Запущено облачное решение по анализу open source

Среди основных драйверов для запуска облачного решения «Солар» отмечает несколько направлений. В первую очередь, российский рынок ИT-разработки вырос на 40% в 2024 году относительно данных 2023 года (Росстат), при этом число ИT-компаний увеличилось на 14%. Важную роль в развитии рынка сыграли ИT- и ИБ-стартапы, которые занимаются заказной разработкой для крупных компаний. Так, около 38% ИT-стартапов работают в сегменте B2B, а четверть из этих компаний выбирают корпорации в качестве основного типа клиентов.

По данным аналитики Solar appScreener, до 80% кода современных приложений составляют сторонние и open source-компоненты. При этом 95% компаний используют сторонние библиотеки для ускорения выхода продукта на рынок, оптимизации затрат и концентрации на основной функциональности своих решений. Однако массовое использование open source-библиотек сопровождается рядом рисков: 79% сторонних библиотек не обновляются, отсутствует контроль зависимостей, регулярно выявляются критические уязвимости (например, Log4j, OpenSSL).

Ситуацию также осложняет следующий фактор: в 2024 году число уязвимостей в компонентах открытого кода выросло на 98%, при этом число библиотек «опенсорса» всего на 25%. Таким образом, количество угроз растет в четыре раза быстрее, чем объем компонентов «открытого кода».

В разработке критичных ИT-систем, включая решения с обработкой персональных данных, финансовые сервисы и продукты в рамках импортозамещения, сейчас принимает участие несколько подрядчиков. В результате контроль за безопасностью кода на всем протяжении «цепочки поставки» стал важным и актуальным вопросом для софтверной индустрии.

«Мы наблюдаем устойчивый тренд: с одной стороны, растет скорость разработки, с другой — качество управления open source-зависимостями остается на очень низком уровне. Все это создает риски: уязвимости попадают в выпущенные на рынок приложения и обнаруживаются уже в ходе их использования заказчиками и конечными пользователями. С появлением оборотных штрафов и новых ГОСТов внедрение практик безопасной разработки — это не только вопрос доверия, но и ответственности перед партнерами и клиентами. Большинство решений для проверки open source чаще всего ориентированы на крупные компании с большими отделами разработки и ИБ и недоступны ИT-стартапам. Поэтому мы решили сделать доступный инструмент по безопасной разработке, который будет удобен даже небольшим командам разработки без выделенного отдела ИБ», — комментирует Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.

С учетом потребностей малых команд разработки внутри компаний и ИT-стартапов «Солар» запустила на базе платформы Solar appScreener облачное решение для автоматического анализа компонентов открытого кода. В его основе — модуль анализа сторонних компонентов OSA, сочетающий в себе несколько видов анализа.В первую очередь, это SCA-анализ для проверки состава ПО. Технология SCA анализирует используемые open source-библиотеки и зависимости на наличие уязвимостей и снижает риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки.

SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров — от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ).

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!