ГК «Солар», ведущий провайдер комплексной кибербезопасности в России, выпустил крупное обновление комплексной платформы для безопасной разработки ПО Solar appScreener.
В новой версии продукта 3.16 приоритетным направлением стал модуль статического анализа (SAST), который сокращает сроки анализа кода и в 10 раз увеличивает емкость команды AppSeс без роста затрат на ФОТ. Кроме того, в новой версии продукта улучшен функционал модуля OSA для проверки опенсорс компонентов, включая лицензионные риски.

SAST: скорость и глубина анализа в одном флаконе
Приоритетом стало «сердце» статического анализатора (SAST), который теперь использует все возможности современных многоядерных процессоров для параллельного анализа файлов. Администраторы могут гибко настраивать количество используемых ядер или вовсе снять ограничения для максимальной производительности. Это напрямую влияет на скорость сканирования, получение результатов анализа и таким образом сокращает время разработки, затраты на инфраструктуру.

Результаты более глубокого анализа и разбор уязвимостей и дальнейший кодфикс можно передать специально обученному ИИ-плагину, который работает в закрытом контуре (on-premise), что исключает риски утечки данных. LLM-модель, обученная на данных софтверных проектов демонстрирует более 90% точности на этапе верификации (триаж) и до 85% на этапе исправления уязвимостей (кодфикс). При этом публичные LLM-сервисы, которые используются для аналогичных задач, пропускают от 40 до 50% уязвимостей в коде.

ИИ-плагин объединяет две технологии международного уровня. Интеллектуальный триаж SAST-результатов Triage использует «сырые» результаты сканирования, автоматически разбирает каждую уязвимость по контексту и выдает список только реальных угроз с пояснением для разработчиков, почему та или иная уязвимость требует исправления. Плагин настраивается под требования разработчика ПО, позволяет применять логику верификации ко всем обнаруженным уязвимостям или только к высокоприоритетным рискам. Таким образом, Solar appScreener сокращает число ложных срабатываний при SAST-анализе и в сотни раз ускоряет устранение уязвимостей, поддерживая производительность команды разработки без ущерба для безопасности софтверного продукта.

ИИ-технология автоматического исправления уязвимостей CodeFix предоставляет готовые сгенерированные исправления, контекстные патчи кода для подтвержденных уязвимостей. Исправления создаются в соответствии с принятыми стандартами кодирования, что обеспечивает читабельность, производительность кода и решает проблемы безопасности. Разработчик может быть уверен в корректной проверке кода и получает дополнительный источник данных для обучения.

«В основе нашей стратегии развития продукта лежит системный подход. В отличие от решений, использующих сторонние ИИ-технологии и LLM для анализа кода, мы полагаемся на проверенное ядро SAST-анализатора. Делегирование этой задачи сторонним моделям может непредсказуемо сказаться на точности. Наш ИИ-плагин – это завершенный продукт, который непрерывно совершенствовался на протяжении семи лет. Его точность в выявлении уязвимостей и кодфиксе достигает 90-95%, при этом возможности публичных ИИ-сервисов для анализа кода позволяют выявлять не более 50-60% уязвимостей», − комментирует Владимир Высоцкий, руководитель отдела развития бизнеса ПО Solar appScreener.

ИИ-плагин в 10 раз увеличивает емкость команды AppSec без роста расходов на ФОТ
Согласно данным исследования HH.ru и «Солара», в 2025 году разрыв между количеством вакансий по безопасной разработке (4,8% от общего числа позиций в ИБ) и количеством резюме (1,5% от общего числа опубликованных профилей в ИБ) приводит к структурному дефициту: специалистов по безопасной разработке в три раза меньше, чем требуется бизнесу. 

При этом растущий рынок разработки еще больше обостряет дефицит кадров. По данным Б1, к более 70% новых корпоративных приложений уже создаются с использованием low-code/no-code и GenAI. Поэтому компании рассматривают ИИ-инструменты, чтобы сбалансировать расходы на DevSecOps, снизить объем рутинных операций, которые выполняют высококвалифицированные специалисты и расходы на ФОТ.

