вт, 5 сентября
Время прочтения статьи: 6 минут
В рамках цикла интервью, посвященного 25-летию компании, мы продолжаем делиться подробностями нашего развития по различным направлениям. На этот раз нам удалось пообщаться с Дмитрием Войтиком, CTO компании СИСТЕМНЫЕ ТЕХНОЛОГИИ, о внедрении процесса безопасной разработки программного обеспечения — или SSDLC, в нашей компании.
Вопрос безопасности всегда был важен для нас, но конкретным толчком к систематизации этого подхода стал процесс сертификации по международному стандарту менеджмента информационной безопасности ISO/IEC 27001.
Этот международный стандарт устанавливает требования к системам управления информационной безопасностью и позволяет организациям управлять безопасностью активов — таких как финансовая информация, интеллектуальная собственность или информация, предоставленная третьими сторонами.
Проходя эту сертификацию, мы провели глубокий анализ всех наших процессов и осознали, что безопасность не может быть «приклеенной» к продукту на последних этапах разработки. Она должна быть интегрирована на всех уровнях и во все процессы — от идеи до поддержки уже запущенного продукта. Это осознание стало катализатором для внедрения SSDLC в нашу разработку.
Мы используем широкий спектр инструментов. Для статического анализа кода (SAST) используем Sonarqube и Checkmarx. Для динамического тестирования (DAST) — Acunetix и OWASP ZAP. Также у нас есть инструменты для сканирования зависимостей, например OWASP Dependency Check, для моделирования угроз мы используем IriusRisk. Это позволяет нам проводить глубокий анализ на разных уровнях — от кода до архитектуры.
Важность этого подхода трудно переоценить. Первое, что стоит упомянуть — экономия. Устранение уязвимостей на ранних этапах разработки намного дешевле, чем исправление ошибок в уже запущенном продукте. Второе — это репутация. Мы хотим, чтобы наши клиенты доверяли нам, и для этого мы должны предоставлять им безопасные продукты. И третье, что не менее важно, — это непрерывный процесс. Уязвимости могут появляться не только в нашем коде, но и в операционных системах, библиотеках и других сторонних компонентах, которые мы используем.
Поэтому необходимо проводить постоянный мониторинг безопасности, обновлять продукты и реагировать на новые угрозы как можно скорее.
Клиент получает не просто продукт, а продукт с гарантированным уровнем безопасности. Мы предоставляем регулярные отчеты об уязвимостях, рекомендации по их устранению и даже консультации по вопросам безопасности. Это не только повышает уровень киберустойчивости продукта, но и дает клиенту уверенность в том, что его бизнес и данные находятся в полной безопасности.
SecDevOps — это интеграция и автоматизация процессов безопасности, что позволяет нам обеспечивать безопасность на всех этапах разработки и эксплуатации. Это ключевой элемент нашей стратегии, потому что он позволяет нам автоматизировать многие аспекты безопасности и тем самым сократить время на выявление и устранение уязвимостей.
Что касается Виталия и Евгения, эти ребята — настоящие профессионалы в своем деле. Благодаря их усилиям и целеустремленности, мы смогли реализовать множество задач, которые ранее казались нам сложными или даже невозможными.
Действительно, обучение разработчиков имеет критическое значение, ведь именно они проектирует архитектуру наших приложений, пишут код и исправляют ошибки, и именно от их уровня понимания принципов безопасной разработки зависит количество потенциальных уязвимостей в нашем продукте.
Для обучения мы используем несколько подходов.
Во-первых, у нас есть внутренние курсы и воркшопы, проводимые нашими SecDevOps инженерами. Во-вторых, мы используем метод CTF (Capture The Flag), который позволяет разработчикам на практике применять знания по безопасности, решая реальные задачи. Этот метод включает в себя уязвимости из OWASP TOP-10 и другие актуальные проблемы безопасности. Таким образом, наша стратегия обучения направлена на то, чтобы сделать каждого разработчика экспертом в области информационной безопасности, что в итоге снижает риски и повышает качество нашего продукта.
В заключении необходимо отметить, что безопасность — это командная работа. И каждый член нашей команды, от разработчиков до SecDevOps, вносит вклад в создание безопасного и надежного продукта. Мы продолжаем учиться и совершенствоваться, чтобы быть на шаг впереди и предлагать нашим клиентам лучшие решения на рынке.