| Заказчики: НГТУ (Нижегородский Государственный Технический Университет) Нижний Новгород; Образование и наука Подрядчики: Солар (ранее Ростелеком-Солар) Продукт: Solar appScreener (ранее Solar inCode)Дата проекта: 2024/01 — 2024/12
|
Технология: Средства разработки приложений
|
2024: Использование Solar appScreener
В 2024 году ГК «Солар» стала технологическим партнером Новосибирского государственного технического университета (НГТУ НЭТИ). Компания предоставляет образовательную лицензию на комплексную платформу Solar appScreener. Решения подобного класса являются ключевым элементом цикла безопасной разработки всех категорий ПО. Более 300 студентов, изучающих дисциплину «Методология безопасной разработки и эксплуатации ПО», получают навыки, необходимые для работы в сфере DevOps и DevSecOps, и опыт статического, динамического анализа кода и компонентов ПО, включая безопасность сторонних компонентов open source.
В 2024 году студенты НГТУ НЭТИ на факультативных занятиях Молодежной лаборатории исследования безопасности кода отечественного ПО и компьютерной криминалистики разработали собственные ИТ-проекты.
В рамках практических занятий по DevSecOps и анализу защищенности приложений студенты выявили в среднем 13 уязвимостей на 500 строк кода, как минимум одна из них была критической.
 | В процессе обучения студенты на практике видят, сколько уязвимостей можно случайно внести в приложение на этапе написания кода или копирования готовых компонентов, в том числе из непроверенных библиотек открытого кода. Освоив практику DevSecOps, выпускники на защите могут ответственно и доказуемо представлять работы более высокого уровня, демонстрирующие более целостный подход к разработке ПО, — дополнил Иван Никрошкин, преподаватель кафедры защиты информации и заведующий Молодежной лаборатории исследования безопасности кода отечественного ПО и компьютерной криминалистики. |  |
Используя Solar appScreener, студенты развивают практические навыки анализа кода веб- и мобильных приложений, компонентов внутреннего ПО и повышают качество университетских ИТ-разработок. Так, с помощью модуля статического анализа (SAST) они выявляют уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже если разработка завершена и нет возможности проанализировать исходный код проекта. Модуль динамического анализа (DAST) позволяет проанализировать веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них. Модуль анализа сторонних компонентов (OSA) включает технологии анализа состава ПО (SCA), анализа цепочки поставок ПО (SCS), анализ лицензионных рисков и другие возможности для безопасного использования сторонних компонентов.
По данным ряда исследований, около 80% кода заимствованы из репозиториев исходного кода, который требует тщательной проверки на наличие уязвимостей и транзитивных зависимостей. С учетом сокращения time-to-market для ПО и приложений, культура безопасной разработки и навыки работы с решениями для комплексной проверки безопасности исходного кода становятся крайне актуальными для софтверной индустрии.