Во многих российских компаниях команды AppSec включают 3-х экспертов по безопасной разработке. Их число зачастую ограничено допустимым размером ФОТ и объективным дефицитом кадров. По оценке HR-специалистов «Солара», годовой фонд оплаты труда команд с учетом всех взносов и годового бонуса, стартует от 9,3 млн рублей для группы сотрудников, включающей двух специалистов с опытом до трех лет и одного профессионала с опытом свыше шести лет.

Возможности ИИ-плагина Solar appScreener повышают емкость команд в 10 раз: он выполняет рутинные операции по триажу и кодфиксу уязвимостей, для которых потребовалось бы 10 AppSec-экспертов. Таким образом команда из 3-х экспертов оставляет за собой право принимать самые важные решения по безопасности приложений, эффективно справляясь с постоянно растущим объемом разработки.

OSA против лицензионных рисков в разработке
В России ежегодно фиксируется около 50 000 судебных споров по интеллектуальным правам на код. Так, юридическое сообщество отмечает, что 67% компаний сталкиваются с нарушениями прав на интеллектуальную собственность, а средняя стоимость судебного спора достигает 2,5 млн рублей. Таким образом практика судебных споров с правообладателями также формирует запрос на регулярную проверку лицензионной чистоты и легальности использования компонентов кода.

Для решения этой задачи «Солар» расширил в новой версии Solar appScreener возможности модуля анализа сторонних компонентов (OSA) и улучшил пользовательский опыт за счет отображения манифестов и подпроектов в «дереве зависимостей». Ключевым обновлением стали новые возможности SCS-анализа. Он позволяет выявлять лицензионные риски, отслеживая политики при использовании библиотек, информируя о надежности автора и критичности использования библиотеки.

Таким образом Solar appScreener выходит за рамки за рамки стандартного процесса AppSec, интегрируясь в экосистему экономической безопасности. Модуль OSA позволяет управлять рисками, связанными с использованием сторонних компонентов. Он анализирует не только взаимосвязи в опенсорс-проектах, но и репутацию их авторов, что позволяет снижать риски при использовании кода от скомпрометированных разработчиков.

Соответствие требованиям регуляторов, отраслевым стандартам и улучшенный пользовательский опыт
В новой версии Solar appScreener реализована настройка для перехода к оценке уязвимостей согласно уровням критичности, обозначенным ФСТЭК России. При её включении во всех существующих проектах в системе уровни критичности станут не «Критический», «Средний», «Низкий» и «Информационный», а «Критический», «Высокий», «Средний» и «Низкий». Также в новой версии добавили поддержку классификации OWASP TOP 2025.

В версии 3.16 «Солар» также улучшает пользовательский опыт для разработчиков. Для проектов С/С++ в Solar appScreener теперь доступен анализ исходного кода, добавлена возможность создавать dataflow-паттерны при анализе кода для языков C/C++, Java, C#, Go, Python и JavaScript, улучшена генерация SBOM-файлов для проектов C# и C/C++.  Также доработано управление агентами SAST и DAST, логирование всего пути генерации SBOM-файлов.

Solar appScreener поддерживает необходимые стандарты по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239 и входит в Реестр российского ПО Минцифры России. Продукт используется в процессах безопасной разработки более 200 компаний – банков и IT-компаний, ритейлеров, энергетических, транспортных и логистических компаний.

По итогам 2025 года 35 IT-партнеров в России реализуют проекты для крупных клиентов на базе собственных продуктов и Solar appScreener. В число ключевых партнеров по безопасной разработке входят ГК Softline, «Инфосистемы Джет», Swordfish, УЦСБ, «Кросс Технолоджис», ГК «Астра», НОТА (входит в Т1 Холдинг) и другие компании.