SYSTEM ONLINE · build / v1.0 · region / RU · CIS · last index sync / 04.06.2026 / 13:12 UTC
· войти →
cyber-index.ru
исследование 3 июня 2026

Рейтинг российских SAST/DAST-решений 2026: PT, Solar, Стингрей

Анализ исходного кода (SAST) и динамическое тестирование приложений (DAST) перестали быть нишей: безопасная разработка вошла в требования регуляторов, а после ухода Checkmarx, Fortify и Veracode рынок инструментов AppSec в России пересобрался на отечественных продуктах. К 2026 году несколько российских SAST/DAST-решений вышли на корпоративный уровень, но различаются по числу поддерживаемых языков, глубине анализа, доле ложных срабатываний и встраиваемости в CI/CD. **Если коротко:** «рейтинг» SAST/DAST не сводится к одному месту в таблице — он зависит от вашего стека, модели угроз и зрелости процессов разработки. На этой странице — критерии, по которым честно сравнивать инструменты, и ориентир по российским вендорам без баллов и мест. Сами места и подтверждённые сигналы смотрите в [рейтинге SAST, DAST и SCA](/rating/appsec-testing-sast-dast-sca): там поставщики ранжированы по проверяемым фактам, а не по рекламе.

8 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Ирина Карпова
appsec testing

AppSec-проверки должны быть встроены в разработку

SAST, DAST и SCA полезны, когда результаты связаны с пайплайном, владельцами кода и приоритизацией исправлений.

Тематическое фото для исследования: Рейтинг российских SAST/DAST-решений 2026: PT, Solar, Стингрей
Тематическая иллюстрация к исследованию: Рейтинг российских SAST/DAST-решений 2026: PT, Solar, Стингрей. Rafael Minguet Delgado / Pexels
shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.
methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

Ирина Карпова author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

  • 9 лет в редакционной аналитике, проверке источников и методологии рейтингов
  • Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA
Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему рынок SAST/DAST в России изменился

Два процесса наложились друг на друга. Во-первых, безопасная разработка (SSDLC) из «хорошей практики» превратилась в требование: для значимых объектов критической информационной инфраструктуры и госсектора анализ кода и проверка приложений всё чаще становятся обязательным этапом, а доверенные средства должны быть в реестрах. Во-вторых, Checkmarx, Micro Focus Fortify и Veracode свернули продажи и поддержку в России — продлевать лицензии и получать обновления правил анализа в штатном режиме больше нельзя.

Практический итог для команд разработки: вопрос звучит уже не «внедрять ли SAST и DAST», а «на каком отечественном инструменте выстроить пайплайн так, чтобы он находил реальные уязвимости, не утопил разработчиков в ложных срабатываниях и встроился в CI/CD без ручного героизма».

Рынок SAST/DAST в России: коротко в цифрах

Ушли с рынка 3+

Checkmarx, Fortify, Veracode — продажи и поддержка свёрнуты

Зрелых российских инструментов 4+

PT Application Inspector, Solar appScreener, Стингрей, Сварог и др.

Для КИИ и госсектора доверенные СЗИ

Анализ кода входит в требования к SSDLC, нужен реестр

Типичный пилот 2–4 нед.

Прогон на вашем коде, замер ложных срабатываний

По каким критериям честно сравнивать SAST и DAST

«Лучший» инструмент — тот, что находит ваши уязвимости в вашем стеке и встраивается в ваш конвейер. Поэтому рейтинг имеет смысл строить не по бренду, а по проверяемым критериям:

- **Покрытие языков и фреймворков.** SAST полезен ровно настолько, насколько глубоко он понимает ваши языки (Java, C#, Python, Go, PHP, JS/TS, 1С и т. д.) и популярные фреймворки. Список «поддерживается» и «разбирается глубоко» — разные вещи. - **Качество анализа и ложные срабатывания.** Высокий recall без контроля false positive убивает доверие команды. Смотрите соотношение найденных реальных дефектов к шуму на вашем коде, а не на витринных примерах. - **DAST и охват API.** Динамика должна уметь не только классический веб, но и REST/GraphQL, аутентифицированные сценарии и SPA. Проверьте обход авторизации и сложные флоу. - **Встраиваемость в CI/CD.** Плагины для GitLab/Jenkins/TeamCity, инкрементальный анализ, политики «блокировать сборку», работа в контейнерах — без этого SAST останется «сканером по пятницам». - **Триаж и поток дефектов.** Дедупликация, маршрутизация в Jira/трекер, подавление повторов, объяснимость находок для разработчика — это и есть зрелость продукта. - **SCA и состав ПО.** Контроль open-source-зависимостей и уязвимостей в них часто идёт рядом с SAST; см. отдельный разбор [SCA и контроля open source](/research/sca-kontrol-open-source-zavisimostej). - **Сертификация и реестр.** Наличие в [реестре отечественного ПО](https://reestr.digital.gov.ru/) и сертификат [ФСТЭК](https://reestr.fstec.ru/) — входной барьер для КИИ и госсектора.

