Журнал "Information Security/ Информационная безопасность" #2, 2025
в международные астрономические про- екты. Хотел исследовать Вселенную не только в теории, но и в рамках настоя- щих космических миссий. – С чего вы начинали свою карьеру? – Первым полноценным местом рабо- ты стала компания General Satellite, впо- следствии – GS Group, где я начинал программистом, но вскоре стал руково- дить отделом интерактивного телевиде- ния. Мы разрабатывали веб-сервисы, упрощающие взаимодействие с ТВ, – по тем временам это было весьма нова- торское направление. После General Satellite был шестилетний этап в компа- нии "Нетрика", куда я пришел на позицию технического директора. Это был период стремительного роста компании. Я ока- зался в самом центре интеграционных проектов, архитектурных решений, управленческих задач и впитал, как мне тогда казалось, весь возможный опыт, какой можно было получить в интегра- торской ИТ-компании. В стране тем временем бурлила стар- тап-культура, повсюду обсуждали откры- тый код. GitHub только набирал обороты. И я подумал: ведь GitHub – это и есть новое резюме программиста. Не бумаж- ка с заголовками и приукрашенными навыками, а живой, настоящий код. И вот мы с моим другом-математиком Константином Тяпочкиным решили попробовать: можно ли превратить код в резюме? Даже придумали фразу: "Резюме лжет, исходный код – никогда". Скачали весь GitHub и при помощи машинного обучения попытались понять навыки авторов кода: на что они спо- собны и с каким качеством. Это была авантюра. Годы ушли на разработку алгоритмов, оценку кода, эксперименты. В 2015 г. мы наконец созрели: оформили все в продукт, заре- гистрировали компанию и назвали ее Profiscope. Нам казалось, что это точное попада- ние: мы действительно искали и выделяли таланты и действительно умели анали- зировать код. Но с оформлением бизнеса пришло неожиданное осознание: рекру- тинг – не наша сфера. Наши технологии про код, мы – про код. Про его структуру, качество, лицензионную чистоту и без- опасность. Безусловно, важно знать, кто этот код написал. А значит, наш опыт можно направить в сторону аудита про- граммного обеспечения. Начали с малого – обзванивали знакомых, предлагали помощь в аудите, искали способы при- менить наши инструменты в сделках M&A, в оценке технических активов. К 2019 г. мы провели десяток работ, которые можно назвать аудитами. Где- то мы входили в большие проектные группы реинжиниринга информационных систем, где-то проводили аудит само- стоятельно. Каждый случай был уника- лен – не бывает двух одинаковых про- ектов. Но в какой-то момент поняли: пора перестать подстраиваться под каж- дый случай, пора из этой боли и практики "родить" продукт. – С чего начинался Profiscope как сервис? – Profiscope как сервис вырос из ауди- тов. Занимаясь техническим анализом программного обеспечения, мы увидели, что люди не понимают, из чего состоит их код: они покупали компании, прини- мали проекты от подрядчиков, но никто не задавался вопросом: что там внутри? Из этого опыта сложился свод очень конкретных вопросов, на которые биз- несу и технарям нужны ясные ответы. Кто писал код? Какого он качества? Соблюдаются ли лицензии? Сколько в проекте чужого, а сколько своего? Пришло понимание, что пора дви- гаться к созданию продукта. Мы хотели дать людям инструмент. Так родился CodeScoring. – Как развивался CodeScoring? – Сначала мы заказали логотип – кажется, в 2019 г. Презентации стали красивее, из-за чего уверенности при- бавилось. Начали собирать кусочки: алгоритмы, методики, подходы. В какой- то момент позвонил Андрей Акинин – тогда мы не были знакомы лично. Он нашел меня через общих знакомых и предложил выступить на круглом столе Общественной палаты РФ по анализу исходного кода. Я написал тезисы, выступил. Все было новым, я никого там не знал. Наш подход казался настолько