СИГМА, входящая в группу компаний «Интер РАО», разрабатывает около 30 специализированных решений для энергетической отрасли 20 из которых включены в Реестр отечественного ПО.
Разработки компании используют ПАО «Интер РАО», ПАО «Россети» и другие игроки рынка. Энергетические компании входят в ТОП-10 отраслей, подверженных рискам кибератак, при этом цена ошибки и влияние ИБ-инцидентов на устойчивость экономики и качество жизни критичны. Повышенные требования к информационной безопасности решений внутри энергетического сектора стали еще одним фактором внедрения практик DevSecOps на базе российских решений.
«Информационная безопасность всегда была в центре нашего внимания, и мы решили перейти на новый уровень, внедрив процесс безопасной разработки, — рассказывает Александр Евтеев, директор департамента информационной безопасности СИГМЫ. — Работа началась два с половиной года назад. На тот момент по безопасной разработке у нас не было ни компетенций, ни регламентов, ни инструментов. Мы начали с консалтинга у сторонней компании, отрисовывали процессы разработки, разрабатывали регламенты, собирали команду, тестировали и сравнивали между собой различные решения, подходящие именно нам».
После анализа портфеля программных продуктов и процессов разработки компания сформировала команду экспертов по безопасной разработке, провела обучение разработчиков. По итогам было создано отдельное подразделение, в котором сейчас работает 8 специалистов по безопасной разработке.
Особое внимание СИГМА уделила выбору и внедрению инструментов для анализа и контроля безопасности кода. На старте был составлен список необходимых инструментов, они были разбиты по категориям, и в каждой категории был выбран наиболее подходящий продукт. Первым инструментом, который был внедрен, стал модуль SAST продукта Solar appScreener. Решающим фактором при выборе решения стала поддержка 36 языков программирования, что было критически важным для компании с учетом широкого спектра разрабатываемого ПО. Кроме того, важным аспектом стала возможность анализировать код 1С, так как СИГМА активно использует эту платформу в своих решениях.
«У нас была обширная модель сравнения продукта c open source и другими платными решениями. Solar appScreener оказался лучшим по нашим критериям. Мы интегрировали Solar appScreener с GitLab, начав с одного-двух проектов. Затем настроили интеграцию с Jira, но в итоге перешли на оркестратор, и Solar appScreener стал нашим инструментом статического анализа. Остальные интеграции, управление уязвимостями, запуск сканирований выполняются через оркестратор. Сам инструмент тесно интегрирован во все процессы безопасной разработки и играет одну из ключевых ролей», — поясняет Александр Евтеев.
Также используются и другие инструменты — анализ компонентов, анализ контейнеров, DAST-анализ, фаззинг-тестирование. Система построена на решениях различных вендоров, чтобы охватить все аспекты безопасной разработки.
«Защищенность приложений еще на этапе разработки снижает риски выявления уязвимостей в ПО после выхода продуктов на рынок, особенно, если IT-команды используют компоненты из open source-библиотек. Поэтому в IT-сообществе сформирован запрос на платформы для комплексного анализа кода, включая инструменты SAST, DAST, SCA и SCS, доступные в одном интерфейсе. Подобные решения также позволяют оптимизировать ресурсы команды ИБ и разработчиков, благодаря автоматизации анализа кода и контролировать работу подрядчиков, которые занимаются разработкой ПО», — подчеркивает Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».
Чтобы снизить риски выявления уязвимостей программного обеспечения после выхода продуктов на рынок и начала их использования, команды ИБ и разработчики должны позаботиться о защищенности приложений еще на этапе их создания. В этом поможет комплекс проверок, включающий такие виды анализа, как SAST, DAST, SCA, SCS. Такие инструменты есть в Solar appScreener — платформе для комплексной проверки безопасности ПО, поддерживающей тридцать шесть языков программирования. Это единственное на рынке российское решение, которое включает сразу четыре вида анализа кода в одном интерфейсе, а сам интерфейс удобен и понятен всем категориям пользователей — от разработчиков до сотрудников службы ИБ.
Несмотря на то, что появились дополнительные этапы проверки безопасности, фактически время вывода продуктов на рынок (time-to-market) сократилось потому, что приложения проходят меньше итераций устранения уязвимостей. Сейчас команда разработки СИГМА использует Solar appScreener для анализа 16 групп проектов, которые разрабатываются на более 10 языках программирования.
