05.11.2025 13:24
SolarSecurity 0 98 Источник

История Solar appScreener началась в одной из российских IT-компаний, в которой тогда работала команда основателей «Солара». Они занимались консалтинговым бизнесом и наблюдали кардинальные изменения на рынке, которые стали почвой для будущей разработки продукта в сегменте application security.

«Мы наращивали экспертизу на реальных проектах и тогда уже пробовали свои силы, как интегратор, предлагая зарубежные продукты по application security нашим заказчикам, проводили десятки кастдевов, чтобы понять, что нужно бизнесу», − рассказывают авторы продукта.

К 2014-2015 гг. проблема безопасной разработки приложений стала острой и заметной не только для отраслевого сообщества, но и регулярно привлекала внимание общественности. Более чем в 75% успешных кибератак уже тогда эксплуатировались «дыры» в ПО, которое в то время было самых слабым звеном с т.з. технической защиты. Например, 15% от всего количества опубликованных уязвимостей приходилось на уязвимости для платформы Android. Громким событием первой половины 2010-х также был хакерский взлом AppStore, в ходе которого в ряд приложений был внедрен вредоносный код XCodeGhost.

Крупные утечки в результате взлома российских и иностранных приложений показали, насколько уязвимы привычные пользовательские сервисы, которые и сейчас страдают от тех же самых «болезней»: недостаточный контроль безопасности кода на этапе разработки, риски цепочек поставок, использование непроверенных библиотек открытого кода.

Так возникла идея российского AppSec-продукта: для отечественных компаний, на родном языке, с понятными рекомендациями, четким анализом и наукоемкими технологиями под капотом.

Источник: Архивы ГК "Солар"
Источник: Архивы ГК "Солар"

2015: Один из первых на борту "Солара", или как мы с одной идеей решили покорить мир

На борту «Солара», который в 2015 году вышел на рынок кибербезопасности как классический стартап, было всего несколько продуктов. В их число вошли разработки в сфере IDM-, DLP-, SWG-систем и будущий Solar appScreener.

«Тогда наш продукт назывался Solar inCode. У нас был прототип, небольшой бюджет на разработку и понимание, что российская технология для анализа безопасности приложений будет востребованной. При этом у нас не было гарантии, что, оплатив разработку на квартал, у нас будут деньги на новый этап развития продукта. Мы шли сугубо от продаж, старались сделать интересные рынку «фичи».

Источник: Архивы ГК «Солар». Solar inCode / Solar appScreener 2015
Источник: Архивы ГК «Солар». Solar inCode / Solar appScreener 2015

Несмотря на скромный бюджет на разработку, уже к октябрю 2015 года команда «Солара» провела первую полноценную демонстрацию Solar inCode для своих клиентов в одном из небоскребов Москва-Сити. На момент запуска у компании уже были первые продажи и отзывы клиентов, которые были важным аргументом для новых заказчиков.

В 2015 году лидерство иностранных вендоров в сфере анализа кода и безопасной разработки было бесспорным: большую долю рынка занимали решения Fortify (Hewlett-Packard), AppScan (IBM), Checkmarx. Российские вендоры тоже пробовали свои силы: с 2013 года существовал сканер PT Application Inspector, InfoWatch также инвестировал в разработку похожего продукта. Поэтому будущий Solar appScreener изначально оказался буквально в «красном океане» … и выжил.

2016-2019: Мы выбрали тактику быстрой разработки продукта под задачи клиента

Команда «Солара» сделала ставку на практичность: первыми доступными сценариями стали бинарный анализ мобильных приложений и поддержка ключевых бэкенд-языков (Java, Scala, Kotlin). Такой подход помог получить первые продажи и референсы в 2015–2016 годах — без «взрывных» маркетинговых вложений, но с быстрым откликом от клиентов.

Источник: Архивы ГК «Солар». Solar inCode / Solar appScreener 2016
Источник: Архивы ГК «Солар». Solar inCode / Solar appScreener 2016

В это время «Солар» столкнулся с типичными для российского рынка проблемами: нехваткой ресурсов и высокой стоимостью квалифицированных разработчиков, что сужало возможности для быстрого наращивания функциональности.

Поэтому команда пошла другим путем: там, где продукту не хватало количества поддерживаемых языков или возможностей интеграции, команда предлагала сервисы ручной экспертизы на льготных условиях — чтобы не терять клиентов и одновременно «подпитывать» его реальными кейсами.

