IT ManagerБезопасностьУправление ИБ

DevOps – это только начало!

Дмитрий Виноградов | 31.08.2020

DevOps – это только начало!

Вчера вы встали рано утром, приехали на работу и в торжественной обстановке перерезали ленту вашего новенького конвейера DevOps. Вы много работали, чтобы ответить на важнейший вызов современности с точки зрения разработки программного обеспечения (ПО) – сокращение Time-To-Market (T2M). Вы добились максимальной гибкости любых внедрений, сократили длительность релизных циклов, а вывод новых продуктовых фич в промышленную эксплуатацию ускорен настолько, насколько это вообще возможно. Казалось бы, работа закончена и можно немного передохнуть. У меня для вас отличные новости: DevOps – это только начало!

В эпоху тотальной цифровизации наиболее актуальным вызовом для компаний, использующих в своих продуктах и сервисах конфиденциальные и платежные данные клиента, становится обеспечение информационной безопасности. Для банков, страховых компаний, операторов связи, медицинских учреждений, провайдеров услуг, ретейла – для любого бизнеса наличие уязвимостей в программном продукте создает риск серьезных финансовых и репутационных потерь, а порой ставит под вопрос существование компании как таковой.

Единственный возможный ответ на этот вызов –интеграция практик обеспечения информационной безопасности в непрерывный процесс разработки DevOps, то есть построение DevSecOps.

Мы пообщались с экспертами из двух Российских компаний – Trust Technologies и Swordfish Security, специализирующихся на реализации комплексных проектов в области разработки защищенного ПО. Вот что они нам рассказали о DevSecOps.

Что такое DevSecOps?

Недостаточно установить статический анализатор кода или проводить функциональное тестирование с автоматическим контролем прохождения тестов. DevSecOps – это методология разработки ПО, включающая процессы, инструменты и методы защиты приложений от угроз на протяжении всего цикла. Это комплексный, автоматизированный, контролируемый на всех этапах процесс.

img

Эксперты из Trust Technologies отмечают, что лишь часть клиентов запрашивают комплексную услугу по построению DevSecOps c полным пересмотром текущих процессов разработки ПО, встраиванием в процессы необходимых элементов автоматизации и проверок соответствия процессов и продуктов требованиям регуляторов. Часто клиент просит предоставить какой-то конкретный продукт, надеясь, что он решит все проблемы. Но это не так.

В Swordfish Security выстраивание правильного, системного процесса DevSecOps представляют в виде комплексной задачи, состоящей из следующих этапов:

Анализ защищенности ПО. Общий анализ защищенности ПО (систем, приложений, цифровых сервисов) включают как комплексный анализ с использованием инструментальных средств, так и экспертный анализ требований, архитектуры и формирование приоритетного бэклога идентифицированных дефектов. Результаты проведенного анализа используются для оперативного повышения уровня защищенности ПО, для планирования программы повышения компетенций инженерных команд, а также для проектирования инженерного процесса DevSecOps на последующих этапах.

Разработка стратегии внедрения практик информационной безопасности ПО. Формирование дорожной карты внедрения процесса безопасной разработки на основе модели зрелости BSIMM (Building Security In Maturity Model), позволяющей детально оценить весь объем практик, как технологического, так и организационно-процессного характера. Фиксируется целевой уровень зрелости в рамках реализации данной стратегии, а также поэтапный перечень необходимых активностей. Наличие стратегии поможет не только при старте самой инициативы информационной безопасности (защита бюджетов на корпоративном уровне, планирование, оценка и обоснование необходимого объема ресурсов), но и при уже выстроенном процессе разработки защищенного ПО для определения векторов дальнейшего развития.

Процессный консалтинг. Модернизация текущих процессов разработки ПО, если это требуется по результатам проведенного анализа. Формирование новых элементов процесса, новых ролей, реализация необходимых активностей и контроля, детальный анализ реализации конкретных практик DevSecOps.

Технологический консалтинг. Внедрение, сопровождение и тонкая настройка инструментального стека в рамках процесса DevSecOps. Интеграция инструментов анализа защищенности ПО в текущий инженерный процесс, с учетом особенностей внутреннего технологического стека разработчиков, а также требований максимального уровня автоматизации.

Онбординг в процесс DevSecOps. Постепенное и итеративное включение всех команд и потоков разработки в построенный процесс. Детальный анализ идентифицированных дефектов, фильтрация ложных срабатываний, устранение дубликатов и корреляция дефектов при их обнаружении несколькими практиками ИБ. Анализ ложно-позитивных/ложно-негативных срабатываний, по результатам которого разрабатываются автоматизированные политики и индивидуальные правилаанализа, значительно повышающие эффективность инструментального стека ИБ на последующих итерациях.

