DevSecOps. Безопасная разработка, настойка и интеграция систем
Заказчик:
Банк из Топ-10
Отрасль:
Финансы
Декабрь 2021 – октябрь 2024
Сроки:
2021 – 2024
Годы:
Заказчик принял решение о заключении рамочного договора для выстраивания долгосрочного сотрудничества в области безопасной разработки, анализа исходного кода, интеграции и настройки систем защиты. Договор позволил организовать регулярное выполнение работ, направленных на развитие процессов безопасной разработки, настройки и интеграции систем защиты и анализа исходного кода.
Задача:
Создать долгосрочную стратегию развития направления безопасной разработки. Внедрить системы защиты и анализа исходного кода, интегрировать их в существующую инфраструктуру и процессы разработки, а также обеспечить отказоустойчивость и работоспособность системы. Работы должны включать настройку и интеграцию новых систем в инфраструктуру, внесение изменений в текущий pipeline, тестирование и поиск уязвимостей с использованием подключенных систем.
Обязательный этап – разработать политики и регламенты по направлению безопасной разработки, детализирующие отчеты по результатам интеграций с системами защиты и системами анализа исходного кода, а также отчеты о выявленных уязвимостях с четкими рекомендациями по их устранению.
В ходе проекта изучены существующие процессы безопасной разработки, выполнен сбор и анализ предварительной информации о жизненном цикле разработки программного обеспечения, проведен анализ конфигураций отдельных систем на предмет корректных настроек и наличия возможных уязвимостей. Наши специалисты выполнили настройку и интеграцию систем статического и композиционного анализа исходного кода, провели динамические тестирования безопасности веб-приложений и защиты контейнеризированных сред.
Инфраструктура Заказчика была подготовлена для работы с интегрированными системами, обеспечивая их бесшовное взаимодействие с процессами разработки. По результатам собранных данных Заказчику были предложены рекомендации по развитию направления безопасной разработки. Была реализована разработка отдельных политик и настроек, используемых для проведения автоматизированных сканирований с использованием интегрированных систем анализа. Особое внимание было уделено разработке политик и регламентов безопасной разработки, что позволило систематизировать процессы и улучшить контроль над безопасностью.
В ходе проекта были подготовлены и переданы Заказчику детализированные отчеты, в которых были представлены выявленные уязвимости в исходном коде. Также были предоставлены отчеты по результатам интеграции систем с процессами Заказчика и подробные рекомендации по устранению найденных уязвимостей.
Инструменты:
PT BlackBox
Code Scoring
Kspersky Container Security
GitLab
Особенности:
Глубокий анализ процессов разработки программного обеспечения для создания эффективной инфраструктуры интеграции.
Полная интеграция и настройка систем для работы в pipeline сразу для нескольких проектов.
Адаптация систем защиты к уникальным процессам.
Модификация настроек и конфигураций систем защиты для обеспечения их оптимального функционирования в специфической контейнерной инфраструктуре и проектных процессах.
Внедрение масштабируемого решения, упрощающего управление безопасностью и анализом на разных этапах разработки.
Результат:
Заказчик получил выстроенную стратегию развития безопасной разработки и полностью интегрированные системы защиты и анализа исходного кода, которые органично встроены в существующий pipeline. Процессы разработки были проанализированы и оптимизированы, а новые системы позволили автоматизировать тестирование и повысить уровень защищенности.
В результате проекта были переданы детализированные отчеты с выявленными уязвимостями, рекомендациями по их устранению и результатами интеграции систем с процессами. Кроме того, были разработаны и внедрены политики и регламенты безопасной разработки. Все эти меры обеспечили Заказчику повышение уровня защищенности инфраструктуры и создание отказоустойчивой среды для дальнейшего развития направления.