«Например, у одного из клиентов был запрос на анализ кода приложений, разработанных на PHP, который наш продукт тогда не поддерживал. Тогда мы предложили ему сервис по анализу исходного кода с большой скидкой, при этом сохранив условия контракта по уже поддерживаемым языкам. Такая тактика с рядом клиентов позволила нам быстро набрать базу языков, которая закрывала большую часть потребностей компаний», — рассказывает Владимир Высоцкий, руководитель направления по развитию бизнеса ПО Solar appScreener, который присоединился к команде в 2018 году.

На следующем этапе команда сфокусировалась на расширении партнерской сети, интеграции продукта с репозиториями, баг-трекерами, CI/CD-серверами.

Тогда же команда начала свой первый серьезный проект с одним из крупнейших российских ритейлеров. Анализ кода был лишь частью комплексного проекта, в котором «Солар» создавал «под ключ» цикл безопасной разработки мобильных приложений, веб-сайтов и приложений для SAP-систем, поддерживающих бизнес-процессы компании. Этот проект длился почти три года, но позволил привести все процессы AppSec к единому стандарту, поставить на контроль и автоматизировать процессы разработки.

В 2017 году продукт буквально вошел в «Зал славы» решений для безопасной разработки от Gartner наряду с продуктами Checkmarx, Hewlett Packard и другими грандами рынка.

Источник: Gartner, Hype Cycle for Application Security, 2017
Источник: Gartner, Hype Cycle for Application Security, 2017

2020-2022: Мы всегда искали суперход

«Первые пять лет развитие продукта зависело исключительно от продаж. И только к 2020 году будущий Solar appScreener вышел на нужные обороты, что позволило нам приступить к новому этапу развития. Цель была амбициозной — рост как минимум X2», — отмечает Антон Прокофьев, руководитель отдела операционной поддержки Solar appScreener ГК «Солар», который присоединился к команде летом 2020 года.

Модуль SAST (статический анализ кода) к этому моменту был сильной стороной продукта, но только на его основе команда не могла развивать продукт кратными темпами. Изменился и рынок разработки: вырос спрос на практики безопасной разработки (DevSecOps), с развитием облачных сервисов также сформировался запрос на динамический анализ кода и функционал для работы с приложениями, использующими открытый исходный код.

Именно этот «суперход» позволил «Солару» трансформировать сканер приложений в комплексную платформу для проверки безопасности приложений, объединяющую модули SAST, DAST, SCA.

В 2022 года бывший Solar inCode официально переименован в Solar appScreener.

2023-2024: Зрелый Solar appScreener

К 2023 году продукт объединил на базе одного ядра все модули, необходимые для безопасной разработки. За почти 10 лет развития продукт стал единственным российским анализатором с поддержкой кода, написанного на 36 языках программирования.

ABAP, Apex, ASP.NET, COBOL, С#, C/C++, Objective-C, Dart, Delphi, Go, Groovy, HTML5, Java, Java for Android, JavaScript, JSP, Kotlin, LotusScript, Pascal, Perl, PHP, PL/SQL, T/SQL, Python, Ruby, Rust, Scala, Solidity, Swift, TypeScript, VBA, VB.NET, VBScript, Visual Basic 6.0, Vyper, 1C.

Модуль SAST (статический анализ кода) помогает найти уязвимости и недекларированные возможности в исходном коде с первых этапов разработки. Одной из особенностей модуля SAST в Solar appScreener является возможность проведения бинарного анализа (анализа бинарных файлов при отсутствии доступа к исходным кодам).

Динамический анализ кода (DAST) анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них. Проекты динамического анализа в Solar appScreener можно привязать к проектам статического анализа и на основе корреляции их результатов получить более точную картину безопасности приложения.

Анализ состава ПО (SCA) позволяет выявить зависимости и уязвимости в используемых open-source-библиотеках и снизить риски для разработки приложений. В продукте используются стандартные базы уязвимостей, собственные источники данных «Солара» об актуальных угрозах, ориентированных на российские компании

Анализ безопасности цепочки поставок ПО (SCS) позволяет оценить риски, связанные с open source, и сформировать рейтинг безопасности каждого стороннего компонента. Рейтинг строится на базе восьми конкретных метрик: репутация автора, активность сообщества, внимание к безопасности и др.

В 2024 году появился модуль анализа OSA — который включает в себя два вида анализа SCA и SCS. Анализ лицензионных рисков также помогает отслеживать лицензионные политики при использовании open-source-компонентов, оценивает критичность использования той или иной библиотеки и позволяет избежать юридических рисков, связанных с лицензиями.

2025: Безопасная разработка необходима, как воздух

Еще 10 лет назад многим клиентам нужно было объяснять, что такое безопасная разработка, зачем она нужна и что случится, если компания не проверяет код, который пишут разработчики. Эта ситуация напоминает цикл развития любой технологии — от распространения силами ранних последователей, постепенной поддержки большинства до того момента, когда продукт становится таким же необходимым, как и мобильная связь. Сейчас Solar appScreener уже используют более 200 компаний — банки и IT-компании, ритейлеры, энергетические, транспортные и логистические компании и др.

