Сбер завершил импортозамещение инструмента для статического анализа безопасности приложений (SAST), выбрав SASTAV в качестве основы для сканирований в DevOps. Итоговое решение стало единым и обязательным стандартом для анализа исходного кода во всех продуктовых командах банка. Это стало уникальным проектом не только для финансового сектора, но и для всей российской ИТ-индустрии.

Сбер бесшовно перешел к использованию российского решения для статического анализа исходного кода, проведя миграцию с зарубежного аналога.

За счет слаженной работы команд кибербезопасности, ИТ и вендора работы по импортозамещению прошли бесшовно для более 5000 продуктовых команд, которые ежесуточно инициируют от 7 000 до 15 000 процедур сканирования. В составе централизованной платформы сканирований статический анализатор SASTAV обрабатывает в среднем 200-500 тысяч строк кода за одну проверку, демонстрируя устойчивую работу с пиковыми нагрузками до 11 миллионов строк кода единовременно. Такой охват обеспечивает безопасность всей цифровой экосистемы Сбера, от систем банковского ядра до сервисов в области e-commerce и облачных технологий.

Несмотря на колоссальные объемы анализа, статический инструмент безопасности приложений SASTAV демонстрирует на 40% более высокую ресурсоэффективность по сравнению с альтернативными решениями, что существенно снижает операционные затраты.

SASTAV изначально обладает гибкой архитектурой, обеспечивающей интеграцию с различными ИИ-моделями для верификации уязвимостей, включая ведущие рыночные решения (по умолчанию продукт поддерживает интеграцию с ГигаЧат).

Использование ГигаЧат позволяет на порядок повысить точность анализа дефектов, что уже было ранее протестировано и внедрено в аналогичном собственном решении Сбера: после первичного выявления потенциальных уязвимостей выполняется интеллектуальная валидация, отсеивающая ложные срабатывания и выделяющая только значимые уязвимости. Это сокращает время анализа для разработчиков и позволяет сконцентрировать их усилия на устранении реальных, а не гипотетических рисков.

«Ежедневно проверяются на наличие уязвимостей кибербезопасности десятки тысяч изменений в коде, и каждое из них должно соответствовать высочайшим стандартам кибербезопасности. Внедрение единого стандарта статического анализа кода укрепляет технологический суверенитет Сбера и является краеугольным камнем в реализации стратегии DevSecOps, когда вопросы безопасности решаются на самых ранних этапах жизненного цикла разработки программного обеспечения (SDLC). Это ещё больше усиливает киберустойчивость банка и экосистемы Сбера», - отметили в Сбере.

«Мы стали партнером компании, которая представляет собой эталон зрелой культуры DevSecOps. Наше решение было выбрано, так как оно способно работать в условиях экстремальных нагрузок и высочайших требований к качеству. Сделав вклад в развитие киберзащиты системообразующего банка, мы чувствуем, что сделали вклад в киберзащиту и устойчивость национальной финансовой системы всей страны», - комментирует Ксения Калемберг, управляющий партнер ShiftLeft Security.

SASTAV интегрирован во все контуры разработки и является обязательным элементом Security Gate (контрольной точки безопасности). Ни один релиз не может быть выведен в продуктивную среду без успешного прохождения автоматизированной проверки.

Решение доказало способность стабильно работать в условиях динамично растущей нагрузки, характерной для экосистемы Сбера, обеспечивая бесперебойность процессов разработки и вывода новых сервисов.