Программный продукт SASTAV (рус. САСТАВ) от компании-разработчика Пайнап предназначен для статического анализа исходного кода приложений и используемых в них open source компонентов с целью выявления уязвимостей на ранних этапах разработки. Продукт позволяет проводить композиционный анализ зависимостей, формировать SBOM, выявлять уязвимые библиотеки, включая protestware, и предоставлять рекомендации по устранению обнаруженных недостатков.

Система SASTAV ориентирована на разработчиков программного обеспечения, специалистов по информационной безопасности, инженеров по качеству кода и руководителей проектов в области разработки ПО, которые заинтересованы в раннем выявлении уязвимостей и построении безопасного цикла разработки, соответствующего регуляторным требованиям.

Система будет полезна компаниям, занимающимся разработкой корпоративного ПО, финтех-стартапам, организациям в сфере электронной коммерции, а также крупным предприятиям с разветвлённой ИТ-инфраструктурой, где критически важны надёжность и безопасность программных продуктов.

Функциональные возможности SASTAV:

• Сканирование исходного кода. Платформа позволяет проводить анализ исходного кода приложений, в том числе на этапе разработки, без необходимости сборки проекта. Это даёт возможность выявлять уязвимости на ранних стадиях разработки и оперативно устранять их, что способствует повышению качества конечного продукта.
• Сохранение истории триажа. Система ведёт учёт истории анализа уязвимостей, что позволяет отслеживать изменения в коде и оценивать эффективность мер по устранению проблем. Это упрощает процесс контроля качества и обеспечивает возможность анализа динамики состояния безопасности приложения.
• Обучение системы. SASTAV обладает функцией обучения на основе ранее проверенных уязвимостей, что повышает точность анализа и позволяет адаптировать систему под специфические требования проекта. Система накапливает знания о типах уязвимостей и способах их устранения, что способствует более эффективному анализу в будущем.
• Описание уязвимостей и рекомендации. Платформа предоставляет подробные описания обнаруженных уязвимостей и практические рекомендации по их устранению, сформулированные таким образом, что они понятны даже разработчикам с начальным уровнем опыта. Это снижает порог входа для работы с системой и ускоряет процесс устранения проблем.
• Композиционный анализ приложения. SASTAV проводит анализ приложения с точки зрения используемых зависимостей, что позволяет оценить влияние сторонних компонентов на безопасность и стабильность работы системы. Это особенно важно при использовании компонентов с открытым исходным кодом.
• Формирование SBOM и выявление транзитивных зависимостей. Платформа помогает создавать структурированные списки компонентов программного обеспечения (SBOM) и выявлять транзитивные зависимости, что необходимо для глубокого понимания архитектуры приложения и минимизации рисков, связанных с использованием сторонних библиотек и компонентов.
• Выявление уязвимых библиотек. SASTAV способен обнаруживать уязвимые библиотеки, включая те, которые могут быть использованы в качестве protestware. Это позволяет своевременно выявлять и устранять потенциальные угрозы, связанные с использованием сторонних компонентов, и повышать общий уровень безопасности приложения.