нестандартным, что меня даже приняли за представителя иностранной компании. Потом все затихло, но в августе 2020 г. Андрей снова позвонил. В одной крупной телеком-компании возник запрос на нечто, похожее на наш продукт. Мы собрались, вдохнули глубже – и начали энергично собирать CodeScoring. К нам подключился мой старый коллега – Дмитрий Волк, он и сейчас рулит всей разработкой в роли технического дирек- тора. С августа по декабрь, по сути, мы ускоренно создавали систему из всего, что у нас было: данных, наработок и знаний. Общались с заказчиком, уточ- няли детали, формировали контуры. В январе 2021 г. презентовали первую версию CodeScoring. Нам сказали: инте- ресно, давайте пробовать. Важно отме- тить, что это корпоративный сегмент, особенный и со множеством требований (забегая вперед, скажу, что нашим заказ- чиком эта компания стала только в этом году). Но мы уже были разогреты. Я вел по пять-шесть презентаций в день. Команда чуть подросла. Мы по-прежнему не искали инвестиций – все строилось на энтузиазме, опыте и вере в продукт. Весь 2021 г. мы работали с удвоенной энергией. Усилили команду – к нам при- соединился директор по продукту Роман Лапин. Интересный факт: с Романом мы познакомились, когда я пытался его зарекрутить через наш Profiscope, когда последний еще работал. Наняли админа, взяли программистов. В июне состоялась первая выставка – Tech Week в Сколко- во. Первый стенд, первый живой показ. Людям было интересно – это чувствова- лось. Мы тоже чувствовали: что-то не так. Система решала проблему, но слиш- ком комплексно. Мы говорили: "Загру- зите код – получите все: и качество, и безопасность, и профиль разработки". Звучало красиво, но не срабатывало. Для нас стало открытием, что в России ИТ и ИБ – это не просто разные отделы, это разные вселенные. Разные бюджеты. Разные языки. Безопасники, увидев что- то "не свое", сразу передавали мячик айтишникам. И наоборот. Мы поняли: нужно менять подход. И поменяли. Система стала модульной. Один модуль – про качество, другой – про безопасность. И все это под единым девизом: знай свой продукт. Наступил 2022 год. И тогда мне казалось – всё. Больше нет сил. Аудиты не всегда перекрывали стоимость разработки про- дукта. Был февраль. Но нам позвонили. И написали. Писали люди, которые когда- то брали мою визитку, кому я говорил про нашу систему. И они говорили: "Вы пом- ните? Мы тогда говорили про импортоза- мещение. Вот он – момент настал". Коли- чество пилотов решения значительно воз- росло, появились особенно требователь- ные заказчики, а к команде присоединился Игорь Петров, который основал у нас "Службу заботы о заказчике", которая привносит особую душевность в нашу работу и отношения с заказчиками. Оглядываясь назад, я часто думал: мы бы все равно дошли до этой точки – просто медленнее, тяжелее, с десятками лишних витков. Но события ускорились. Мир резко изменился. А мы к этому моменту уже были на старте: продукт собран, команда в строю, рынок – открыт. Все, что оставалось, – идти вперед. Нас поддерживал дистрибьютор Web Control во главе с Андреем Акининым – он не просто партнер, а настоящий идейный вдохновитель. Именно с его участием мы начали движение по рынку, стали завое- вывать доверие, собирать кейсы, объ- яснять, что безопасность приложений – не абстракция, а жизненная необходимость. Главное – мы сделали то, чего в Рос- сии раньше не было. С гордостью гово- рим об этом: мы стали первой отече- ственной системой композиционного анализа ПО. Пусть это звучит громко, но это правда. – Как это вообще работает? – Чтобы действительно понять, как сегодня устроен CodeScoring, важно взглянуть не только на механику, но и на философию, из которой все вырос- ло. Существует два подхода, два взгля- да, которые, идут параллельно. • 9 ПЕРСОНЫ www.itsec.ru
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw