Эксперт Swordfish выступит на Saint HighLoad++ 2022

Бесшовное внедрение практик безопасности в DevOps-конвейер, или Как обеспечить безопасность беспрерывной разработки

Бесшовное внедрение практик безопасности в DevOps-конвейер, или Как обеспечить безопасность беспрерывной разработки

В рамках выступления вы узнаете о предпосылках и целях внедрениях процессов безопасной разработки. Мы посмотрим на эволюцию цифровых угроз, а также определимся с основными интересами стейкхолдеров в парадигме DevSecOps. Поговорим о методологии и инструментах построения безопасной разработки, а также о важности бесшовной оркестрации процесса. Развеем мифы построения AppSec в формате сервис и наконец разберемся, кто же важнее — Dev / Sec или Ops.

Слайд 35. Статический анализатор не работает, если нет правильного процесса.

Обычно:

  1. Анализ решений и определения критериев оценки инструмента
  2. Внедрение статического анализа в MVP-проектах
  3. Тиражирование — покрытие тестирование 100% кодовой базы

По версии Swordfish:

  1. Определение процесса SSDL.
  2. Определение требований регуляторов к обеспечению ИБ.
  3. Определение недопустимых событий.
  4. Создание общего профиля бизнес рисков.
  5. Обучение разработчиков.
  6. Обучение ИБ специалистов.
  7. Анализ решений и определения критериев оценки инструмента.
  8. Введение роли Security Champion в частичных командах.
  9. Разработка модели критичности приложений.
  10. Внедрение статического анализа в MVP-проектах.
  11. Разработка методов выявления дефектов в ПО.
  12. Организация внешнего обучения Security Champion.
  13. Внедрение системы метрик.
  14. Выставление quality gates (warning).
  15. Тонкая настройка.
  16. Поздравляю! Вы выполнили первое сканирование!
  17. Анализ результатов сканирования.
  18. Определение процесса внесения изменений в код.
  19. Формирование отчета.
  20. Введение роли риск-акцептора.
  21. Предоставление информации разработчикам.
  22. Организация процесса пересмотра правил.
  23. Переход в режим block.
  24. Поддержка руководства.
  25. Покрытие тестирование 25% кодовой базы.
  26. Предоставление информации о процессе работы с уязвимостями.
  27. Покрытие тестированием 50% кодовой базы.
  28. Демонстрация эксплуатации уязвимостей.
  29. Покрытие тестирование 75% кодовой базы.
  30. Тиражирование — покрытие тестирование 100% кодовой базы.

 

Слайд 38. Ландшафт DevSecOps со временем только усложняется.
Ландшафт DevSecOps

Сайт Saint Highload++
https://highload.ru/spb/2022/abstracts/9357

Андрей Иванов — Директор по развитию в Swordfish Security, ведет проекты разной степени сложности по DevSecOps. Темы, которыми увлекается: безопасная разработка, безопасность мобильных и web-приложений, безопасность архитектуры, кибербезопасность банковского сектора, безопасность платежей, законы и инициативы регулятора (ЦБ).