26 Марта 2026 10:00 26 Мар 2026 10:00 |

Поделиться

«Сбер» перешел на российское решение для анализа кода

«Сбер» взял курс на импортозамещение еще несколько лет назад. Компания планомерно и вдумчиво отбирает российские решения для систем и сервисов.

Иностранный SAST использовался в «Сбере» с 2017 года, но в определенный момент перестал соответствовать как регуляторным, так и внутренним требованиям. Техническое состояние платформы стало вызывать вопросы: архитектура постепенно устаревала, а это негативно сказывалось на её надежности и способности масштабироваться под растущие нагрузки экосистемы «Сбера».

После того, как зарубежный вендор прекратил обновления и полноценную техническую поддержку, качество детекции стагнировало. Новые классы уязвимостей и стандарты кодирования не учитывались, образуя пробелы в безопасности. Всё это в разы увеличило нагрузку на команду безопасности приложений (AppSec): чтобы поддерживать высокий уровень качества выявления дефектов кода, приходилось собственноручно писать правила для поиска новых уязвимостей.

Выбор инструмента

Поиск замены проходил по жестким критериям. Ключевым требованием стало качество анализа. Новый инструмент должен был эффективно выявлять реальные дефекты безопасности, не создавая при этом значимого потока ложноположительных «сработок».

«Сбер» как системообразующий банк и высокотехнологичная компания не может позволить себе долгие проверки кода, которые тормозят процессы разработки, поэтому скорость сканирования стала не менее важным показателем, чем качество. Компания искала инструмент, способный работать быстро даже с большими монолитными проектами.

В экосистеме «Сбера» тысячи продуктовых команд, которые ежедневно инициируют тысячи процедур сканирования. Если контекст для разработчиков и аналитиков безопасности будет потерян, процессы будут нарушены или попросту «встанут». Именно поэтому новое решение должно было унаследовать всю историю сканирований, результаты ручного анализа, внутренние правила и настройки. Интеграция в существующее окружение — CI/CD (непрерывной интеграции и непрерывной доставки), тикет-системы, корпоративные реестры — должна была быть нативной, без сложных адаптеров. Кроме того, новый инструмент обязан был без специальных доработок поддерживать собственные надстройки «Сбера», включая систему ИИ-валидации.

Наконец, оценивалась надёжность решений по таким метрикам, как количество и продолжительность незапланированных простоев.

Банк искал вендора, готового к тесному диалогу. За время пилотирования SASTAV, к слову, его разработчики выпустили несколько десятков релизов с учётом требований «Сбера», что подтвердило гибкость и зрелость процессов в команде SASTAV.

Тестирование

Соответствие названным критериям проверялось на практике. Тестирование проводилось в несколько этапов.

Сначала оценивалось качество детекции. Специалисты «Сбера» проверяли, насколько точно инструмент находит реальные уязвимости. Отчёты тщательно анализировали, выборочно проводя ручную верификацию и сравнивая результаты с действующей практикой. Затем исследовалась сама возможность миграции с переносом накопленных данных, истории и конфигураций. Изучались форматы отчётов, функциональность API (интерфейса программирования приложений) и механизмы интеграции. Финальный этап — нагрузочное тестирование в рабочем контуре. SAST подключали к тысячам «живых» проектов в параллель и обрабатывали исходный код под реальной нагрузкой, отслеживая его стабильность, скорость отклика и потребление ресурсов.

Внедрение

По совокупности результатов тестирования «Сбер» выбрал SASTAV. Внедрение проводили в период высокой нагрузки (high season). Миграция прошла гладко, разработчики и аналитики безопасности продолжили работать в привычных интерфейсах. Фактический момент переключения на новый движок остался незамеченным.

Исторический контекст сохранили полностью: результаты триажа предыдущего SAST без потерь перенесли на новую платформу. Удалось избежать выбросов «новых старых» дефектов, которые уже были ранее верифицированы и закрыты. SASTAV подтвердил способность работать с очень крупными проектами, включая монолиты объёмом более трёх миллионов строк кода, сохраняя приемлемую скорость анализа. После миграции команда безопасности «Сбера» продолжила развивать практики анализа, а внедрение новых правил дало возможность находить уязвимости, которые раньше не детектировались.

Архитектура SASTAV позволяет линейно масштабировать мощности — при росте нагрузок достаточно добавить вычислительные ресурсы. Это особенно ценно для «Сбера», ведь число его цифровых проектов постоянно увеличивается.

Эксплуатировать новый инструмент стало заметно проще: команды сопровождения отмечают её стабильность и предсказуемость.

SASTAV успешно заменил зарубежное решение, которое полностью вывели из эксплуатации.

Итоги и результаты

«Сбер» получил современный технологический стек для статического анализа исходного кода. SASTAV — облачно-нативное решение.

Сейчас SASTAV ежесуточно выполняет от 8 000 до 15 000 процедур сканирования. В составе централизованной платформы сканирований статический анализатор SASTAV обрабатывает в среднем 200-500 тысяч строк кода за одну проверку, демонстрируя устойчивую работу с пиковыми нагрузками до 11 миллионов строк кода единовременно. Такой охват обеспечивает безопасность всей цифровой экосистемы Сбера, от систем банковского ядра до сервисов в области электронной коммерции и облачных технологий.

Скорость сканирования позволяет глубоко интегрировать анализ в CI/CD-процессы, не создавая очередей и не тормозя выпуск обновлений и новых продуктов. Для «Сбера» это критически важно: тестирование безопасности — обязательный этап внедрения любой доработки. Сканер установлен «в разрыв»: до завершения проверки на уязвимости доработка не продвинется дальше по конвейеру. Переход на новый инструмент позволил ускорить этот этап и сократить влияние на время выхода новых продуктов.

Примечательно то, что при значительном росте производительности и надёжности потребление ресурсов сократилось примерно на 20-40% по сравнению со старой платформой.

За счет слаженной работы команд кибербезопасности, ИТ и вендора работы по импортозамещению прошли бесшовно для продуктовых команд. Ключевые результаты — стабильность и рост уровня безопасности приложений. С момента ввода SASTAV в эксплуатацию не зафиксировано сбоев, при этом качество выявления уязвимостей повысилось. SASTAV работает, обеспечивая непрерывный контроль безопасности кода в одной из крупнейших цифровых экосистем страны.

Поделиться

Подписаться на новости Короткая ссылка