В Москве 19 ноября 2024 года прошла третья конференция  День безопасной разработки ПО, организованная АРПП «Отечественный софт» при поддержке компании Positive Technologies. Мероприятие собрало более 90 участников очно и свыше 100 участников онлайн, среди которых впервые в истории выступили представители ИЦК и ЦКР, что подчеркивает растущий интерес к вопросам безопасности разработки ПО и защите данных в условиях усиленных требований и растущих киберугроз.

Алексей Бегаев, основатель компании InSeq, стал одним из главных спикеров конференции. В своем докладе «Делаем разработку безопасной без сноса несущих конструкций» он рассказал о том, как эффективно внедрить инструменты безопасной разработки на всех этапах разработки ПО, не разрушая уже существующую инфраструктуру и процессы. Это решение особенно актуально для компаний, которые стремятся улучшить безопасность своих продуктов, не теряя времени на переоборудование и значительные изменения инфраструктуры.

Безопасность, как неотъемлемая часть разработки.

В ходе выступления Алексей Бегаев подчеркнул, что для успешного создания безопасных программных продуктов необходимо не только внедрить дополнительные меры обеспечения безопасности, но и интегрировать их на всех этапах разработки. Успешная реализация мер информационной безопасности и инструментов безопасной разработки не требует разрушительных изменений в инфраструктуре компании-разработчика. Вместо этого важно грамотно выстроить и документировать все процессы разработки.

«Нельзя построить хороший дом на плохом фундаменте. Если процессы разработки слабо организованы, не стоит ожидать, что продукт будет качественным и безопасным. Мы предлагаем интегрировать безопасность, не разрушая уже выстроенные конструкции.»

Проблемы безопасности ПО и способы их решения.

Алексей Бегаев отметил, что одной из ключевых проблем безопасности ПО является использование заимствованных компонентов, которые могут содержать уязвимости. Для решения этой проблемы компания InSeq предлагает проводить независимую оценку безопасности критически важных компонентов и систем. Это поможет минимизировать риски и обеспечить защиту данных на всех уровнях.

«Многие уязвимости в ПО выявляются в заимствованных компонентах, что увеличивает риски для безопасности ПО. Важно внедрять независимую проверку для критически важных элементов системы и подключать к процессу внешних экспертов.»

Автоматизация, сдвиг влево и важность раннего тестирования.

Особое внимание Алексей Бегаев уделил внедрению принципа сдвига влево (shift-left) и автоматизации процессов тестирования. Он подчеркнул, что автоматизация проверки кода на уязвимости позволяет значительно ускорить выявление и устранение рисков, снижая вероятность ошибок, связанных с человеческим фактором.

«По нашему опыту, предложенный подход является наиболее адекватным вариантом решения вопросов обеспечения безопасности ПО в типовых случаях, когда частота релизов установлена один раз в две недели, а процесс подтверждения безопасности релиза занимает порядка полугода. Автоматизация большинства тестов безопасности и внедрение мер ИБ в производственный цикл разработки позволяют минимизировать риски и ускорить процессы устранения уязвимостей.»

Конференция “День безопасной разработки ПО” стала важной для обсуждения актуальных проблем и решений в области информационной безопасности. Участники конференции обсудили новейшие подходы к разработке безопасного ПО, в том числе автоматизацию процессов, сертификацию ПО и внедрение DevSecOps. Презентованные кейсы и инструменты продемонстрировали реальные примеры успешной интеграции инструментов в процессы разработки безопасного ПО.

Ренат Лашин, исполнительного директора АРПП, отметил, что тренд на безопасную разработку софта (РБПО) сегодня набирает обороты: «Заказчики все чаще говорят о важности РБПО. Мы это видим и по обращениям, поступающим в Ассоциацию, и по особому вниманию регуляторов к этому вопросу».