36 языков, 3 модуля в едином интерфейсе, встроенные цифровые сотрудники и безопасный код для вашего продукта

⭐ Участник Продуктовой Премии Tproger 2025 — проголосовать за кейс можно по ссылке

Solar appScreener разработан для повышения уровня кибербезопасности программного обеспечения путём комплексного анализа на каждом этапе жизненного цикла разработки. Согласно данным отчёта Solar 4RAYS за 2024 год, около 54% инцидентов связаны с уязвимостями веб-приложений.

Межсайтовый скриптинг, SQL-инъекция, неограниченная загрузка файла опасного типа, внедрение команды ОС, обход авторизации — всё это можно найти и исправить заранее. Solar appScreener объединяет статический анализ SAST, динамическое тестирование DAST и проверку сторонних библиотек OSA.

Главная инновация — AI-модули или Цифровые сотрудники, которые работают даже без доступа в Интернет, обучаемые на протяжении семи лет. Они не просто помогают обрабатывать найденные уязвимости, но и сами генерируют исправленный код. Большинство предложенных исправлений разработчики принимают без доработок.

Параметры проекта

История: продукт начал свою историю 10 лет назад внутри российского стартапа. Сегодня поддерживает 36 языков программирования — ABAP, Apex, ASP.NET, COBOL, С#, C/C++, Objective-C, Dart, Delphi, Go, Groovy, HTML5, Java, Java for Android, JavaScript, JSP, Kotlin, LotusScript, Pascal, Perl, PHP, PL/SQL, T/SQL, Python, Ruby, Rust, Scala, Solidity, Swift, TypeScript, VBA, VB.NET, VBScript, Visual Basic 6.0, Vyper, 1C

Анализ бинарных файлов 10 форматов — JAR, WAR, EAR, AAR, DLL, EXE, APK, AAB, IPA, APP

Обучение ИИ: семь лет на тренировку модулей DerTriage AI и DerCodeFix AI

Задача: найти уязвимости в ПО до того, как их найдут хакеры

Какие проблемы можно решить с помощью анализа кода?

1. Избежать финансовые потери: Большинство инцидентов, связанных с кибератаками связано с недостаточной защитой веб-приложений и программного обеспечения, что ведет к значительным финансовым убыткам у компаний. Даже одна уязвимость – может стать причиной, по которой хакеры проникнут в контур компании, где вы работаете.
2. Потеря доверия клиентов: Атаки хакеров негативно влияют на репутацию бренда и доверие потребителей.
3. Несоблюдение нормативных требований: Компании сталкиваются с необходимостью соответствовать строгим требованиям регуляторов, игнорирование которых влечет серьезные последствия.
4. Повышенная нагрузка на команду: Недостаточная автоматизация процессов выявления уязвимостей увеличивает нагрузку на разработчиков, DevSecOps-инженеров и сотрудников информационной безопасности.

Российский рынок характеризуется особыми рисками, такими как целенаправленные атаки на отечественные информационные системы. Использование open-source-библиотек несет дополнительные опасности. Например, деструктивные действия со стороны отдельных представителей open source сообщества. Отсутствие регулярных проверок повышает вероятность появления закладок или слабых мест, что подчеркивает необходимость внедрения специализированных инструментов вроде Solar appScreener.

Архитектура решения

В архитектуре три главных инструмента:

1. OSA (Open Source Analysis): анализ стороннего кода выявляет известные зависимости, проверяет лицензии open-source-библиотек и выявляет риски использования компонент на основании поведения авторов, обеспечивая безопасность поставок и юридическую чистоту проекта.
2. SAST (Static Application Security Testing): Статический анализ обнаруживает уязвимости в исходном коде с первых этапов разработки. Цифровые сотрудники — компоненты, помогающие обрабатывать результаты сканирования основанные на технологии машинного обучения.
3. DAST (Dynamic Application Security Testing): Динамическое тестирование анализирует веб-приложения и ПО, отправляя заведомо неверные данные и проверяя реакцию приложения на них.

