Ком­па­ния AppSec Solutions соз­да­ла ана­лог GitLab - плат­фор­му AppSec.Code. Это сре­да раз­ра­бот­ки ПО со встроен­ны­ми фун­кция­ми ин­фор­ма­цион­ной бе­зопас­нос­ти. Она поз­во­ляет раз­ра­бот­чи­кам пе­ренес­ти код из внеш­них ре­пози­ториев в рос­сий­скую бе­зопас­ную сре­ду. Appsec.Code ра­ботает в зак­ры­том кон­ту­ре на "до­маш­нем" сер­ве­ре.

Генеральный директор ООО "Аппсек Солюшенс" (AppSec Solutions, входит в ГК Swordfish Security) Юрий Сергеев сообщил, что более 80% небольших ИТ-компаний-разработчиков в РФ до сих пор пользуются платформой GitLab, в том числе покупая лицензии с помощью параллельного импорта, в то время как крупный бизнес себе этого позволить не может из-за ограничений законодательства на использование иностранного ПО в рамках КИИ (критической информационной инфраструктуры).

"У AppSec.Code есть функция подключения внешних репозиториев - она позволяет добавить в настройках внешний репозиторий и запустить с ним процесс сборки, тестирования и деплоя. Это можно представить, как AppSec.Code+GitHub. Функционал AppSec.Code позволяет сразу проверять, что разработчик получил из репозитория, с точки зрения DevSecOp и в целом информационной безопасности. Бизнес-модель платформы - лицензия: ежегодная подписка по количеству пользователей", - объясняет пресс-служба AppSec Solutions.

"AppSec.Code по функционалу не уступает премиальной версии GitLab Enterprise - таким образом, даже крупнейшие корпоративные клиенты могут перейти на российское ПО безболезненно. Решение интегрировано с отечественными продуктами в сфере DevSecOps, которые подключаются через платформу оркестрации класса ASPM (Application Security Posture Management). При разработке AppSec.Code мы добавили поддержку Astra Linux ОС, а также встроенную интеграцию с российскими ИБ-сканерами для анализа защищенности исходного кода, библиотек с открытым исходным кодом, облачных контейнеров, - рассказал Юрий Сергеев.

По данным AppSec Solutions, платформа AppSec.Code работает в закрытом контуре без доступа в интернет, и в нем нет компонентов, которые могут быть уязвимы для внешних угроз.

⁠GitHub и GitLab - это сервисы для хранения кода, также предоставляющие набор дополнительных инструментов для работы с ним. Обе платформы призваны решать задачи полного цикла разработки - от хранения исходного кода до внедрения готового кода в рабочее окружение. Они могут быть развернуты как в облаке, так и по модели on-premise в закрытом контуре компании. При этом GitLab является продуктом, построенном на open source, в то время как исходного кода GitHub в открытом доступе нет

Пресс-служба АО "Селектел" (Selectel) объяснила, что кроме "голого" хранилища и у GitLab, и у GitHub есть огромный инструментарий, построенный вокруг сервисов за годы его развития, - сторонние сервисы, скрипты, приложения, библиотеки и прочее. К тому же GitHub - это не просто место для работы с кодом, а социальная сеть, в которой ИТ-специалисты обмениваются новыми разработками, оценивают проекты друг друга и черпают вдохновение.

Технический директор АО "РДТЕХ" Алексей Дедевич объясняет, что функционал GitLab и GitHub во многом очень близок, но платформа AppSec.Code по идеологии ближе к GitLab, и правильнее ее рассматривать как альтернативу on-primes GitLab.

"GitLab - это программный комплекс, который используют различные команды разработчиков, крупные и средние организации для управления совместной разработкой. GitHub изначально делался как облачный сервис. Его задача была именно в поддержке проектных команд в публичном хостинге их проектов. Если в основе GitLab была идея упростить управление исходным кодом внутри команды, то GitHub ориентировался на организацию совместной работы над кодом для геораспределенных команд через Internet. Но, развиваясь, GitHub стал также добавлять функции по автоматической сборке, проверке на информационную безопасность, поддержке проектной работы и документирования", - объясняет он.

По словам Алексея Дедевича, GitLab и GitHub - это платформы, которые не дают доступ к open source, а позволяют создавать source, как open, так и limited.