ЕДИНЫЙ ЦУПИС завершил внедрение российской платформы статического анализа безопасности исходного кода SASTAV. Решение дополнило набор инструментов, которые компания использует для проверки безопасности разрабатываемого программного обеспечения.
Проект начался с практической задачи — обеспечить качественный анализ приложений на языке Kotlin. В ходе пилотного проекта система постепенно была интегрирована в процессы безопасной разработки и сейчас используется наряду с другими инструментами анализа кода.
По данным компании, SASTAV ежедневно обрабатывает десятки тысяч строк кода на Python, JavaScript, Java и Kotlin. Среди возможностей решения в ЕДИНОМ ЦУПИС отметили параллельное сканирование нескольких проектов, поддержку пользовательских правил проверки и механизмы поиска наиболее эффективных точек устранения уязвимостей.
Во время внедрения специалисты также настроили интеграцию с LDAP. Кроме того, по запросу команды безопасности в продукт была добавлена возможность автоматического создания репозиториев через API GitLab, что позволило упростить ряд внутренних процессов.
Как отметил заместитель председателя правления по информационной безопасности ЕДИНОГО ЦУПИС Гизар Шакиров, одной из причин выбора решения стала поддержка анализа проектов на Kotlin, которая пока представлена не во всех российских продуктах класса SAST.
Со своей стороны разработчик платформы, компания ShiftLeft Security, сообщил, что часть новых возможностей продукта появилась в результате совместной работы с заказчиком и была реализована под реальные задачи эксплуатации.
В последние годы российские компании всё активнее внедряют инструменты класса SAST (Static Application Security Testing), позволяющие находить потенциальные уязвимости непосредственно в исходном коде до выхода программного обеспечения в эксплуатацию. На фоне роста требований к безопасной разработке такие решения становятся стандартной частью процессов DevSecOps во многих крупных организациях.