Каждый метод дополняет друг друга, создавая комплексную систему анализа. Дополнительно платформа интегрируется с CI/CD-конвейерами, что позволяет минимизировать ручную работу и повысить скорость развертывания обновленных версий.

Ключевые инновации и технические решения номинированного продукт

Solar appScreener кардинально меняет правила игры в обеспечении анализа кода программных продуктов, предлагая идеальный баланс между быстротой разработки и высочайшими стандартами безопасности.

Почему AppScreener выигрывает:

•  Избавление от ложных срабатываний

Проблема ложных срабатываний в инструментах SAST стала камнем преткновения для многих команд. Однако интеллектуальные Цифровые сотрудники решают её окончательно. За счёт семилетнего обучения эти модули мгновенно фильтруют лишние предупреждения, оставляя лишь критически важные уязвимости, нуждающиеся в исправлении. А также предлагают исправленные участки кода для найденной уязвимости. При этом большинство предложенных исправлений принимается без доработок от разработчиков и AppSec-команд.

• Увеличение скорости разработки

Производительность вашей команды растет экспоненциально. Вместо недель ожидания отчётов и кучи задач - теперь отчёт доступен буквально за считанные минуты. Исправления уязвимостей занимают секунды, а не дни. Все это способствует значительному снижению сроков вывода продуктов на рынок (time-to-market) и одновременно сохранению высокого уровня безопасности.

• Интеграция с современной средой разработки

AppScreener идеально встраивается в существующие CI/CD конвейеры и рабочие среды, обеспечивая максимальную совместимость и комфорт для разработчиков. Инструмент легко адаптируется к любым условиям, будь то небольшой стартап или крупная корпорация.

• Уникальная инфраструктура и надежность

Наш продукт разработан в России и прошел самую жесткую сертификацию. Мы предлагаем поддержку широкого спектра популярных языков программирования, в том числе написанных на “устаревших” языках. Это делает AppScreener незаменимым инструментом для компаний любого масштаба.

Основные преимущества AppScreener заключаются в интеграции передовых методов анализа и автоматизации процесса устранения уязвимостей.

Путь от стартапа до стандарта рынка

Продукт начал свою историю внутри российского стартапа, занимающейся консультированием по вопросам безопасности. Команда начала развивать идею продукта в сегменте application security. Процесс включал исследования и разработки, которые в итоге завершились созданием эффективного инструмента для анализа программного обеспечения и приложений. Ряд сотрудников Солар, благодаря своей работе получили научные степени.

Результаты: скорость и экономия

Устранение уязвимостей на поздних стадиях развития ПО или прям перед его выпуском в продакшн обходится существенно дороже, чем ранняя проверка кода на безопасность. appScreener помогает сократить издержки и оптимизировать бюджет.

1. Экономия ресурсов: Раннее выявление и быстрое исправление уязвимостей экономит средства, необходимые для ликвидации последствий серьезных инцидентов.
2. Оптимизация бюджета: Сокращение количества ложных срабатываний за счет новых разработок снижает расходы на обработку данных и привлечение квалифицированных специалистов.
3. Увеличение скорости вывода продукта на рынок: благодаря автоматизированному исправлению ошибок, новые версии продуктов выходят быстрее, сохраняя высокое качество.

Эти показатели подтверждают эффективность инструмента и способствуют повышению конкурентоспособности бизнеса.

Отзывы клиентов

Клиенты отмечают высокую точность обнаружения уязвимостей и удобство использования инструмента. Особенно ценится возможность быстро интегрироваться в существующие процессы разработки и эффективно снижать риски. Использование AppScreener положительно влияет на конкурентоспособность российских продуктов. Открытые кейсы внедрений доступны на сайте от лица людей, которые их давали.

Планы развития

Команда продолжает развивать Solar appScreener, проводя совместные исследования, интересные рынку. Запущена первая в России премия по безопасной разработке совместно с Ассоциацией ФинТех и сообществом FinDevSecOps. В планах — дальнейшее обучение ИИ-моделей.

Реклама. АО «Солар Секьюрити», ИНН 9714069290, erid: 2W5zFJQwYmo