Как подружить разработку и безопасность в рамках одной компании?
Авторская колонка Юрия Шабалина на Rusbase.ru
Главная причина большого числа проблем с информационной безопасностью в готовых продуктах — в том, что во многих компаниях отделы безопасности и разработки стоят по разные стороны баррикад и не хотят друг к другу прислушиваться.
Юрий Шабалин, один из основателей компании Stingray Technologies (ГК Swordfish Security), расскажет, как подружить эти два направления, как обучать безопасности разработчиков и как в перспективе сократить число уязвимостей в релизах программных продуктов.
В России сегодня активно создают программное обеспечение. Потребность в нем высока: только для наполнения маркетплейса отечественных программных продуктов, который власти планируют открыть этой весной, требуются десятки тысяч продуктов. Помимо этого, для разных отраслей нужны сотни решений по программе импортозамещения, да и плановых разработок никто не отменял.
Ресурсы для того, чтобы создавать огромное количество ПО, есть. Однако готовые продукты небезопасны: сегодня каждое третье приложение, поступающее в российские сторы, уязвимо. В 2020 году, по статистике Positive Technologies, в 9 из 10 веб-приложений преступники могли проводить атаки на пользователей, и сейчас ситуация существенно не улучшилась.
Изменить положение дел может совместная работа отделов безопасности и разработки. Пока они стоят по разные стороны баррикад, проблемы сохранятся. Следовательно, необходимо эти два направления подружить и научить разработчиков учитывать интересы специалистов информационной безопасностии, чтобы снизить количество уязвимостей в выпускаемом ПО.
