ИИ-плагин в Solar appScreener в 10 раз ускоряет безопасную разработку софта

ГК «Солар», архитектор комплексной кибербезопасности, интегрировала в новую версию платформы для комплексной безопасности приложений Solar appScreener локальную (on-premise) большую языковую схема DerTriage/DerCodeFix. ИИ-плагин в составе Solar appScreener автоматизирует самые трудоемкие и рутинные операции, которыми на масштабных софтверных проектах занимаются до 10 AppSec-инженеров. Он выступает помощником для профессионалов безопасной разработки: в 10 раз ускоряет процессы AppSeс, сокращает время вывода приложения в «прод» (time-to-market) и снижает нагрузку на команды IT и ИБ.

В соответствии с исследованию рынка программного обеспечения и IT-услуг, опубликованному Б1 в августе 2025 года, сегмент заказной разработки на горизонте до 2032 года будет одним из ключевых драйверов софтверной индустрии. В 2024 году объем рынка заказной разработки и IT-услуг составил 150 млрд рублей, или 14% от общего объема рынка ПО и ИТ-услуг. К 2028 году доля этого сегмента вырастет до 24% и составит приблизительно 280 миллиардов рублей.

Растущий спрос на разработку, требования регуляторов и бизнес-заказчиков к качеству и безопасности повышают нагрузку на команды разработки и AppSec-инженеров. В итоге бизнес стремится оптимизировать процессы разработки. Так, аналитики выявили значимый тренд — уже к 2025 году более 70% новых корпоративных приложений создаются с использованием low-code/no-code и GenAI. К тому же, 87% корпоративных ИТ-разработчиков используют платформы разработки low-code/no-code для части своих разработок. ИИ ускоряет написание кода, но при этом обязательный этап разметки (триажа) уязвимостей становится «бутылочным горлышком» при высоких объемах разработки. ИБ-команды сталкиваются как с нехваткой DevSecOps-инженеров, так и с различным уровнем экспертизы, конфликтом мнений специалистов и закономерным накоплением технического долга.

Для решения этих задач «Солар» интегрировал в модуль статического анализа SAST продукта Solar appScreener ИИ-плагин, который содержит две технологии: интеллектуальный триаж SAST-результатов (DerTriage) и автоматическую генерацию исправленного кода уязвимостей (DerCodeFix). «Солар» объединяет в одном продукте высокий уровень информационной безопасности клиентского кода и широкую базу актуальных уязвимостей для российских и международных софтверных проектов, включая опенсорс и другие источники кода. Базой для обучения LLM стали данных проектов по безопасной разработке более 1000 компаний в течение семи лет. ИИ-плагин может быть развернут в закрытом контуре, работает без доступа в интернет, что минимизирует риски утечек данных во внешние сервисы и платформы для обмена кодом.

Технология DerTriage использует «сырые» результаты сканирования, автоматически разбирает каждую уязвимость по контексту и выдает список только реальных угроз с пояснением для разработчиков, почему та или иная уязвимость требует исправления. Точность автоматической верификации уязвимостей составляет 95%. Плагин равным образом настраивается под требования разработчика ПО, позволяет применять логику верификации ко всем обнаруженным уязвимостям или только к высокоприоритетным рискам. Итак, Solar appScreener сокращает число ложных срабатываний при SAST-анализе и в 500 раз ускоряет устранение уязвимостей, поддерживая эффективность команды разработки без ущерба для безопасности софтверного продукта.

ИИ-технология автоматического исправления уязвимостей DerCodeFix также предоставляет готовые сгенерированные исправления, контекстные патчи кода для подтвержденных уязвимостей. Исправления создаются в соответствии с принятыми стандартами кодирования, что обеспечивает читабельность, производительность кода и решает проблемы безопасности. Каждое исправление содержит подробное объяснение того, что и почему было изменено. Разработчик может быть уверен в корректной проверке кода и получает дополнительный источник данных для обучения.

Как показали данные исследования шести больших языковых моделей на 20 проектах, созданных на языках Java и Python, модель DerTriage/DerCodeFix показывает 80% точности на этапе верификации (триаж) и 78-83% на этапе исправления уязвимостей (кодфикс). Одновременно публичные LLM, которые часто используются для этапов триажа и кодфикса, пропускают от 40 до 50% уязвимостей. Этот показатель точности является критичным, создавая риски для компаний, не располагающих штатом квалифицированных AppSec-инженеров, которые могли бы снизить вероятность эксплуатации необнаруженных и неисправленных уязвимостей.

«Встраивание с надежной ИИ-моделью кратно ускоряет версия релизов. Результаты сканирований обрабатываются за некоторое количество минут даже для проектов с миллионами строк кода, а не недель, как это было ранее. Соответственно ускоряется и выпуск любого программного продукта, при этом сохранении высокого уровня безопасности разрабатываемого ПО. Как показывают наши замеры на масштабных тестовых проектах, команды разработки в сотни раз повышают продуктивность, при этом фокус смещается с обработки уязвимостей на создание востребованного продукта», — подчеркивает Владимир Высоцкий, руководитель развития бизнеса платформы комплексной безопасности приложений Solar appScreener.

Сейчас Solar appScreener лидирует среди российских решений, поддерживая анализ кода, написанного на 36 языках программирования. Он объединяет на базе одного ядра некоторое количество модулей. Модуль SAST (статический аналитика кода) помогает найти уязвимости и недекларированные возможности в исходном коде с первых этапов разработки. Одной из особенностей модуля SAST в продукте является функция проведения бинарного анализа (анализа бинарных файлов при отсутствии доступа к исходным кодам). Динамический аналитика кода (DAST) анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них. Проекты динамического анализа в Solar appScreener можно привязать к проектам статического анализа и на основе корреляции их результатов получить более точную картину безопасности приложения.

В свою очередь компонент анализа OSA включает в себя два вида анализа SCA и SCS. Аналитика состава ПО (SCA) позволяет выявить зависимости и уязвимости в используемых open-source-библиотеках и снизить риски для разработки приложений. В продукте используются стандартные базы уязвимостей и информация крупнейшей базы данных об актуальных атаках и тактиках киберпреступников Solar JSOC. Анализ безопасности цепочки поставок ПО (SCS) даёт возможность оценить риски, связанные с open source, и сформировать рейтинг безопасности каждого стороннего компонента. Рейтинг строится на базе восьми конкретных метрик: репутация автора, активность сообщества, внимание к безопасности и др. Аналитика лицензионных рисков помогает отслеживать лицензионные политики при использовании опенсорс-компонентов, оценивает критичность использования той или иной библиотеки и даёт возможность избежать юридических рисков, связанных с лицензиями.

Использование локальной LLM модели, обученной для специфических задач разметки уязвимостей, позволяет снизить уровень ложно положительных срабатываний статических анализаторов. Это снимает часть нагрузки на AppSec специалистов, повышает скорость безопасной разработки и как следствие – повышает экономическую эффективность софтверных проектов.

По итогам 2025 года 35 IT-партнеров в России реализуют проекты для крупных клиентов, формируют комплексные решения на базе собственных продуктов и Solar appScreener. В число ключевых партнеров по безопасной разработке входят ГК Softline, «Инфосистемы Джет», Swordfish, УЦСБ, «Кросс Технолоджис», ГК «Астра», НОТА (входит в Т1 Холдинг) и др.

Solar appScreener поддерживает необходимые стандарты по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239 и входит в Реестр российского ПО Минцифры России.