Зрелость класса российских SAST/DAST по критериям

Усреднённая редакционная оценка готовности класса решений по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашем коде.

SAST: покрытие массовых языков (Java, C#, PHP, JS) 90 /100
90 /100
Интеграция в CI/CD 85 /100
85 /100
DAST: классический веб 85 /100
85 /100
Триаж и поток дефектов 75 /100
75 /100
Контроль ложных срабатываний 70 /100
70 /100
DAST: REST/GraphQL и API 70 /100
70 /100
Покрытие нишевых языков и 1С 65 /100
65 /100

Кто представлен на российском рынке SAST/DAST

Ниже — ориентир по основным игрокам. Это **не рейтинг**: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/appsec-testing-sast-dast-sca). Цель таблицы — показать, чем продукты различаются по позиционированию и под какие сценарии заходят чаще.

Решение Вендор Класс Позиционирование
PT Application Inspector Positive Technologies SAST + DAST/IAST Глубокий анализ с проверкой эксплуатируемости находок
Solar appScreener Ростелеком-Солар SAST + DAST + SCA Широкое покрытие языков, простой старт, единая платформа AppSec
Стингрей (Stingray) Стингрей Технолоджис DAST/анализ мобильных приложений Безопасность мобильных приложений (Android/iOS) и API
Сварог отечественный вендор SAST/SCA Анализ исходного кода и состава ПО для SSDLC

SAST или DAST: их не выбирают «вместо», их сочетают

SAST читает исходный код и находит дефекты рано — на этапе разработки, включая места, до которых динамика не дотягивается. DAST бьёт по работающему приложению снаружи, видит то, что проявляется только в рантайме (конфигурация, авторизация, реальные ответы сервера), и даёт меньше ложных срабатываний по факту эксплуатации. Зрелый процесс использует оба: SAST в пайплайне на каждый коммит, DAST на стендах и в предрелизе, плюс SCA для зависимостей.

Когда какой инструмент включать и как не дублировать работу — разобрано в материале [SAST против DAST: когда какой инструмент выбрать](/research/sast-vs-dast-vybor). А чем конкретно закрыть ушедшие западные продукты — в разборе [замены Checkmarx, Fortify и Veracode](/research/zamena-checkmarx-fortify-veracode).

Чек-лист выбора SAST/DAST под ваш стек

Зафиксируйте стек перечислите языки, фреймворки и типы приложений (веб, мобайл, API, 1С), которые реально нужно покрыть.
Прогоните пилот на своём коде замерьте найденные реальные дефекты и долю ложных срабатываний, а не витринные примеры.
Проверьте DAST по API REST/GraphQL, аутентифицированные сценарии, SPA, обход авторизации.
Оцените интеграцию в CI/CD плагины для вашего CI, инкрементальный анализ, политики блокировки сборки, работа в контейнерах.
Проверьте триаж дедупликацию, маршрутизацию в трекер, подавление повторов, объяснимость находок для разработчика.
Уточните SCA контроль open-source-зависимостей и уязвимостей в них, если он нужен рядом с SAST.
Сверьте реестр и сертификат наличие в реестре отечественного ПО и сертификат ФСТЭК под вашу задачу.
Сравните вендоров по подтверждённым внедрениям в [рейтинге SAST/DAST/SCA](/rating/appsec-testing-sast-dast-sca).

Как внедрить SAST/DAST без боли: 6 шагов

  1. 01 Инвентаризация приложений

    Соберите список репозиториев, языков, фреймворков и точек входа — это вход для подбора инструмента.

