ЕДИНЫЙ ЦУПИС, платежный сервис для любителей спорта, завершил внедрение российской платформы статического анализа безопасности исходного кода SASTAV. Реализованное решение дополнило собой большой стек open source-технологий анализа программного обеспечения, являющийся корпоративным стандартом для проверки сервисов.

В ходе пилотного проекта и последующего внедрения команда безопасности приложений ЕДИНОГО ЦУПИС прошла путь от задачи «качественно проанализировать исходный код на Kotlin» до полноценной интеграции SASTAV в копилку решений. В ежедневном режиме система анализирует десятки тысяч строк кода на языках Python, JavaScript, Java и Kotlin, демонстрируя стабильную работу без потери глубины анализа.

Среди функциональных возможностей SASTAV ЕДИНЫЙ ЦУПИС выделил как наиболее значимые возможность параллельного сканирования нескольких проектов, создание собственных правил под специфику внутренней разработки, а также построение графов и выявление лучшей точки исправления сразу для целой группы типов уязвимостей.

В рамках промышленной эксплуатации силами компаний была успешно реализована интеграция с LDAP. Кроме того, в последнем обновлении по запросу команды безопасности ЕДИНОГО ЦУПИС добавлена возможность создания репозитория с указанием ссылки на GitLab через API, что упростило автоматизацию процессов.

Ксения Калемберг, управляющий партнер ShiftLeft Security (разработчик SASTAV): «Проект в ЕДИНОМ ЦУПИС — показательный пример того, как заказчик приходит к нам с чётким практическим запросом и вместе с нами последовательно повышает зрелость своих процессов DevSecOps. Мы гордимся, что SASTAV становится проводником единого стандарта безопасной разработки в организации. Особенно ценно, что функциональность продукта развивается под реальные задачи заказчика, как это произошло с интеграцией с LDAP и упрощением автоматизации процессов».

Гизар Шакиров, заместитель председателя правления по информационной безопасности ЕДИНОГО ЦУПИС:
«SASTAV позволяет получить нам экспертизу мирового уровня в решении по поиску дефектов исходного кода. Благодаря сотрудничеству с ShiftLeft Security мы увеличили покрытие разрабатываемых сервисов на языке программирования Kotlin, чем далеко не все могут похвастаться на российском рынке решений класса SAST. SASTAV органично вписался в текущие процессы безопасной разработки, дополнив их качеством результата и гибкой возможностью создавать собственные правила сканирования».