Александр Зайцев (Trust Technologies)
Александр Зайцев (Trust Technologies)

Немаловажную роль в построении DevSecOps играет автоматизация проверки требований регулятора. С 2020 года для осуществления своих операций банки обязаны использовать только ПО, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, либо прошло процедуру анализа уязвимостей к оценочному уровню доверия не ниже, чем ОУД-4, в соответствии с требованиями стандарта (ГОСТ Р ИСО/МЭК 15408-3-2013).

Новый нормативный акт – «Профиль защиты» от Центробанка, который должен быть принят в ближайшее время, становится более жесткой версией ОУД-4, и если не использовать DSO (DevSecOps), финансовым компаниям придется готовить документацию о соответствии программного продукта требованиям регулятора на каждом витке разработки программы или приложения. Раз в год приложения будут проходить стороннюю оценку уязвимостей, процедуру предполагается проводить с помощью тестирования на проникновение. Помимо этого, придется разубеждать проверяющие органы в том, что продукт соответствует этим требованиям.

В случае использования автоматизированного процесса разработки защищенных программных продуктов достаточно показать, что все необходимые технологические практики применяются регулярно в цикле разработки, а шаблоны документов уже по умолчанию интегрированы в методику. Это колоссально сокращает расходы – разработчик будет экономить как при создании каждого нового продукта, так и при выпуске каждого релиза.


DevSecOps – это люди!

Как упоминалось выше, для построения DevSecOps важно взаимодействие и понимание между всеми участниками процесса, а этого можно добиться только грамотным построением центра компетенций внутри компании. Здесь выделяются три основных направления: программа осведомленности, программа обучения и методические руководства по безопасной разработке.

Программы осведомленности – это практика вовлечения в процесс безопасной разработки всех целевых подразделений в компании. В рамках такой программы должны проводиться вводные семинары для новых технических специалистов, функционирующих инженерных команд, а также для менеджмента.

Программы обучения обеспечивают повышение квалификации как специалистов из команд разработки, так и специалистов команды ИБ. Программы должны включать проведение очных тренингов по практикам безопасного кодирования и построения защищенных архитектур с учетом текущего практического опыта, постоянное повышение квалификации с использованием интерактивных курсов, регулярный контроль через тестирование уровня знаний.

Руководства по безопасной разработке предоставляют инженерам простой доступ к базе знаний для использования при разработке.

Оркестрация DevSecOps

Как вы уже поняли, DevSecOps – это сложный процесс, требующий автоматизированного управления и контроля, так называемой оркестрации, на всех этапах. Использование правильного инструмента для оркестрации DevSecOps может существенно сократить время на запуск инициативы безопасной разработки ПО, а также повысить эффективность взаимодействия с командами разработки в рамках общей трансформации инженерных процессов.

Юрий Сергеев (Swordfish Security)
Юрий Сергеев (Swordfish Security)

Инструмент оркестрации должен позволять системно решить весь спектр задач: реализовать бесшовную интеграцию инструментов информационной безопасности с инструментами разработки; организовать полностью автоматизированное управление и настройку конвейера сервисов информационной безопасности в рамках циклов непрерывной интеграции; обеспечить контроль процесса безопасной разработки с помощью набора метрик.

В настоящий момент на российском рынке представлен единственный продукт в этом классе – AppSec.Hub.

C точки зрения интеграции инструментального стека AppSec.Hub, по сути, является единым интерфейсом для включения инструментов ИБ в цикл разработки и их детальной настройки, контроля портфеля проектов разработки в контуре DevSecOps, агрегации данных о статусе и результатах работы практик информационной безопасности.

На данный момент платформа поддерживает полноценную интеграцию с 16 сторонними продуктами, такими как Bitbucket, GitLab, Jenkins, TeamCity, Confluence, Jira, YouTrack, Checkmarx, Fortify, Sonatype Nexus IQ, Synopsys BlackDuck и др.

AppSec.Hub позволяет контролировать процессы DevSecOps в реальном времени благодаря комбинации уникальных алгоритмов сбора, консолидации и анализу данных.
***

Подводя итог, хочется сказать, что переход от DevOps к DevSecOps – это не простой, требующий комплексного подхода, требовательный к финансовым и человеческим ресурсам, шаг. Но в то же время это шаг, который необходимо сделать всем компаниям, занимающимся разработкой ПО, чтобы адресовать современные угрозы кибербезопасности и остаться на рынке. Исходя из этого, компании Trust Technologies и Swordfish Security предлагают рынку комплексное решение, обеспечивающее безопасность разработки на всех стадиях жизненного цикла программных продуктов.

информационная безопасность, Software (ПО компьютера)

Журнал: Журнал IT-Manager [№ 08/2020], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Я первое время ходил на все встречи с диктофоном, что спасал о меня от ситуации, когда я полностью понял собеседника, идеально подстроился, обо всем договорился… но вот о чем договорился и вообще, что обсуждали –, не помню хоть убей.

«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.

Федеральная служба исполнения наказаний (ФСИН) на заседании Совбеза РФ предложила план по ликвидации фальшивых банковских колл-центров, ведущих свою деятельность из тюрем.

Компании сообщают

Мероприятия