SASTAV выбран Сбером для импортозамещения статического анализа безопасности приложений (SAST) в производственном конвейере
Сбер завершил импортозамещение инструмента для статического анализа безопасности приложений (SAST), выбрав SASTAV в качестве основы для сканирований в DevOps. Итоговое решение стало единым и обязательным стандартом для анализа исходного кода во всех продуктовых командах банка. Это стало уникальным проектом не только для финансового сектора, но и для всей российской ИТ-индустрии.
Сбер бесшовно перешел к использованию российского решения для статического анализа исходного кода, проведя миграцию с зарубежного аналога.
За счет слаженной работы команд кибербезопасности, ИТ и вендора, работы по импортозамещению прошли бесшовно для более 5000 продуктовых команд, которые ежесуточно инициируют от 7 000 до 15 000 процедур сканирования. В составе централизованной платформы сканирований статический анализатор SASTAV обрабатывает в среднем 200-500 тысяч строк кода за одну проверку, демонстрируя устойчивую работу с пиковыми нагрузками до 11 миллионов строк кода единовременно. Такой охват обеспечивает безопасность всей цифровой экосистемы Сбера, от систем банковского ядра до сервисов в области e-commerce и облачных технологий.
Несмотря на колоссальные объемы анализа, статический инструмент безопасности приложений SASTAV демонстрирует на 40% более высокую ресурсоэффективность по сравнению с альтернативными решениями, что существенно снижает операционные затраты.
SASTAV изначально обладает гибкой архитектурой, обеспечивающей интеграцию с различными ИИ-моделями для верификации уязвимостей, включая ведущие рыночные решения (по умолчанию продукт поддерживает интеграцию с ГигаЧат).
Использование ГигаЧат позволяет на порядок повысить точность анализа дефектов, что уже ранее протестировано и внедрено в аналогичном собственном решении Сбера: после первичного выявления потенциальных уязвимостей выполняется интеллектуальная валидация, отсеивающая ложные срабатывания и выделяющая только значимые уязвимости. Это сокращает время анализа для разработчиков и позволяет сконцентрировать их усилия на устранении реальных, а не гипотетических рисков.
«Ежедневно проверяются на наличие уязвимостей кибербезопасности десятки тысяч изменений в коде, и каждое из них должно соответствовать высочайшим стандартам кибербезопасности. Внедрение единого стандарта статического анализа кода укрепляет технологический суверенитет Сбера и является краеугольным камнем в реализации стратегии DevSecOps, когда вопросы безопасности решаются на самых ранних этапах жизненного цикла разработки программного обеспечения (SDLC). Это ещё больше усиливает киберустойчивость банка и экосистемы Сбера», — отметили в Сбере.
«Мы стали партнером компании, которая представляет собой эталон зрелой культуры DevSecOps. Наше решение было выбрано, так как оно способно работать в условиях экстремальных нагрузок и высочайших требований к качеству. Сделав вклад в развитие киберзащиты системообразующего банка, мы чувствуем, что сделали вклад в киберзащиту и устойчивость национальной финансовой системы всей страны», — комментирует Ксения Калемберг, управляющий партнер ShiftLeft Security.
SASTAV интегрирован во все контуры разработки и является обязательным элементом Security Gate (контрольной точки безопасности). Ни один релиз не может быть выведен в продуктивную среду без успешного прохождения автоматизированной проверки.
Решение доказало способность стабильно работать в условиях динамично растущей нагрузки, характерной для экосистемы Сбера, обеспечивая бесперебойность процессов разработки и вывода новых сервисов.
