Angara Security запускает услугу по внедрению доверенного репозитория на базе ИT-инфраструктуры заказчиков
По оценке экспертов, от 50 до 85% ИT-решений в реестре отечественного ПО разработаны с использованием открытого кода. При этом к 2026 г. до 90% компаний планируют увеличить объем используемых open-source-библиотек в ИT-разработке. Об этом CNews сообщили представители Angara Security.
C 2022 г. использование непроверенного открытого кода из доступных международных библиотек (например, GitHub) в клиентских финтех-, банковских и e-commerce-приложениях несет риски для пользователей и заказчиков ИT-разработок. Как пример первого вектора атак — атаки через уязвимость Log4Shell, выявленную в бесплатно распространяемой библиотеке log4j2.
Следующий вектор — геополитический, или Protestware, — добавление в открытый код вредоносной функциональности, которая активируется только в российской доменной зоне. Например, популярный пакет es5-ext на GitHub может быть использован для улучшения функциональности и производительности кода на JavaScript. Обычно es5-ext включается в проект через менеджер пакетов NPM (от Node.js) или YARN (от Facebook) и используется в коде через директиву Import или Require(). Российские эксперты выяснили, что пакет определяет тайм-зону, в которой он работает. Как только он понимает, что попал в российский часовой пояс, то выводит слоганы политического характера.
Третий вектор атак через open-source — это атаки на цепочку поставок. При использовании ПО клиент может получить обновление или любое ПО от разработчика с включенным в него зловредным ПО или бэкдором. Практика атак через цепочки поставок только увеличивается: если в 2022 г. число инцидентов со взломом через подрядчиков было около 20%, то в первой половине 2023 года эта тактика фиксировалась уже в 30% случаев.
Для снижения рисков при работе с open-source Angara Security рекомендует создавать на базе собственной ИT-инфраструктуры локальный доверенный репозиторий для команды разработки, который позволяет выявить эксплуатируемые уязвимости на ранних этапах и повысить уровень доверия к создаваемому ПО.
Работа подобного доверенного репозитория выстраивается по следующему алгоритму. При запросе разработчиками кода из открытого внешнего репозитория специалисты по кибербезопасности получают исчерпывающую информацию по данному ПО с использованием многоуровневой проверки специализированными сканерами OSA и SCA. При успешном прохождении проверок код попадает в локальный репозиторий и на следующих этапах разработки к нему можно подключить дополнительно инструменты SAST, DAST. На всех этапах сборки и получения ПО организован поиск ошибок и потенциальных проблем безопасности с учетом актуальных данных по уязвимостям.
«Мы применяем подход с поэтапной проверкой кода из общедоступных источников и задействуем инструменты от лидеров российского рынка информационной безопасности, — сказал Андрей Макаренко, руководитель отдела развития бизнеса Angara Security. — Мы проверяем и качество кода, и возможную зависимость от другого open-source ПО. Что важно для компании: репозиторий и весь процесс его работы бесшовно интегрируется в уже имеющиеся процессы разработки и действия команд ИТ и ИБ. Мы внедряем алгоритм обеспечения безопасности так, чтобы это не помешало уже настроенным процессам».
Во время внедрения репозитория эксперты Angara Security разрабатывают регламент взаимодействия подразделений и настраивают правила сканирования с учетом особенностей приложений заказчика. В случае если разработчик вносит изменения в код, автоматически запускается повторная проверка кода.
«В процессе разработки важно, чтобы ошибки и уязвимости были выявлены как можно раньше и не влияли на следующие спринты. Если же накануне релиза обнаружится уязвимость, которая позволит легко взломать систему, что принесет репутационный и финансовый ущерб компании, то разработчикам придется отложить дату выпуска приложения», — сказал Андрей Макаренко.
Чтобы обеспечить функционирование инфраструктуры для разработки ПО, используются российские средства защиты информации, сертифицированные ФСТЭК. Стек решений включает коммерческие сканеры российских разработчиков, специализированные решения по DevSecOps, решения по защите микросервисной архитектуры.
По итогам интеграции доверенного репозитория в ряде проектов в финтехсекторе удалось сократить сроки разработки бизнес-приложений и микросервисов за счет того, что был снижен объем кода, который вернули на доработку. Еще один дополнительный эффект — сокращение времени и рабочего ресурса ИT-специалистов на исправление ранее допущенных ошибок в разработке.
Формат доверенного репозитория дополняет другие решения для информационной безопасности ИT-разработки: аудит защищенности DevOps-инфраструктуры, анализ кода, адаптацию точечных open-source-инструментов и внедрение средств защиты на платформах для управления контейнеризированными средами.