  2. 02 Шорт-лист и пилот

    2–3 кандидата, прогон на реальном коде, замер находок и ложных срабатываний под вашим стеком.

  3. 03 Базовая интеграция SAST

    Встройте сканер в CI/CD в режиме мониторинга, без блокировки сборок на старте.

  4. 04 Настройка политик и триажа

    Подавите шум, настройте маршрутизацию дефектов в трекер, договоритесь о пороге блокировки.

  5. 05 Подключение DAST и SCA

    Добавьте динамику на стендах и контроль зависимостей, сверьте находки с SAST, уберите дубли.

  6. 06 Ужесточение и масштабирование

    Включите блокировку сборок по критичным дефектам, разверните на остальные команды, отслеживайте метрики.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом SAST, DAST и SCA](/rating/appsec-testing-sast-dast-sca): здесь — критерии и рынок, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с критериями — переходите к сравнению поставщиков: **[рейтинг SAST, DAST и SCA →](/rating/appsec-testing-sast-dast-sca)**. Полезно прочитать рядом: [SAST против DAST](/research/sast-vs-dast-vybor), [чем заменить Checkmarx, Fortify и Veracode](/research/zamena-checkmarx-fortify-veracode) и [SCA и контроль open source](/research/sca-kontrol-open-source-zavisimostej).

Частые вопросы

Существует ли единый «рейтинг лучших» российских SAST/DAST?

Универсального места в таблице нет: лучший инструмент зависит от вашего стека, модели угроз и зрелости процессов. Мы сравниваем поставщиков по проверяемым сигналам — смотрите рейтинг SAST/DAST/SCA, а на этой странице — критерии для собственной оценки.

Чем заменить Checkmarx, Fortify и Veracode в России?

Отечественные SAST/DAST уже закрывают большинство сценариев: анализ кода, динамическое тестирование, контроль зависимостей. Конкретные кандидаты и нюансы перехода — в разборе замены Checkmarx, Fortify и Veracode.

SAST или DAST — что выбрать, если бюджет на один инструмент?

Их не противопоставляют: SAST ловит дефекты рано в коде, DAST — то, что видно только в рантайме. Если стартуете с одного, отталкивайтесь от модели угроз и стека; логику выбора разбираем в SAST против DAST.

Как понять, что инструмент не утопит команду в ложных срабатываниях?

Только пилотом на вашем коде: прогоните 2–3 кандидата и сравните долю реальных дефектов и шума. Витринные демо этого не покажут.

Нужен ли сертификат ФСТЭК для SAST/DAST?

Для значимых объектов КИИ и госсектора наличие в реестре отечественного ПО и сертификат — входной барьер. Для коммерческой разработки чаще решают покрытие стека, качество анализа и встраиваемость в CI/CD.

Где сравнить конкретных вендоров между собой?

В рейтинге SAST, DAST и SCA — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

Анализ исходного кода (SAST) и динамическое тестирование приложений (DAST) перестали быть нишей: безопасная разработка вошла в требования регуляторов, а после ухода Checkmarx, Fortify и Veracode рынок инструментов AppSec в России пересобрался на отечественных продуктах. К 2026 году несколько российских SAST/DAST-решений вышли на корпоративный уровень, но различаются по числу поддерживаемых языков, глубине анализа, доле ложных срабатываний и встраиваемости в CI/CD. **Если коротко:** «рейтинг» SAST/DAST не сводится к одному месту в таблице — он зависит от вашего стека, модели угроз и зрелости процессов разработки. На этой странице — критерии, по которым честно сравнивать инструменты, и ориентир по российским вендорам без баллов и мест. Сами места и подтверждённые сигналы смотрите в [рейтинге SAST, DAST и SCA](/rating/appsec-testing-sast-dast-sca): там поставщики ранжированы по проверяемым фактам, а не по рекламе.

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source OWASP Foundation OWASP Foundation
Рейтинг SAST, DAST и SCA Сравнить поставщиков по подтверждённым сигналам SAST против DAST: когда какой инструмент выбрать Чем заменить Checkmarx, Fortify и Veracode в России SCA и контроль open source: как закрыть риски зависимостей
next step

Сравнить подрядчиков по рейтингу

Исследование помогает сформулировать критерии. Для короткого списка используйте категории рейтинга и карточки компаний.

Рейтинг SAST, DAST и SCA
NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.