8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Кейсы » Аудит процессов безопасной разработки программного обеспечения

Аудит процессов безопасной разработки программного обеспечения

Проведение аудита процессов безопасной разработки программного обеспечения. Выяснилось, что в этапах разработки ПО у заказчика присутствуют те, которые можно значительно улучшить в плане безопасности конечного продукта, а также повысилась осведомленность сотрудников благодаря прохождению обучения.

Проблема

Компания, занимающаяся разработкой программного обеспечения, обратилась в RTM Group за аудитом процессов безопасной разработки.

По результатам обследования были выявлены следующие недостатки:

  1. Отсутствовала нормальная систематизация информации и документов в организации
    Все это усложняло процесс получения информации о проекте, продукте, ролях команды разработки и т. д.
  2. Разработка программного продукта велась без учета результатов моделирования угроз безопасности информации и как следствие в ТЗ требования по безопасности формировались не в полном объеме.
  3. В компании отсутствовали инструменты, статического и динамического анализа кода, что приводило к неконтролируемому росту различного рода ошибок, провоцировавших появление случайных уязвимостей и специально оставленных программных закладок со стороны недобросовестных разработчиков.

Решение

По результатам аудита процессов безопасной разработки программного обеспечения Эксперты RTM Group выполнили следующие виды работ:

  1. Внедрена справочная система, предназначенная для систематизации информации и документов в организации
  2. Разработана модель угроз безопасности, учитывающая все актуальные угрозы и риски ИБ, которые могут влиять на безопасность создаваемого продукта
  3. Установлены и настроены средства анализа защищенности и проверки качества кода: статический анализатор кода (SAST), динамический анализатор кода (DAST), Shift Left анализатор.
  4. Организован процесс повышения квалификации сотрудников в вопросах обеспечения ИБ при безопасной разработке ПО

Результат

Благодаря автоматическим проверкам (SAST, SCA, CA), клиент смог своевременно выявлять и устранять уязвимости, значительно снижая риск их эксплуатации злоумышленниками.

За счет этого повысилась не только безопасность продуктов, но и укрепилось доверие пользователей.

Раннее обнаружение и устранение проблем на стадии разработки позволяет клиенту сэкономить значительные средства и время, так как исправление ошибок уже в готовом продукте обычно обходится дороже и занимает больше времени.

Кроме того, соблюдение требований различных стандартов и регуляторов стало намного проще, что позволило клиенту уверенно вести бизнес в условиях строгих нормативных требований.

В итоге, внедрение этих процессов повысило качество и безопасность продуктов, а также укрепило конкурентные позиции клиента на рынке.

Сопутствующие услуги

Анализ защищенности программного обеспечения

Анализ защищенности программного обеспечения

— Как правильно анализ кода, аудит ПО или тестирование?
— Аудит методом «белого ящика»
— Анализ методом «серого ящика»
— Анализ методом «черного ящика»
— Что входит в аудит?
— Где заказать аудит кода?
Анализ исходного кода

Анализ исходного кода

— Варианты анализа кода
— Жизненный цикл безопасной разработки
— Сканеры исходного кода
— Экспертный или ручной анализ кода
— Какие языки программирования подходят для анализа кода
— Какие форматы файлов подходят для анализа кода