Компания Positive Technologies подготовила общедоступный фреймворк безопасной разработки — AppSec Table Top. Созданная методология представляет собой набор мер, принципов и подходов для обеспечения защищенности веб-приложений на всех этапах их жизненного цикла. Фреймворк поможет специалистам разных направлений (от системных аналитиков до DevSecOps-инженеров) эффективно выстроить AppSec-процессы с учетом интересов бизнеса, требований регуляторов и потребностей команд. Об этом CNews сообщили представители Positive Technologies.
Актуальные киберугрозы вынуждают компании усиливать защиту веб-приложений. В России на них, по данным исследований Positive Technologies, в 2023 г. и первой половине 2024 г. пришелся 21% атак. Кроме того, последние пять лет эксплуатация уязвимостей, в том числе в веб-приложениях, стабильно входит в тройку наиболее популярных методов атак на организации. Вследствие этого на отечественном рынке наметилась позитивная тенденция: компании, занимающиеся разработкой веб-ресурсов самостоятельно или с привлечением подрядчиков, активно внедряют процессы и инструменты DevSecOps. Такая практика позволяет еще на этапах написания, тестирования и эксплуатации ПО выявлять и устранять уязвимые места, которыми злоумышленники потенциально могут воспользоваться в будущем.
Отечественная индустрия безопасной разработки относительно молода, и компании, выстраивающие сегодня AppSec-процессы, сталкиваются со множеством вопросов. Вместе с тем руководствоваться зарубежными подходами не всегда возможно, так как многие из них неприменимы в российских реалиях. В ответ на острую потребность бизнеса и разработчиков ПО эксперты Positive Technologies создали собственную методологию. В документе аккумулирован и упорядочен 20-летний опыт вендора, передовая экспертиза компании в области application security, а также лучшие практики зарубежных и отечественных стандартов и фреймворков (PCI SSF, Microsoft SDL, BSIMM, SAMM, ГОСТ 56939, ГОСТ 15408 и других). В частности, в создании методологии участвовали практикующие специалисты: директора по ИТ, разработчики, архитекторы ИБ.
Ключевые особенности фреймворка: привязка к отечественным регуляторам (эксперты Positive Technologies непрерывно анализируют требования и постановления, регламентирующие разработку защищенного ПО, и отражают их в методологии, чтобы пользователи всегда могли контролировать соблюдение комплаенса); автоматизация (сокращение ручного труда не только ускоряет разработку и экономит ресурсы, но и минимизирует риски, связанные с человеческим фактором и отсутствием стандартизации); актуальность (гайдлайн будет обновляться ежегодно, что поможет организациям и техническим энтузиастам всегда быть в едином поле с регуляторами, отслеживать тренды безопасной разработки и строить гипотезы).
Методологию можно использовать в трех направлениях: как справочник; как основу для построения процессов безопасной разработки и как модель для оценки зрелости этих процессов в организации. Фреймворк будет полезен компаниям разных размеров — от небольших студий с командой разработки из ста человек до корпораций со штатом в несколько тысяч ИТ-специалистов.
«Описанные в методологии практики и пути их реализации помогают бизнесу выстроить элементы и процессы безопасной разработки так, чтобы уязвимостей было меньше, их обнаружение происходило раньше, а исправление стоило дешевле и было проще. Компания может выполнить любой из этапов как полностью своими силами, так и с нашей помощью, чтобы гарантированно и максимально безболезненно для команды получить хороший результат. Со своей стороны мы готовы сопровождать и страховать компании в ходе внедрения и перестройки процессов разработки», — сказал Евгений Иляхин, архитектор процессов безопасной разработки Positive Technologies.