Статические анализаторы в коммерческой разработке: одна голова хорошо, а несколько — лучше

BIS Journal №2(57)2025

28 мая, 2025

Статические анализаторы в коммерческой разработке: одна голова хорошо, а несколько — лучше

Любая компания, которая начинает внедрять процессы безопасной разработки, в первую очередь задумывается об инструменте статического анализа. С него, как правило, начинается «проба пера» по внедрению практик безопасной разработки. Статические анализаторы являются «пилотом» и «первой ласточкой» в коммуникации зарождающейся роли Application Security (подразделения, ответственного за развитие безопасной разработки) с командой разработки ПО.

Это вполне объяснимо, т. к. данный инструмент ближе программисту. Команды разработки, так или иначе, всегда использовали инструментарий статического анализа (начиная с IDE плагинов и простых линтеров) самостоятельно, без запроса со стороны Application Security. Уже позже развитие отношений между Application Security и разработкой перейдет на новый уровень доверия — использование динамических анализаторов, проведения обучений по тематике безопасной разработки, SCA и т. д., а некоторые даже попробуют фаззинг… Но оставим их и вернемся к «статике».

Статические анализаторы существуют давно и в большом разнообразии представлены на рынке, как в open-source, так и среди коммерческих решений. При выборе подходящего решения компаниям приходится ответить на множество вопросов: что лучше, что удобнее, что эффективнее? И самое главное — как это применить к нашим реалиям, процессам, процедурам сборки (пайплайнам)?

Поразмыслив еще, они понимают, «не мы первые, кто задается таким вопросом», — а что у «коллег по цеху»?

Думаем, что регулятор инициировал сравнение инструментов статического анализа (SAST), в том числе с намерением ответить и на этот вопрос.

Мы в «Лаборатории Касперского» работаем с SAST каждый день, на большом объеме кода, знаем и понимаем данную практику, ежедневно видим пользу от ее применения. В нашей практике встречались как случаи, когда разные инструменты находили одни и те же баги, а также когда ни один из используемых SAST не находил ошибку, которая должна обнаруживаться подобными решениями. 

Использование статических анализаторов в ходе разработки наших продуктов — обязательное требование для всех коммерческих проектов, это естественная процедура, как помыть руки перед едой.

В ряде критичных проектов используют несколько анализаторов последовательно. Часто эксперты пишут свои дополнительные правила для инструментов чтобы расширить их детектирующие возможности, адаптируя их под специфику нашего кода.

Там, где это возможно, инструменты работают в блокирующем режиме — любое срабатывание останавливает заливку кода в мастер-ветку, пока срабатывание не будет обработано.

Да, специфика работы SAST подразумевает то, что предупреждения инструмента содержат немало ложноположительных срабатываний, это неизбежно. Наши эксперты хорошо знают путь к группам поддержки отечественных SAST инструментов, сообщая им о том, как можно оптимизировать их работу для снижения ложноположительных срабатываний. Тем полезнее будет совместная работа плечом к плечу с разработчиками SAST.

Вопрос необходимости сравнения SAST инструментов мы поднимали в процессе согласования ГОСТ по статическому анализу.

Мы всецело приветствуем инициативу и надеемся на выработку полезных критериев по оценке инструментов. Эти критерии дадут компаниям-новичкам в данной области больше информации для выбора, облегчат им «первый старт», а зрелые компании, вероятно, найдут ответы на давно волнующие их вопросы.

В любом случае, подобные коллаборации ведущих разработчиков ПО приносят пользу и ускоряют развитие всей индустрии разработки.

Пожелаем нам всем удачи и будем с нетерпением ждать результатов!

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных