Безопасная разработка – тренд 2020 года

Завершающийся 2020 год был труднейшим в адаптивном плане, многие сервисы были вынуждены быстро перестраиваться. Это отразилось на массовом создании средств автоматизации и коллаборации, активной разработке сервисов. Согласно крупнейшему репозиторию GitHub и его ежегодному отчету The 2020 State of the Octoverse, в этом году было создано более 60 млн новых репозиториев, что на 35% больше, чем в прошлом году. Комьюнити разработчиков на GitHub составляет уже более 56 млн человек по всему миру. 

«В первую очередь, данная ситуация связана с тем, что разработка сервисов вышла за пределы IT-бизнеса и распространяется на новые, нетипичные сегменты. Растет рынок IoT, финтеха, интеграций сервисов, аналитики данных, появляются инновационные подходы автоматизации бизнес-процессов. Это приводит к тому, что даже в небольших организациях над разными проектами по созданию сервисов и интеграции трудятся несколько команд, и каждая команда для своего проекта использует отдельный репозиторий. С точки зрения информационной безопасности эта ситуация несет в себе серьезные риски», – комментирует Руслан Косарим, руководитель отдела прикладных систем группы компаний Angara. 

Большинство проектов на GitHub использует в той или иной мере ПО с открытым кодом, свидетельствует анализ общедоступных репозиториев с открытым кодом в период с 1 октября 2019 года по 30 сентября 2020 года.

репозитории с OS ПО.jpg

Рис. 1 – Процент активных репозиториев, использующих Open Source ПО

Отслеживание и обновление ПО с открытым кодом является крайне важным в процессе организации ИБ сервисов и продуктов. В части уязвимостей Open Source ПО эксперты GitHub выявили, что 83% из них являются результатом ошибки разработчиков и только 17% явно вредоносные. В связи с этим важным становится параметр – время устранения ошибки (Time to remediate). И средние оценки по этому параметру следующие:

  • 4,4 недели уходит на исправление кода и релиз исправления после обнаружения уязвимости,

  • 1 неделя уходит у пользователей на установку обновления безопасности,

  • до 4 лет уходит на детектирование уязвимости в коде,

  • репозитории с механизмом автоматического создания pull request для обновлений фиксят ПО в 1,4 раза быстрее, чем репозитории без данного механизма.

«В текущих реалиях, когда используются облачные и гибридные среды запуска приложений, а сами приложения, все чаще, приобретают микросервисную или SOA-архитектуру с передачей «чувствительных» данных между различными компонентами отдельных бизнес-логик, очень важно уделять внимание безопасности разработки. Особенно, если весь бизнес строится на работе сервиса. Недостаток внимания уязвимостям частей кода или отсутствие функциональных требований по безопасности на этапе разработки рано или поздно приведут к эксплуатации этих «дыр» злоумышленниками, что негативно повлияет на весь бизнес», – поясняет Руслан Косарим.

Инфраструктура микросервисной разработки требует отдельного анализа рисков, средств и процессов обеспечения ИБ. Так, для защиты платформ контейнеризации существуют свои подходы и отдельные классы решений. А повысить защищенность продукта внешней или внутренней разработки более эффективно на системном уровне, внедрив процессы управления безопасностью в процессы производства.

Эксперты группы компаний Angara имеют опыт работы с различными технологиями защиты контейнерной среды и предлагают услуги разного уровня в данном направлении ИБ: от защиты контейнерной инфраструктуры и микросервисов до создания безопасного процесса жизненного цикла разработки ПО (SSDLC).


Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах