УЦСБ и «Атомик Софт» внедрили DevSecOps в в «Альфа платформу»
Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки (DevSecOps) в процесс создания «Альфа платформы» — программного комплекса для построения систем управления технологическими процессами (HMI, SCADA). Как сообщили компании, это позволило повысить защищенность продукта без снижения скорости выпуска обновлений.
Основная сложность, как отмечается в сообщении, заключалась в модульной архитектуре продукта: уязвимость, обнаруженная в базовом ядре, потенциально могла затрагивать все внедренные на его основе системы. Это требовало внедрения сквозной безопасности на всех этапах разработки, но без сокращения скорости выпуска обновлений и кардинальных изменений в рабочих процессах.
В качестве решения была интегрирована облачная платформа анализа защищенности Apsafe, разработанная УЦСБ. Как сообщили компании, был настроен скрипт для автоматической передачи исходного кода из системы сборки Jenkins в Apsafe. В результате каждый новый билд теперь автоматически проходит в платформе комплексную проверку безопасности, а верифицированные экспертами отчеты направляются напрямую в таск-трекер команды разработки.
Проект также включал совместный разбор обнаруженных уязвимостей с использованием SAST, DAST, SCA и фаззинг-тестирования. Как отмечают компании, эта работа позволила сформировать конкретные правила безопасного кодирования, интегрированные в процесс код-ревью.
Важным результатом внедрения, как сообщили в компаниях, стало выполнение требований регуляторов, в частности Приказа ФСТЭК России №239 (п. 29.3), включая наличие актуализированного руководства по безопасной разработке (SDLC). Это дает возможность сопровождать продукт документальными доказательствами встроенной безопасности для заказчиков — промышленных предприятий с повышенными требованиями к защищенности.
По итогам сотрудничества «Атомик Софт» получил работающую систему управления безопасностью кода на всех этапах — от написания до сборки. Как указывается в сообщении, проект демонстрирует переход от разовых проверок к модели непрерывной безопасности, встроенной в жизненный цикл разработки.
Читайте также
