УЦСБ и «Атомик Софт» внедрили DevSecOps в «Альфа платформу»
Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки в процесс создания «Альфа платформы» – программного комплекса, предназначенного для построения систем управления технологическими процессами (HMI, SCADA и других решений). Это позволило повысить защищенность продукта «Альфа платформа», не останавливая его текущую разработку и сохраняя высокую скорость выхода обновлений – критически важный фактор на конкурентном рынке промышленных ИТ-решений.
Особый технологический вызов создавала модульная архитектура платформы, состоящая из базового ядра и настраиваемых дополнений: уязвимость, возникшая в ядре, могла тиражироваться во все системы, собранные на основе этой платформы на промышленных предприятиях. Таким образом, безопасность должна пронизывать все этапы разработки, но без замедления релизных циклов и перекраивания отлаженного технологического процесса.
Решением стало подключение к облачной платформе для анализа защищенности приложений Apsafe – собственному продукту УЦСБ. В рамках интеграции платформы в процесс разработки был создан и настроен скрипт, обеспечивающий автоматическую передачу исходного кода из системы сборки Jenkins в Apsafe. Теперь каждый билд автоматически проходит в платформе комплексный анализ защищенности, а верифицированные экспертами результаты поступают напрямую в таск-трекер разработчиков «Альфа платформы».
Проект вышел за рамки автоматизированного сканирования. Эксперты УЦСБ не только выявляли уязвимости с помощью SAST, DAST, SCA и обязательного фаззинг-тестирования, но и детально разбирали каждую находку с командой «Атомик Софт». Совместная работа превратила потенциальные инциденты в обучающие кейсы и конкретные правила безопасного кодирования, которые были немедленно интегрированы в процесс код-ревью. Это запустило механизм регулярного повышения качества кода внутри компании.
Важным практическим результатом стало выполнение требований регуляторов, в частности Приказа ФСТЭК России №239 (п. 29.3), включая наличие актуализированного руководства по безопасной разработке (SDLC) и проведение обязательных видов тестирования. Теперь разработчик может сопровождать свое ИТ-решение не только техническими отчетами, но и документальными доказательствами встроенной безопасности для заказчиков – промышленных предприятий с повышенными требованиями к защищенности.
«Атомик Софт» получил не только ежемесячную отчетность по результатам анализа, но и работающую систему управления безопасностью кода – от написания до сборки. Это снижает риски для конечных заказчиков в промышленности и укрепляет доверие к продукту. Проект наглядно демонстрирует переход от разовых проверок к модели, где непрерывная безопасность встроена в жизненный цикл разработки.
похожие материалы
В сети появились сообщения об исключении домена YouTube из DNS Роскомнадзора
Telegram-канал ExploitEx сообщил о признаках усиления ограничений в отношении видеохостинга YouTube в России.
Роскомнадзор начал вводить меры по частичному ограничению работы Telegram в России
Власти приняли решение приступить к поэтапному ограничению работы мессенджера Telegram в России.
Исследователи зафиксировали рост кооперации политически мотивированных хакерских группировок
Центр мониторинга и реагирования на киберугрозы RED Security SOC сообщил о формировании устойчивого тренда на кооперацию политически мотивированных хакерских группировок при атаках на российский бизнес.
Минцифры планирует создать площадку для тестирования ИИ на безопасность
Для систем искусственного интеллекта высокого и критического уровня риска потребуется получать сертификат на соответствие требованиям безопасности Федеральной службы по техническому и экспертному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).
«Газинформсервис» подтвердил членство в РОСЭУ и анонсировал создание системы независимого аудита УЦ
Компания «Газинформсервис» подтвердила статус члена Ассоциации РОСЭУ на 2026 год.
BeyondTrust выпустила патч для устранения критической уязвимости
По данным официального бюллетеня безопасности, компания BeyondTrust опубликовала предупреждение о критической уязвимости в продуктах Remote Support и Privileged Remote Access, позволяющей злоумышленнику удалённо выполнить произвольный код без предварительной аутентификации.
Эксперты прогнозируют увеличение объема рынка облачных сервисов до более 1 трлн рублей
Объем российского рынка облачных сервисов к 2030 году достигнет 1,2 трлн рублей при среднегодовых темпах роста в 24,4%, говорится в предварительных оценках компаний РТК-ЦОД и iKS-Consulting.
Эксперты предупреждают о рисках использования бесплатных VPN-сервисов
Специалисты по кибербезопасности предупреждают, что бесплатные VPN-сервисы могут представлять серьезные риски для конфиденциальности и безопасности пользователей.
Облака в одном окне: «Группа Астра» анонсирует Clouden для централизованного управления гибридной инфраструктурой
«Группа Астра» вывела на рынок Clouden — решение для централизованного управления гибридной и мультиоблачной инфраструктурой.
СберКорус и «Актив» выпустили лимитированную партию премиальных ключевых носителей
Оператор электронного документооборота СберКорус совместно с крупнейшим российским производителем и разработчиком программно-аппаратных средств защиты информации.