Поделиться
Сбербанк импортозаместил инструмент статического анализа безопасности приложений в производственном конвейере
«Сбер» завершил импортозамещение инструмента для статического анализа безопасности приложений (SAST), выбрав SASTAV в качестве основы для сканирований в DevOps. Итоговое решение стало единым и обязательным стандартом для анализа исходного кода во всех продуктовых командах банка. Об этом CNews сообщил представитель ITD Group, в которую входит компания ShiftLeft Security, разработчик SASTAV.
«Сбер» бесшовно перешел к использованию российского решения для статического анализа исходного кода, проведя миграцию с зарубежного аналога.
За счет слаженной работы команд кибербезопасности, ИТ и вендора работы по импортозамещению прошли бесшовно для более 5 тыс. продуктовых команд, которые ежесуточно инициируют от 7 тыс. до 15 тыс. процедур сканирования. В составе централизованной платформы сканирований статический анализатор SASTAV обрабатывает в среднем 200-500 тыс. строк кода за одну проверку, демонстрируя устойчивую работу с пиковыми нагрузками до 11 млн строк кода единовременно. Такой охват обеспечивает безопасность всей цифровой экосистемы «Сбера», от систем банковского ядра до сервисов в области электронной коммерции и облачных технологий.
Несмотря на колоссальные объемы анализа, статический инструмент безопасности приложений SASTAV демонстрирует на 40% более высокую ресурсоэффективность по сравнению с альтернативными решениями, что существенно снижает операционные затраты.
SASTAV изначально обладает гибкой архитектурой, обеспечивающей интеграцию с различными ИИ-моделями для верификации уязвимостей, включая ведущие рыночные решения (по умолчанию продукт поддерживает интеграцию с «ГигаЧат»).
Использование «ГигаЧат» позволяет на порядок повысить точность анализа дефектов, что уже было ранее протестировано и внедрено в аналогичном собственном решении «Сбера»: после первичного выявления потенциальных уязвимостей выполняется интеллектуальная валидация, отсеивающая ложные срабатывания и выделяющая только значимые уязвимости. Это сокращает время анализа для разработчиков и позволяет сконцентрировать их усилия на устранении реальных, а не гипотетических рисков.
«Ежедневно проверяются на наличие уязвимостей кибербезопасности десятки тысяч изменений в коде, и каждое из них должно соответствовать высочайшим стандартам кибербезопасности. Внедрение единого стандарта статического анализа кода укрепляет технологический суверенитет «Сбера» и является краеугольным камнем в реализации стратегии DevSecOps, когда вопросы безопасности решаются на самых ранних этапах жизненного цикла разработки программного обеспечения (SDLC). Это ещё больше усиливает киберустойчивость банка и экосистемы «Сбера», – отметили в «Сбере».
«Мы стали партнером компании, которая представляет собой эталон зрелой культуры DevSecOps. Наше решение было выбрано, так как оно способно работать в условиях экстремальных нагрузок и высочайших требований к качеству. Сделав вклад в развитие киберзащиты системообразующего банка, мы чувствуем, что сделали вклад в киберзащиту и устойчивость национальной финансовой системы всей страны», – сказала Ксения Калемберг, управляющий партнер ShiftLeft Security.
SASTAV интегрирована во все контуры разработки и является обязательным элементом Security Gate (контрольной точки безопасности). Ни один релиз не может быть выведен в продуктивную среду без успешного прохождения автоматизированной проверки.
Решение доказало способность стабильно работать в условиях динамично растущей нагрузки, характерной для экосистемы «Сбера», обеспечивая бесперебойность процессов разработки и вывода новых сервисов.
Короткая ссылка
