Solar appScreener + ASOC: безопасная разработка в Магните

ПАО «Магнит» внедрил платформу Solar ASOC с интегрированным Solar appScreener в качестве ключевого инструмента процессов безопасной разработки (SSDLC). Платформа автоматически анализирует исходный код и бинарные файлы на уязвимости, приоритизирует найденные дефекты с помощью ML-моделей и формирует единый стандарт Application Security для всех команд разработки Магнита. Проект реализован в рамках построения зрелого процесса DevSecOps в одном из крупнейших российских ритейлеров.

Магнит активно развивает собственные цифровые продукты (мобильное приложение, e-commerce, внутренние системы), что требовало систематического контроля безопасности кода в масштабе многочисленных команд разработки. Отсутствие единого стандарта и инструментария AppSec создавало риски внесения уязвимостей в продуктивные системы.

• Построить единый стандарт безопасной разработки (SSDLC) для всех команд Магнита

• Автоматизировать проверку кода на уязвимости в CI/CD-пайплайнах

• Снизить количество уязвимостей, попадающих в продуктивную среду

• Обеспечить соответствие требованиям регуляторов (ФСТЭК, 187-ФЗ)

• Финансы

• Снижение стоимости устранения уязвимостей за счёт обнаружения на ранних стадиях разработки (shift-left подход) Время

• Solar appScreener эксплуатируется в Магните более 1,5 лет (по состоянию на 2025 г.)

• Автоматическое сканирование в CI/CD сокращает время code review по безопасности Качество и эффективность

• Solar appScreener является ключевым инструментом SSDLC Магнита

• Единая ASOC-платформа консолидирует результаты сканирований из разных инструментов

• ML-приоритизация уязвимостей снижает «усталость от алертов» у разработчиков Нагрузка и масштаб

• Охватывает все команды разработки ПАО «Магнит»

• Поддерживает множество языков программирования и форматов сборки Надёжность

• Формирует единый стандарт контроля безопасности кода на уровне всей компании

• Интеграция в DevOps-пайплайны обеспечивает автоматическую проверку каждого коммита Импортозамещение и compliance

• Solar appScreener включён в реестр российского ПО (Минцифры)

• Замещает зарубежные SAST-решения Checkmarx и Veracode, недоступные в РФ Качественный эффект: Магнит выстроил зрелый процесс DevSecOps на базе отечественного инструментария, получив единый стандарт безопасной разработки, независимый от зарубежных вендоров.