Безопасная разработка: от DevOps к DevSecOps

Скорость разработки — движущая сила ИТ-бизнеса. Команды выпускают приложения и обновления рекордными темпами, иногда несколько раз в неделю, и потребность в их защите обеспечивает быстрый рост рынка безопасной разработки. 

По данным Б1, сегмент анализа, контроля и реагирования на угрозы ИБ, к которому относится контроль безопасности кода – второй по величине на рынке ИБ-продуктов. К 2030 году он может достичь 79 млрд руб.

Отличия DevOps и DevSecOps

DevOps — объединяет разработку, тестирование и эксплуатацию программного обеспечения в единую, непрерывную цепочку. Такой подход ускоряет жизненный цикл разработки и позволяет чаще выпускать обновления. Однако, в модели DevOps проверка безопасности проводится на завершающем этапе.

DevSecOps — новый уровень развития DevOps. В этой модели процессы и инструменты информационной безопасности интегрируются во все стадии жизненного цикла приложения: от проектирования и написания кода до его внедрения и поддержки.

Как обеспечить DevSecOps 
У каждой компании свои вызовы: где-то не хватает экспертизы в области безопасности, а где-то — эффективных инструментов для проверки кода. Так, согласно данным центра цифровой экспертизы (Роскачество) и ГК «Солар», в популярных приложениях сервисов доставки еды, онлайн-аптек, платформ с товарами для дома и дачи, а также маркетплейсах электроники и бытовой техники была выявлена уязвимость с обращением к DNS. Ее эксплуатация может позволить хакерам перенаправить трафик на поддельные серверы и приводить к перехвату данных. 

В итоге почти 90% приложений содержат как минимум одну критическую уязвимость. 

Для решения этой задачи мы еще в 2015 году представили Solar appScreener — технологическую платформу для комплексного анализа безопасности. И за 10 лет продукт прошел путь от первой идеи до зрелого решения, которое стало неотъемлемой частью процессов безопасной разработки для более 200 компаний.

Платформа включает четыре основных модуля, которые закрывают все ключевые задачи по безопасной разработке кода, что обеспечивает снижение количества уязвимостей, ускорение вывода продуктов на рынок и сокращение расходов на доработки.

• SAST (статический анализ кода) — выявляет уязвимости в коде приложений на ранних этапах.
• DAST (динамический анализ кода) — проверяет, как веб-приложение реагирует на некорректные запросы, и находит слабые места.
• SCA (модуль анализа состава ПО) — контролирует использование открытых библиотек (open-source), снижая риски.
• SCS (модуль анализа безопасности цепочки поставок ПО) — контролирует безопасность open source на протяжении всего пути (от создания/покупки до использования), по которому компоненты попадают в компанию.