Эксперты обсудили в «Сколково» актуальные проблемы безопасной разработки
Фонд «Сколково» и «РТК-Солар» провели технологический митап по теме «Secure SDLC для безопасной разработки». Мероприятие состоялось на базе всероссийской программы по поиску и инвестиционному развитию технологических компаний DeepTech Cybersecurity. На встрече выступили специалисты компаний «Лаборатория Касперского», SolidLab, «Инфосистемы Джет», «РТК-Солар» и «Стингрей Технолоджиз» с докладами об инструментах, процессах и стратегии внедрения DevSecOps.
Эксперты рассказали о рисках информационной безопасности и о том, какие практики можно и нужно использовать при анализе защищенности. Устранение уязвимостей на этапе разработки ПО значительно снижает риски информационной безопасности. Внедрение процессов защищенной разработки экономит время и ресурсы на поддержку и исправление ошибок в процессе эксплуатации программных продуктов.
Юрий Шабалин, Генеральный директор «Стингрей Технолоджиз»: «За 2021 год российские пользователи скачали более 5,5 млрд мобильных программ (6 место в мире) и потратили на них $1,5 млрд (11 место). При этом, в процессе их разработки безопасности часто отводится недостаточно времени и ресурсов, а потому защищенность многих решений “хромает”. По данным исследования “Стингрей Технолоджиз”, 78% российских мобильных приложений сегодня содержат уязвимости. Наличие проблем с безопасностью в них влияет на защищенность всей системы. Между тем, существуют практики и инструменты, с помощью которых можно повысить уровень безопасности программных продуктов и снизить риски».
Сергей Деев, менеджер продукта Solar appScreener компании «РТК-Солар»: «Безопасная разработка — это комплекс мер, а не отдельно взятый инструмент или набор инструментов. Варианты их реализации во многом зависят от разрабатываемого в организации ПО, особенностей сборочной инфраструктуры и существующих процессов разработки. По нашему опыту, на первом этапе внедрения практик безопасной разработки прежде всего следует организовать процесс статического анализа кода с помощью инструментов SAST-анализа. Реализацию других мер можно делегировать сторонним организациям и по мере повышения зрелости процессов в компании постепенно перенимать навыки и повышать экспертизу внутри команды».
Вячеслав Железняков, сооснователь группы компании SolidLab: «Использование небезопасных внешних компонентов кода из открытых репозиториев — актуальная проблема при разработке современных приложений. Угрозы могут быть связаны с заведомо вредоносными компонентами, компрометацией доверия на стадиях жизненного цикла компонентов, рекурсией зависимостей, некорректными настройками процессов загрузки зависимостей из внешних репозиториев и т.д. Для снижения рисков необходим комплексный подход, который включает построение защищенных процессов загрузки и сборки внешних компонент, использование специализированных внутренних репозиториев, проверку компонентов на наличие уязвимостей на ключевых стадиях жизненного цикла с использованием доверенных источников. При этом должен быть качественно настроен процесс оценки и обработки выявленных недостатков защищенности».
Александр Винявский, технологический евангелист «Лаборатории Касперского»: «Одна из фундаментальных проблем безопасности современных ИТ-систем заключается в том, что ИБ-индустрия действует реактивно и использует наложенные средства защиты для борьбы с активными действиями злоумышленников. Поэтому необходимо сдвинуть парадигму самого подхода к разработке и создавать системы со свойством кибериммунитета — “врожденной” защищенностью как от известных, так и от абсолютно новых видов кибератак. Особенности кибериммунного подхода, это, прежде всего: минимизация доверенного кода, изоляция доменов безопасности, контроль межпроцессных взаимодействий, специальная методология разработки, закладывающая безопасность в основу архитектуры системы».