Скорость без риска: УЦСБ и «Атомик Софт» внедрили DevSecOps в «Альфа платформу»

Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки в процесс создания «Альфа платформы» – программного комплекса, предназначенного для построения систем управления технологическими процессами (HMI, SCADA и других решений). Это позволило повысить защищенность продукта «Альфа платформа», не останавливая его текущую разработку и сохраняя высокую скорость выхода обновлений – критически важный фактор на конкурентном рынке промышленных ИТ-решений.

Решением стало подключение к облачной платформе для анализа защищенности приложений Apsafe – собственному продукту УЦСБ. В рамках интеграции платформы в процесс разработки был создан и настроен скрипт, обеспечивающий автоматическую передачу исходного кода из системы сборки Jenkins в Apsafe. Теперь каждый билд автоматически проходит в платформе комплексный анализ защищенности, а верифицированные экспертами результаты поступают напрямую в таск-трекер разработчиков «Альфа платформы».

Проект вышел за рамки автоматизированного сканирования. Эксперты УЦСБ не только выявляли уязвимости с помощью SAST, DAST, SCA и обязательного фаззинг-тестирования, но и детально разбирали каждую находку с командой «Атомик Софт». Совместная работа превратила потенциальные инциденты в обучающие кейсы и конкретные правила безопасного кодирования, которые были немедленно интегрированы в процесс код-ревью. Это запустило механизм регулярного повышения качества кода внутри компании.

Важным практическим результатом стало выполнение требований регуляторов, в частности Приказа ФСТЭК России №239 (п. 29.3), включая наличие актуализированного руководства по безопасной разработке (SDLC) и проведение обязательных видов тестирования. Теперь разработчик может сопровождать свое ИТ-решение не только техническими отчетами, но и документальными доказательствами встроенной безопасности для заказчиков – промышленных предприятий с повышенными требованиями к защищенности.

В результате партнерства «Атомик Софт» получил не только ежемесячную отчетность по результатам анализа, но и работающую систему управления безопасностью кода – от написания до сборки. Это снижает риски для конечных заказчиков в промышленности и укрепляет доверие к продукту. Проект наглядно демонстрирует переход от разовых проверок к модели, где непрерывная безопасность встроена в жизненный цикл разработки.

Справка

Атомик Софт – российский разработчик программного обеспечения для автоматизации технологических и производственных процессов. «Атомик Софт» производит инструментальное ПО «Альфа платформа» для разработки проектов автоматизации и диспетчеризации промышленных и гражданских объектов. ИТ-продукт выполняет оперативный сбор и обработку данных, визуализацию данных, работу с событиями и оповещениями, диспетчеризацию, хранение и предоставление исторических данных, формирование отчетности.

УЦСБ – одна из крупнейших российских ИТ-компаний, разработчик ПО и системный интегратор с экспертизой в создании, защите, модернизации и обслуживании цифровой инфраструктуры бизнеса и государственных организаций.

Центр кибербезопасности УЦСБ – российский экспертный центр в области кибербезопасности. Специализируется на интеграции практик безопасной разработки (DevSecOps), анализе защищенности и создании комплексных систем защиты информации. Разработчик DevSecOps-платформы Apsafe.