СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
УЦСБ
3 часа назад
#Dev#ИБ

Скорость без риска: УЦСБ и «Атомик Софт» внедрили DevSecOps в «Альфа платформу»

Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки в процесс создания «Альфа платформы» – программного комплекса, предназначенного для построения систем управления технологическими процессами (HMI, SCADA и других решений). Это позволило повысить защищенность продукта «Альфа платформы», не останавливая его текущую разработку и сохраняя высокую скорость выхода обновлений – критически важный фактор на конкурентном рынке промышленных ИТ-решений.

Особый технологический вызов создавала модульная архитектура платформы, состоящая из базового ядра и настраиваемых дополнений: уязвимость, возникшая в ядре, могла тиражироваться во все системы, собранные на основе этой платформы на промышленных предприятиях. Таким образом, безопасность должна пронизывать все этапы разработки, но без замедления релизных циклов и перекраивания отлаженного технологического процесса.

Решением стало подключение к облачной платформе для анализа защищенности приложений Apsafe – собственному продукту УЦСБ. В рамках интеграции платформы в процесс разработки был создан и настроен скрипт, обеспечивающий автоматическую передачу исходного кода из системы сборки Jenkins в Apsafe. Теперь каждый билд автоматически проходит в платформе комплексный анализ защищенности, а верифицированные экспертами результаты поступают напрямую в таск-трекер разработчиков «Альфа платформы».

Проект вышел за рамки автоматизированного сканирования. Эксперты УЦСБ не только выявляли уязвимости с помощью SAST, DAST, SCA и обязательного фаззинг-тестирования, но и детально разбирали каждую находку с командой «Атомик Софт». Совместная работа превратила потенциальные инциденты в обучающие кейсы и конкретные правила безопасного кодирования, которые были немедленно интегрированы в процесс код-ревью. Это запустило механизм регулярного повышения качества кода внутри компании.

Важным практическим результатом стало выполнение требований регуляторов, в частности, Приказа ФСТЭК России №239 (п. 29.3), включая наличие актуализированного руководства по безопасной разработке (SDLC) и проведение обязательных видов тестирования. Теперь разработчик может сопровождать свое ИТ-решение не только техническими отчетами, но и документальными доказательствами встроенной безопасности для заказчиков – промышленных предприятий с повышенными требованиями к защищенности.

В результате партнерства «Атомик Софт» получил не только ежемесячную отчетность по результатам анализа, но и работающую систему управления безопасностью кода – от написания до сборки. Это снижает риски для конечных заказчиков в промышленности и укрепляет доверие к продукту. Проект наглядно демонстрирует переход от разовых проверок к модели, где непрерывная безопасность встроена в жизненный цикл разработки.

УЦСБ
Автор: УЦСБ
Компания УЦСБ специализируется на создании, модернизации и обслуживании базовых инфраструктурных элементов предприятий и организаций, включая: информационные и инженерно-технические системы, решения по обеспечению информационной и технической безопасности.
Комментарии: