Аудит процессов безопасной разработки программного обеспечения

Проведение аудита процессов безопасной разработки программного обеспечения. Выяснилось, что в этапах разработки ПО у заказчика присутствуют те, которые можно значительно улучшить в плане безопасности конечного продукта, а также повысилась осведомленность сотрудников благодаря прохождению обучения.

Проблема

Компания, занимающаяся разработкой программного обеспечения, обратилась в RTM Group за аудитом процессов безопасной разработки.

По результатам обследования были выявлены следующие недостатки:

Отсутствовала нормальная систематизация информации и документов в организации
Все это усложняло процесс получения информации о проекте, продукте, ролях команды разработки и т. д.
Разработка программного продукта велась без учета результатов моделирования угроз безопасности информации и как следствие в ТЗ требования по безопасности формировались не в полном объеме.
В компании отсутствовали инструменты, статического и динамического анализа кода, что приводило к неконтролируемому росту различного рода ошибок, провоцировавших появление случайных уязвимостей и специально оставленных программных закладок со стороны недобросовестных разработчиков.

Решение

По результатам аудита процессов безопасной разработки программного обеспечения Эксперты RTM Group выполнили следующие виды работ:

Внедрена справочная система, предназначенная для систематизации информации и документов в организации
Разработана модель угроз безопасности, учитывающая все актуальные угрозы и риски ИБ, которые могут влиять на безопасность создаваемого продукта
Установлены и настроены средства анализа защищенности и проверки качества кода: статический анализатор кода (SAST), динамический анализатор кода (DAST), Shift Left анализатор.
Организован процесс повышения квалификации сотрудников в вопросах обеспечения ИБ при безопасной разработке ПО

Результат

Благодаря автоматическим проверкам (SAST, SCA, CA), клиент смог своевременно выявлять и устранять уязвимости, значительно снижая риск их эксплуатации злоумышленниками.

За счет этого повысилась не только безопасность продуктов, но и укрепилось доверие пользователей.

Раннее обнаружение и устранение проблем на стадии разработки позволяет клиенту сэкономить значительные средства и время, так как исправление ошибок уже в готовом продукте обычно обходится дороже и занимает больше времени.

Кроме того, соблюдение требований различных стандартов и регуляторов стало намного проще, что позволило клиенту уверенно вести бизнес в условиях строгих нормативных требований.

В итоге, внедрение этих процессов повысило качество и безопасность продуктов, а также укрепило конкурентные позиции клиента на рынке.

Сопутствующие услуги

Анализ защищенности программного обеспечения

— Как правильно анализ кода, аудит ПО или тестирование?
— Аудит методом «белого ящика»
— Анализ методом «серого ящика»
— Анализ методом «черного ящика»
— Что входит в аудит?
— Где заказать аудит кода?

Анализ исходного кода

— Варианты анализа кода
— Жизненный цикл безопасной разработки
— Сканеры исходного кода
— Экспертный или ручной анализ кода
— Какие языки программирования подходят для анализа кода
— Какие форматы файлов подходят для анализа кода

Полезные статьи

ГОСТ Р ИСО/МЭК 15408: Эволюция и современное состояние стандарта безопасности ИТ

Применение стандарта ГОСТ Р ИСО/МЭК 15408, известного как «Общие критерии», для оценки безопасности информационных технологий, в разных сферах, таких как государственные сервисы, финансы и медицина.

Что такое DevSecOps Complience Automation?

Когда речь заходит о безопасной разработке, обычно вспоминают конвейер, сканеры кода и совсем не говорят о соответствии. В тоже время оценивать уровень зрелости DevSecOps крайне важно в каждом отдельно взятом случае и, обязательно, в динамике.