Всем привет!

На прошлой неделе мы узнали, что наша платформа для комплексной безопасности ПО Solar appScreener вошла в шорт-лист номинации «Продукт года» Tproger Awards. Премия новая, но от сообщества типичных программистов, поэтому их признание для нас очень ценно. Да, коллеги выбрали забавный символ премии — мышь (очень симпатичная). Но если добавить к этой истории немного купеческого символизма с берегов Волги, то сразу вспоминается классика из Мышкина: «Мышка поселись, денежка водись».

Шутки шутками, но эта премия помогла нам посмотреть на appScreener новым взглядом: почему же этот продукт стал одним из ключевых (денежных) в продуктовом портфеле «Солара»? А вот и ответ!

Solar appScreener — это один из первых продуктов ГК «Солар», который развивался вместе с компанией и рынком кибербезопасности с 2015 года. Он прошел путь от первой идеи до зрелого решения, которое используют более 200 компаний — банков и IT-компаний, ритейлеров, энергетических, транспортных и логистических компаний.

В 2015 году «Солар» решил рискнуть и в условиях «кровавого океана» разработал российский AppSec-продукт для отечественных компаний, на русском языке, с понятными рекомендациями, четким анализом и наукоемкими технологиями «под капотом». И уже к 2017 году продукт вошел в перечень мировых решений для безопасной разработки от Gartner наряду с технологиями иностранных разработчиков.

Команда сделала ставку на практичность: первыми доступными сценариями стали бинарный анализ мобильных приложений и поддержка ключевых бэкенд-языков (Java, Scala, Kotlin). Спустя 10 лет развития продукт лидирует среди российских решений, поддерживая анализ кода, написанного на 36 языках программирования.

Сейчас Solar appScreener объединяет на базе одного ядра несколько модулей. Модуль SAST (статический анализ кода) помогает найти уязвимости и недекларированные возможности в исходном коде с первых этапов разработки. Одной из особенностей модуля SAST в Solar appScreener является возможность проведения бинарного анализа (анализа бинарных файлов при отсутствии доступа к исходным кодам). Динамический анализ кода (DAST) анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них. Проекты динамического анализа в Solar appScreener можно привязать к проектам статического анализа и на основе корреляции их результатов получить более точную картину безопасности приложения.

В 2024 году в продукте появился модуль анализа OSA. Он включает в себя два вида анализа SCA и SCS. Анализ состава ПО (SCA) позволяет выявить зависимости и уязвимости в используемых open-source-библиотеках и снизить риски для разработки приложений. В продукте используются стандартные базы уязвимостей, собственные источники данных «Солара» об актуальных угрозах, ориентированных на российские компании. Анализ безопасности цепочки поставок ПО (SCS) позволяет оценить риски, связанные с open source, и сформировать рейтинг безопасности каждого стороннего компонента. Рейтинг строится на базе восьми конкретных метрик: репутация автора, активность сообщества, внимание к безопасности и др. Анализ лицензионных рисков помогает отслеживать лицензионные политики при использовании open-source-компонентов, оценивает критичность использования той или иной библиотеки и позволяет избежать юридических рисков, связанных с лицензиями.

Важным этапом развития стало расширение партнерской сети, интеграция продукта с репозиториями, баг-трекерами, CI/CD-серверами, а также технологическое партнерство с российскими вендорами. В результате к 2025 году 35 компаний в России реализуют проекты для крупных клиентов, формируют комплексные решения на базе собственных продуктов и Solar appScreener. В число ключевых партнеров по безопасной разработке входят ГК Softline, «Инфосистемы Джет», Swordfish, УЦСБ, «Кросс Технолоджис», ГК «Астра», НОТА (входит в Т1 Холдинг) и др.

C позиции задач по импортозамещению и использования в проектах по безопасной разработке в госсекторе Solar appScreener поддерживает необходимые стандарты по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239 и входит в Реестр российского ПО Минцифры России.

ГК «Солар» последовательно расширяет клиентский портфель Solar appScreener с акцентом на компании в сфере e-commerce, финтеха, разработки игр, здравоохранения, логистики, транспорта и госсектора. Будущее продукта связано с постоянным технологическим развитием и расширением возможностей платформы, чтобы соответствовать новым вызовам и трендам в сфере безопасной разработки.

В общем, мыши к деньгам. Совсем скоро будут еще новости о Solar appScreener, который не просто мышей уязвимости ловит, а делает это в 10 раз быстрее, чем команда из 10 котов  AppSec`ов.