«Сбер» отказался от импортного сканера уязвимостей в пользу российского
«Сбер» заменил импортный SAST-сканер на российское решение SASTAV. Инструмент обрабатывает до 15 тыс. проверок кода в сутки при пиковых нагрузках 11 млн строк. В системе используется ИИ-модель «ГигаЧат» для отсеивания ложных срабатываний. SASTAV стал обязательным этапом проверки безопасности перед выходом релизов.
ShiftLeft Security сообщил SecPost о переводе на российское ПО процесса статического анализа исходного кода. Как указывается в сообщении компании, итоговое решение на базе продукта SASTAV стало единым и обязательным стандартом для всех продуктовых команд банка, включая системы банковского ядра, сервисы e-commerce и облачные платформы.
В ходе внедрения была проведена бесшовная миграция с зарубежного аналога. В сутки инициируется от 7 до 15 тыс. процедур сканирования, инициируемых более чем 5 тыс. команд разработки. Средний объем проверяемого кода за одну процедуру составляет 200–500 тыс. строк. Как сообщили в банке, анализатор способен выдерживать пиковые нагрузки до 11 млн строк кода единовременно.
SASTAV — российское решение класса SAST для статического анализа исходного кода, разработанное компанией ShiftLeft Security, входит в российскую группу компаний ITD Group.
В компании ShiftLeft Security отметили, что по сравнению с альтернативными решениями SASTAV демонстрирует на 40% более высокую ресурсоэффективность, что позволяет снизить операционные затраты.
Архитектура решения предусматривает интеграцию с ИИ-моделями для верификации уязвимостей. По умолчанию продукт поддерживает интеграцию с моделью «ГигаЧат», которая используется для валидации дефектов. По данным «Сбера», применение ИИ позволяет сократить число ложных срабатываний, оставляя для анализа только значимые уязвимости.
SASTAV интегрирован во все контуры разработки и используется в качестве элемента Security Gate: выпуск релиза в продуктивную среду невозможен без успешного прохождения автоматизированной проверки.
Читайте также
