Теория эволюции Solar appScreener: от зарождения до наших дней

В этом году наша компания празднует десять лет на рынке, и в нашем портфеле есть продукт-ровесник — Solar appScreener, решение для безопасной разработки. В честь юбилея продукта расскажем о нем и этапах его эволюции от первого запуска до одного из флагманов «Солара».

Наш новый продукт — тогда он назывался Solar inCode — начал свою жизнь в «красном океане»: на высококонкурентном рынке решений по безопасной разработке и анализу кода, где за место под солнцем боролись иностранные вендоры, на тот момент бесспорные лидеры, и российские разработчики, уже два-три года работавшие над своими продуктами.

Интерес поставщиков решений соответствовал спросу. Проблема безопасной разработки приложений в 2015 стала наглядно видна не только отраслевому сообществу, но и широкой общественности. Более чем в 75% успешных кибератак эксплуатировались уязвимости ПО, в том числе самых известных и распространенных систем. Взлом российских и иностранных приложений приводил к крупным утечкам данных миллионов пользователей. Все это следствие недостатков привычных пользовательских сервисов, от которых они страдают и сегодня: недостаточный контроль безопасности кода на этапе разработки, риски цепочек поставок, использование непроверенных библиотек открытого кода.

Поэтому у команды будущего Solar appScreener не было сомнений, что российская технология для анализа безопасности приложений будет востребованной несмотря на конкуренцию. Авторы решили сделать продукт, ориентированный на отечественные компании, на родном языке, с понятными рекомендациями, четким анализом и наукоемкими технологиями под капотом.

Бюджет на разработку у нового решения был скромный. Команда понимала: чтобы гарантировать, что будут средства на новый этап развития, нужны первые продажи уже сейчас. Для этого они выбрали стратегию: исходить из потребностей клиента, быть с ними в диалоге, чтобы в первую очередь предлагать заказчикам именно те фичи, которые им интересны. Так, первыми доступными сценариями стали бинарный анализ мобильных приложений и поддержка ключевых бэкенд-языков (Java, Scala, Kotlin). Такой практичный подход помог получить быстрый отклик от рынка.

И в октябре 2015 года, когда состоялась первая полноценная демонстрация продукта, команда уже могла продемонстрировать несколько солидных кейсов и отзывов первых клиентов.

Эту формулу естественного отбора Чарльз Дарвин повторил за Гербертом Спенсером: выживет тот, кто лучше всего адаптируется к внешним обстоятельствам. Для ИБ-решения определяющим обстоятельством, конечно, являются потребности клиента в сфере кибербезопасности.

Команда appScreener выбрала тактику быстрой разработки под задачи клиента. Однако это требует квалифицированных разработчиков, а их экспертиза дорого стоит. Поэтому, если на первых порах случалось так, что для быстрого наращивания функциональности не хватало ресурсов, команда предлагала другие пути выполнения запроса.

Так, гибко отвечая на запросы рынка, команда развивала продукт, работала над интеграцией продукта с репозиториями, баг-трекерами, CI/CD-серверами и расширяла партнерскую сеть. К 2017 году эксперту ставили Solar appScreener в один ряд с мастодонтами мирового рынка AppSec.

К такому выводу команда пришла, оценив достижения за пять лет жизни продукта. Если до этого будущее Solar appScreener напрямую зависело от продаж, то теперь обороты позволяли более амбициозно и стратегически планировать его развитие. Но для мощного роста требовались не менее мощные изменения.

Сильной стороной продукта был модуль SAST для статического анализа кода, но на основе только одного модуля нельзя успевать за рынком, а тем более лидировать на нем. Отрасль тоже не стояла на месте: за пять лет вырос спрос на практики безопасной разработки (DevSecOps), облачные сервисы сформировали запрос на динамический анализ кода и функционал для работы с приложениями на опенсорсе.

Поэтому и Solar appScreener прошел масштабную трансформацию: из сканера приложений в комплексную платформу для проверки безопасности приложений, объединяющую модули SAST, DAST, SCA.

И, кстати, именно в этот момент он обрел свое нынешнее имя — полное обновление и практически перерождение.

Такой зрелости Solar appScreener достиг к 2023 году: стал единственным российским анализатором с поддержкой кода на 36 языках программирования и объединил все ключевые модули.

Статический анализ кода (SAST) помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки.

Динамический анализ кода (DAST) анализирует работающие приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.

Анализ состава ПО (SCA) позволяет выявить зависимости и уязвимости в используемых open-source-библиотеках и снизить риски для разработки приложений. Для этого используются стандартные базы уязвимостей и собственные данные «Солара» об актуальных угрозах, базирующиеся на нашем огромном опыте защиты российских компаний.

Анализ безопасности цепочки поставок ПО (SCS) позволяет оценить риски и сформировать рейтинг безопасности каждого стороннего компонента по таким критериям как репутация автора, активность сообщества, внимание к безопасности и другим.

Модуль анализа OSA, добавленный в 2024 году, включает в себя два вида анализа, SCA и SCS. Анализ лицензионных рисков также помогает отслеживать политики при использовании сторонних компонентов, оценивает критичность использования той или иной библиотеки и позволяет избежать юридических рисков.

Так считают сторонники экосистемной теории эволюции. И мы тоже замечаем, что растет зрелость не только технологий кибербезопасности, но и отношения к ним.

Еще 10 лет назад многим клиентам нужно было объяснять, что такое безопасная разработка, зачем она нужна и что случится, если не проверять код. А те немногие, кто внедряли DevSecOps, полагались на ручной анализ кода и писали служебные записки с обнаруженными уязвимости.

Сейчас Solar appScreener уже используют более 200 компаний в самых разных отраслях. Все процессы безопасной разработки автоматизируются, технологии становятся более продвинутыми, используются возможности ИИ.

Решения этого класса востребованы как никогда. Для задач импортозамещения и в силу высокой распространенности цифровых систем растет и софтверный рынок, и темпы разработки. С помощью опенсорса компании ускоряют выход новых продуктов и оптимизируют затраты, но здесь же таятся и риски атак через цепочку поставок ПО. Solar appScreener помогает разработчикам обогащать рынок новыми отечественными технологиями без компрометации безопасности.

У эволюции нет конечной цели, формы и вершины — это бесконечный процесс адаптации в ответ на изменяющиеся обстоятельства, у которого нет предопределенного результата. Поэтому Solar appScreener обязательно продолжится развиваться, а каким именно будет его будущее, зависит во многом от новых поколений.

Сегодня Solar appScreener используется в учебном процессе множества вузов, готовящих DevOps и DevSecOps-инженеров. Бесплатными лицензиями для обучения пользуется более 1 000 студентов технических специальностей. Они на практике прокачивают навыки анализа кода веб- и мобильных приложений, а также собственного ПО.

Еще один вклад в будущее со стороны Solar appScreener — это доступные инструменты безопасной разработки для небольших команд, IT-стартапов, которые пока не могут позволить себе продукты по анализу кода. Для них мы открыли доступ к модулю анализа сторонних компонентов OSA, который сочетает несколько видов анализа кода. Этой версией уже пользуются более 50 небольших компаний.

Молодые специалисты и молодые компании играют огромную роль в создании новые решений, прорывных технологий и просто удобных приложений, которыми пользуются тысячи пользователей или другие организации. Поддерживая их, мы поддерживаем отрасль завтрашнего дня.

Реальная защита, а не имитация в генетике нашего бренда. Поэтому Solar appScreener рядом с теми, кто творит будущее — и планируем быть рядом еще не одно десятилетие!