стандартам кибербезопасности, в том числе ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказу ФСТЭК №239, и включен в перечень российского программного обеспечения Минцифры России.
«За десятилетие мы трансформировались от концепции AppSec-продукта до зрелой платформы, которая на равных соперничает с решениями зарубежных и российских производителей. Ключевым элементом роста стала ориентация на потребности клиента — мы параллельно совершенствовали Solar appScreener и содействовали крупным корпорациям в организации полного цикла безопасной разработки, обогащая опыт нашей команды и специалистов из российского бизнеса и госсектора. В итоге мы получили продукт, который решает актуальные задачи разнообразных групп разработчиков и обладает достаточным заделом для будущего технологического прогресса совместно с IT-отраслью», — отметил Владимир Высоцкий, руководитель по развитию бизнеса ПО Solar appScreener.