За 10 лет выросла зрелость и продуктов, и самих клиентов. «Еще в 2014-2015 гг. стандартным сценарием был ручной анализ кода: руками проверили, посмотрели, написали служебную записку разработчикам на устранение уязвимостей. В 2025 году наша действительность — это автоматизация всех процессов безопасной разработки (DevSecOps), совершенствование технологий анализа приложений, которые разрабатываются на базе открытого исходного кода, и поиск манипуляций в коде, связанных с применением ИИ», — добавляет Владимир Высоцкий.

При этом, как отмечает команда «Солара» есть и второй полюс безопасной разработки. Например, в 2024 году софтверный рынок вырос на 40% относительно 2023 года, а число компаний выросло на 14%. Основной вклад вносят стартапы, которые занимаются заказной разработкой для крупных компаний.

Важным драйвером этого роста стал открытый исходный код, который уже сейчас используется в софте подавляющего большинства компаний. С помощью опенсорса компании ускоряют выход продукта на рынок и оптимизируют затраты. Но не стоит забывать и о рисках: 79% сторонних библиотек не обновляются, нет контроля уязвимостей и регулярно выявляются критические уязвимости (например, Log4j, OpenSSL).

С одной стороны, растет скорость разработки, с другой — качество управления зависимостями «опенсорса» остаётся на очень низком уровне. «В 2024 году число уязвимостей в компонентах открытого кода выросло на 98%, при этом число библиотек открытого кода — всего на 25%. Количество угроз растет в четыре раза быстрее, чем объем компонентов для разработки», − отмечает Антон Прокофьев.

Зрелый рынок также задает и новые стандарты безопасной разработки. С появлением оборотных штрафов и новых ГОСТов внедрение практик безопасной разработки — это не только вопрос доверия, но и ответственности перед партнерами и клиентами. Сейчас в разработке критичных IT-систем, включая решения с обработкой персональных данных, финансовые сервисы и продукты в рамках импортозамещения, принимает участие несколько подрядчиков. Поэтому контроль за безопасностью кода на всем протяжении «цепочки поставки» становится крайне актуальным для всей IT-индустрии.

2026: Что дальше?

Здесь, как в классическом фичере Forbes, команда Solar appScreener могла бы рассказать о планах развития продукта, расширении команды, инвестициях, покорении новых рынков. Мы ведь так любим рассказы о космических кораблях ?

Но решила рассказать о немного ином будущем…

МГТУ имени Н.Э. Баумана, Новосибирский государственный технический университет, Восточно-Сибирский государственный университет технологий и управления, Казанский национальный исследовательский технологический университет и другие вузы при поддержке «Солара» становятся важными центрами подготовки DevOps и DevSecOps-инженеров для российского IT-рынка. Сейчас бесплатными лицензиями для обучения пользуются более 1000 студентов технических специальностей.  

Они на практике прокачивают навыки анализа кода веб- и мобильных приложений, а так же собственного ПО. Доступ к модулю статического анализа (SAST) помогает им выявлять уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. С помощью модуля динамического анализа (DAST) тестируют отклик веб-приложений на некорректные данные. А с помощью модуля SCA изучают анализ состава ПО (SCA), цепочки поставок (SCS), а также анализ лицензионных рисков и другие возможности для безопасного использования сторонних компонентов в программных продуктах.

Еще один вклад в развитие будущего со стороны Solar appScreener — это доступные инструменты по безопасной разработке для небольших команд, IT‑стартапов, которые пока не могут позволить себе продукты по анализу кода. Их база — это опенсорс, мало времени и мало опыта. При этом они играют огромную роль в создании приложений, которыми пользуются миллионы клиентов финтеха, e-commerce-, медицинских сервисов. Стоит ли экономить на таких рисках для всей отрасли?

Для решения этой задачи «Солар» открыл для небольших IT-компаний доступ к модулю анализа сторонних компонентов OSA, который сочетает несколько видов анализа кода. Этой версией Solar appScreener уже пользуются более 50 небольших компаний.

«Мы ориентируемся не только на профессионалов, но и на новое поколение специалистов по кибербезопасности, которые работают в условиях, кардинально отличающихся от киберландшафта даже пять лет назад. Поэтому так важно учиться реагированию на привычные угрозы и создавать новые технологии и методы защиты. За вами − будущее, а мы всегда рядом ?», — ваш Solar appScreener

Комментарии (0)