Эксперты о пользе DevSecOps: смещение фокуса проверок на более ранние этапы разработки экономит время и ресурсы

Уральский центр систем безопасности провел встречу для разработчиков, DevOps'ов и специалистов по кибербезопасности. Семинар «Безопасная разработка программного обеспечения: зачем нужен DevSecOps» прошел 14 июня в Екатеринбурге в гибридном формате — оффлайн и с видеотрансляцией для онлайн-участников.

Ведущие эксперты в сфере безопасной разработки представили свои доклады в четырех модулях: проектирование, разработка, тестирование и деплой. В рамках каждого из блоков спикеры рассказали о проблемах безопасности при разработке ПО, а также дали рекомендации, как их избежать. В частности, они раскрыли вопросы формирования команды, выполнения требований регуляторов, способов проектирования киберимунного приложения, методов контроля сторонних компонентов, организации SecurityGate и другие.

Во вступительном слове Евгений Баклушин, руководитель направления аудитов и соответствия требованиям ИБ Компании УЦСБ, рассказал, что транслировать бизнесу необходимость внедрения безопасной разработки стоит на его языке — языке стоимости исправления последствий уязвимостей. В качестве преимуществ применения практик DevSecOps эксперт обозначил оптимизацию процессов и ресурсов, формирование границ ответственности, конвейерную автоматизацию и решение проблем ИБ по мере их возникновения, а не общим срезом.

Руководитель разработки UDV Group Михаил Савин и тимлид команды SOAR Михаил Ушаков поделились собственным опытом построения SSDLC в команде разработки. В рамках своего доклада спикеры выделили особенности архитектуры решения SOAR для SSDLC, а также поделились результатами применения такого подхода. Кроме того, эксперты отметили, что весомый вклад в успешность проекта внес тщательный отбор сотрудников с фокусом на поиск самостоятельных разработчиков — исследователей.

Ольга Макарова, директор по развитию «Антифишинга», рассказала слушателям об эффективности внедрения решения по управлению требованиями. Этот инструмент способен помочь планомерно развить в команде необходимые компетенции для внедрения безопасной разработки.

Лев Новоженин, инженер отдела пилотирования и внедрения продуктов DevSecOps, Positive Technologies, выступил с докладом «Пайплан безопасной разработки. Плагины IDE». По мнению эксперта, эффективность разработки обеспечивают не только навыки программиста, но и рабочее окружение. Плагины и расширения IDE помогают оптимизировать этот процесс.

Сергей Канибор, R&D / Container Security, Luntry, раскрыл тему «PolicyEngine в Kubernetes».

Валерий Ведерников, разработчик из UDV Group, разобрал кейсы из собственного опыта и поделился практическими советами по встраиванию fuzzing-тестирования на GO. По его оценке, использование этого метода значительно улучшило стабильность и безопасность разрабатываемого его командой приложения.

Даниил Кориненко, эксперт по разработке практических заданий «Антифишинга», разобрал реальные примеры того, как уязвимости в коде приводили к инцидентам, и дал рекомендации по способам их защиты.

Евгений Тодышев, руководитель направления безопасной разработки УЦСБ, рассмотрел в своем докладе безопасность микросервисной архитектуры, авторизацию в мобильных и веб-приложениях с помощью JWT, а также хранение уязвимых данных.

«Обучающих мероприятий по безопасной разработке не так много в России, а на Урале их не проводят совсем. Для команды УЦСБ большая честь стать первопроходцами в данном направлении в нашем регионе. Мы продолжим и дальше развивать направление DevSecOps и проводить уникальные мероприятия для разработчиков, DevOps'ов и специалистов по кибербезопасности», — резюмировал Евгений Тодышев.

Напомним, 14 июля УЦСБ проведет IT IS сonf — крупнейшую на Урале конференцию о трендах в ИТ и ИБ. В рамках мероприятия с участием лидеров профессионального сообщества будет организованна секция, посвященная безопасной разработке. Дополнительной активностью станет киберквест «Обнаружение и ликвидация последствий компьютерных атак».