Как эффективно организовать процесс безопасной разработки

Даниил Чернов

Директор Центра Solar appScreener компании «РТК-Солар»

Процесс безопасной разработки включает не только различные инструменты, например, SAST, DAST, SCA, но и изменение культуры внутри компании. Чтобы построить эффективную систему взаимодействия внутри команды, необходимо постепенно наращивать безопасность, опираясь на технические средства и процессы, которые уже сложились в организации.

Золотое правило – не начинать новую жизнь с понедельника

Разумно начинать с аудита – определить сколько команд принимает участие в безопасной разработке, что это за команды, какая у них иерархия, есть ли регламенты и как эта система управляется в целом. Например, некоторые команды могут быть хаотичными, жить по agile, другие же наоборот жестко структурированы и регламентированы, а иногда попадается симбиоз обоих вариантов. И здесь важно понимать, нельзя одномоментно прийти и сказать, что с сегодняшнего дня мы будем жить по-другому. Чтобы избежать эффекта отторжения и негативной реакции нужно проводить плавную интеграцию новой модели взаимодействия поверх той, что уже выстроена.

Процессы, наравне с техническими средствами, являются первичным звеном, поэтому эффективно выстроенная стратегия кросс-функционального взаимодействия сотрудников из разных подразделений позволяет интегрировать обеспечение безопасности на всех уровнях жизненного цикла продукта и тем самым снизить риски, в том числе за счет контроля и прозрачности процессов внутри компании.

Безусловно внедрение SSDLC-подхода не обойдется без сложностей, избежать которые можно уже на начальном этапе, заручившись поддержкой руководства. Единая воля руководства на внедрение этого образа жизни в компании позволит подчинить процесс единству. Следующим этапом станет построение центра компетенций, который может состоять как из сотрудников компании, имеющих опыт выстраивания данных процессов в команде, так и из внешних консультантов, оказывающих комплексную поддержку. Ответственные за внедрение новой культуры станут драйверами построения гармоничных для компании процессов, проектирование которых необходимо разбить на этапы - понятные логические шаги, постепенно масштабирующие систему безопасной разработки в целом.

Также в последнее время начала активно развиваться и поддерживаться практика Security Champion, помогающая выстраивать конструктивное взаимодействие между командами разработчиков и ИБ-специалистов. По сути, Security Champion - человек в команде, который заинтересован в выпуске на рынок безопасных продуктов, своего рода инициативный вдохновитель. Как правило, он является выходцем из команды разработки, которая очень хорошо знает свой продукт. В процессе взаимодействия с ИБ-специалистом Security Champion обучается основным инструментам защиты информации и в дальнейшем постепенно становится наставником для своих коллег-разработчиков. Такой подход помогает плавно интегрировать инструменты безопасности в процесс разработки.

Выбор подхода зависит от потребностей

При грамотно выстроенной концепции реализации, финансовые вложения всегда окупаются. Традиционно компании формируют бюджет исходя из своих потребностей, что в некоторой степени облегчает задачу выбора подходов. Например, если компания небольшая, можно начать с использования opensource сканеров, для этого потребуется только один ресурс - время сотрудника. Недостатком такого подхода является невозможность выявить много уязвимостей, что соответственно приведет к возникновению рисков в дальнейшем.

При небольших объемах разработки уже стоит задуматься о покупке и использовании профессионального решения, которое внедряется командой безопасности. Например, так поступил Ак Барс Цифровые Технологии - собственная инновационная лаборатория ПАО «АК БАРС» БАНК, занимающаяся разработкой digital-продуктов. Они купили у нас решение чтобы использовать его в процессе разработки банковских приложений и сервисов для проверки их корректной работы и надежности защиты клиентских данных. Процесс внедрения компания взяла на себя, они постоянно масштабировались и сейчас уже наращивают безопасную разработку как образ жизни.

В случае, если компания ведет большие разработки кода, то дешевле сразу начать с построения зрелой концепции безопасной разработки, применяя комплексный подход, сочетающий все возможные инструменты и автоматизацию. По такому пути пошла компания Bimeister – российский разработчик в области цифровой трансформации промышленных и инженерных предприятий. ИТ-решения компании объединяют данные об активах предприятия из различных источников в единую цифровую информационную модель на всех этапах жизненного цикла и наше решение как раз стало ядром этих процессов. С его помощью в компании Bimeister проверяют серверные и веб-приложения на уязвимости.

Опираться на лучшие практики с учетом специфики компании

Сейчас на российском рынке не существует стандартов, которые открываешь и сразу находишь готовое решение как выстроить систему идеальной с точки зрения регламентов и действительно работающей на практике. Безусловно есть ГОСТ по безопасной разработке, системы сертификации ФСБ и ФСТЭК России, а также Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении. Тем не менее эффективность процессов безопасной разработки на всех этапах жизненного цикла продукта достигается за счет обмена опытом в профессиональных сообществах, взаимодействия с регулятором и проявления гибкости в реализации полученных знаний. Опираться нужно на лучшие практики, приземляя их на свои процессы – вот залог успеха.

Безусловно комплексный подход и интеграция инструментов является сердцем процесса безопасной разработки. Инструменты, помогающие находить уязвимости в системе – это та точка, где есть выбор и именно здесь важно предпринять все меры для минимизации трудозатрат сотрудников, проводя при этом тестирование чаще, чем при анализе вручную.

Как правило, компании предпочитают приобретать решения от разных вендоров. Главный недостаток такого подхода в том, что разные инструменты не могут полноценно обмениваться информацией, ведь у каждого из них свой нейминг и зачастую даже разная иерархия критичности уязвимостей. Отсутствие унификации и единого подхода - тоже отнимает время у специалиста.

Интеграция различных инструментов в едином интерфейсе, например, как это реализовано в нашем продукте appScreener, позволяет сэкономить время и получить эффективный инструмент, предоставляющий единую картину уязвимостей от разных инструментов разработки для принятия оперативных мер реагирования.