Связаться с нами
Связаться с нами
Назад

Построение конвейера безопасности разработки

Внедрение защищенного хранилища заимствованных компонентов, инструментов анализа исходного кода и заимствований, встраивание их в конвейер сборки ПО.

Связаться с нами
Построение конвейера безопасности разработки

Приняли участие в крупном национальном проекте по разработке новых платежных средств, внедрив для финансового регулятора защищенный репозиторий заимствованных компонентов и встроив инструменты и практики безопасной разработки (DevSecOps) в существующие CI-пайплайны сборки ПО.

Внедренный комплекс решений позволяет контролировать уязвимости и лицензионную чистоту заимствованных артефактов (пакетов, контейнеров и прочего), выполняя антивирусную проверку и анализ в изолированной среде до момента загрузки запрошенного артефакта в хранилище.

Отельные компоненты были встроены в конвейер сборки ПО, для DevOps специалистов и разработчиков были разработаны вариативные примеры взаимодействия с SAST, OSA\CSA средствами из пайплайнов в используемой GitLab CI\CD системе.

Итоги реализации:

  • Заказник получил инструменты безопасной разработки, и рекомендации по их применению в процессах сборки ПО и получения заимствованных компонентов, которых ранее у него не было;
  • Внедрено выделенное хранилище заимствованных артефактов;
  • Снижены риски, связанные с нарушением лицензий открытого ПО, использованием заведомо уязвимых компонентов;
  • Внедренные проектные решения соответствуют принципу безопасной разработки Shift Down, максимально автоматизированы и во много не требуют специальных действий от разработчика, экономя его временной ресурс;
  • ИБ-специалистам Заказчика предоставлены инструменты анализа исходного кода и заимствовании, интегрированные нами с существующими SIEM и SOAR системами, для чего в рамках проекта были разработаны правила нормализации и корреляции событий и плейбуки реагирования для SOAR системы;
  • Проект соответствует требования ГОСТ Р 56939-2024 по разработке безопасного ПО.

Применяемые решения:

  1. Выделенный репозиторий заимствованных компонентов Sonatype Nexus Repository;
  2. Средство композиционного анализа CodeScoring OSA\CSA в том числе для сканирования Docker образов и системных пакетов;
  3. Статический анализатор исходного кода PT Application Inspector;
  4. Антивирусный потоковый анализ посредством Kaspersky Scan Engine;
  5. Система поведенческого анализа PT Sandbox;
  6. Разработка CI-пайплайнов для GitLab CI\CD.

Похожие проекты

Реализация программы импортозамещения высоконагруженных межсетевых экранов

Проектирование и внедрение системы межсетевого экранирования в геораспределенной инфраструктуре с использованием отечественных файрволов. Результатом проекта стал перевод трафика информационных систем заказчика на выбранное и внедренное решение, полный отказ от иностранных МСЭ.

Подробнее
Реализация программы импортозамещения высоконагруженных межсетевых экранов

Аудит, проектирование с технико-экономическим обоснованием комплексной системы обеспечения информационной безопасности

Комплексный аудит информационной безопасности предприятий Заказчика и проектирование Системы обеспечения информационной безопасности. Работы охватили корпоративный и технологический сегменты промышленного предприятия.

Подробнее
Аудит, проектирование с технико-экономическим обоснованием комплексной системы обеспечения информационной безопасности

Проектирование, внедрение комплекса средств защиты информации в резервном ЦОД крупного коммерческого банка

Построение комплекса обеспечения информационной безопасности и построение резервного центра обработки данных с этапа общестроительных работ, до принятия на эксплуатацию систем ИБ в нем по модели MSSP.

Подробнее
Проектирование, внедрение комплекса средств защиты информации в резервном ЦОД крупного коммерческого банка