AppSec.Track

Решение AppSec.Track (продукт класса Software Composition Analysis – SCA) для предотвращения атак на цепочку поставок ПО через компоненты с открытым исходным кодом позволяет анализировать и предотвращать уязвимости на стадии разработки кода.

2025

Возможность работать с ИИ

AppSec.Track может работать с искусственным интеллектом. Об этом AppSec Solutions (АппСек Солюшенс) сообщила 16 декабря 2025 года.

Обновление системы сделано для «вайб-кодеров» и поможет определять, нет ли среди сгенерированного моделью кода несуществующих или вредоносных сторонних пакетов.

Разработчик может прямо в диалоге с ИИ-ассистентом запросить проверку сгенерированного кода с помощью AppSec.Track, а система автоматически проверит используемые сторонние компоненты, подсветит потенциальные угрозы и предложит исправление. Функционал основан на протоколе MCP (Model Context Protocol). Он позволит избежать серьезных проблем с кодом, создаваемым LLM.

Разработчики все чаще прибегают к помощи ИИ, пишут код по-новому, поэтому для его анализа необходимы новые подходы и инструменты. AI-Native редакторы (Cursor, Windsurf и им подобные) уже достаточно интеллектуальны, умеют автоматически писать код, проверять ошибки, делать выводы. Однако и им необходима качественная база уязвимостей, которую в нашем случае дает AppSec.Track, в том числе с учетом собственных требований безопасности, которые могут быть определены в компании. Это позволяет любому разработчику, даже если он не сильно погружен в безопасность, получить более качественный результат на выходе, - рассказал директор по продукту AppSec.Track Константин Крючков.

Набирающие популярность подходы low-coding, vibe-coding позволяют ускорить написание кода или вовсе его избежать, однако код, который создает LLM может быть небезопасным. В частности, модель может галлюцинировать, рекомендовать несуществующие, устаревшие или небезопасные версии компонентов.

Функционально пользователь получает вполне работающий код, но с точки зрения безопасности там могут быть сюрпризы, например SQL-инъекции и логические ошибки. Использование ИИ-ассистентов не заменяет (возможно пока) применение классических инструментов и практик DevSecOps. В случае Open source компонентов модель может просто не успевать за скоростью обнаружения новых угроз и рекомендовать версии, которые уже не считаются безопасными. Поэтому внедрение дополнительных инструментов безопасности – необходимость, - рассказал Антон Башарин, старший управляющий директор AppSec Solutions.

Инструмент ориентирован на профессиональные команды разработчиков, которые внедряют ИИ-ассистентов в свои процессы. Это позволит компаниям соблюдать требования безопасности (Secure by Design) даже при использовании генеративного кода.

Интеграция в конвейер "Репозитория Ассоциации ФинТех"

Отечественный вендор интегрировал анализатор AppSec.Track в конвейер Репозитория Ассоциации ФинТех, заместив зарубежный аналог. Об этом AppSec Solutions (АппСек Солюшенс) сообщил 9 декабря 2025 года.

Интеграция позволяет автоматизировать проверку безопасности библиотек с открытым исходным кодом и компонентов ПО, обеспечивая надежный контроль цепочек поставок и поддержку процесса безопасной разработки ПО. Код, попадающий в Репозиторий АФТ, содержит большое количество компонентов открытого кода, что повышает риски для компаний, которые его используют. AppSec.Track внедрен в пайплайн, организованный Сообществом FinDevSecOps, который анализирует безопасность программного обеспечения, загружаемого в репозиторий, для возможности его безопасного использования финансовыми организациями.

Рынок кибербезопасности растет прямо пропорционально с цифровизацией всех отраслей бизнеса, все время появляются новые технологии, которые требуют и новых подходов в кибербезопасности. Одна из наиболее чувствительных к потенциальным атакам отрасль – финтех. Российский онлайн-банкинг и другие финансовые услуги остаются одними из самых развитых и удобных в мире, а для того, чтобы они сохраняли статус и самых надежных и безопасных, важны консолидированные усилия российских ИБ-экспертов. И площадка Ассоциации ФинТех такую возможность предоставляет, — рассказал Юрий Сергеев, генеральный директор AppSec Solutions.

Отраслевой Репозиторий АФТ предлагает разнообразные инструменты, адаптированные под потребности участников финансовой отрасли. Помощь финансовым организациям в реализации отраслевых требований по информационной безопасности, и, в частности, организация процессов безопасной разработки ПО – приоритетные задачи Ассоциации ФинТех. Уверен, что интеграция в Репозитории АФТ технологических решений от одного из лидеров российского ИБ-рынка позволит качественно улучшить уровень защиты программных продуктов, размещаемых в Репозитории АФТ, — заявил Олег Моргун, руководитель управления развития технологий Ассоциации ФинТех.

Совместимость с Astra Linux

Продукты экосистемы кибербезопасности AppSec Solutions получили сертификат совместимости с Astra Linux. Об этом ком пания сообщила 20 ноября 2025 года.

Подтверждение получили два продукта экосистемы – платформа безопасной разработки AppSec.Hub и решение для предотвращения атак на цепочку поставок AppSec.Track. Подробнее здесь.

2024: Совместимость с с Private Cloud и Dev Platform

Сертификаты о технологической совместимости с продуктами Private Cloud и Dev Platform от VK Cloud получили решения DevSecOps отечественного вендора AppSec Solutions: комплексная платформа ASPM, решение для предотвращения атак на цепочку поставок ПО, а также платформа автоматизированного анализа защищенности мобильных приложений. Об этом AppSec Solutions сообщила 15 ноября 2024 года.

Подтверждение технологической совместимости дало возможность пользователям частного облака Private Cloud и решения для построения внутренних платформ разработки Dev Platform удобнее и быстрее разворачивать, и использовать продукты AppSec.Hub, Стингрей и AppSec.Track от AppSec Solutions. Подробнее здесь.