ГК InfoWatch представила практический кейс на форуме «День безопасной разработки ПО»

Александр Насонов, руководитель отдела безопасной разработки ГК InfoWatch выступил с докладом «Анализ и аудит уязвимостей 3rd party” на конференции «День безопасной разработки ПО» АРПП «Отечественный софт».

Мероприятие объединило разработчиков, регуляторов и специалистов по информационной безопасности для обсуждения современных практик и методов разработки безопасного и качественного ПО, а также информационных систем.

Александр Насонов поделился успешно реализованной практикой по решению проблем, связанных с использованием заимствованных компонентов ПО, при помощи SBOM (Software Bill of Materials). «Благодаря реализации этой меры мы получили специфический взгляд на продукт и можем в любой момент узнать, какие 3rd party заимствуют наши продукты, какие в них есть проблемы, причем процесс аудита дефектов из разных источников проходит теперь в автоматическом режиме. Эти работы по безопасности стали также хорошим триггером для полезных внутренних технических изменений в продуктах», — рассказал Александр.

Проблему обеспечения безопасности заимствованных компонентов в своем выступлении также затронула представитель ФСТЭК Ирина Гефнер, которая подчеркнула обеспокоенность этим вопросом и сообщила, что ведомство уже подготовило рекомендации для разработчиков в этом направлении, а также в части более технических и организационных мер, которые касаются минимизации прав доступа этих компонентов в среде функционирования. По словам эксперта, зачастую этому уделяется недостаточно внимания и отсюда могут возникать различные угрозы эксплуатации информационных систем. Помимо рекомендаций, эксперты ФСТЭК и Технического комитета №362 представили актуальные нормативы и требования к разработке СЗИ и рассказали о развитии сообщества РБПО, Центра компетенций ФСТЭК России и ИСП РАН.  

На конференции также обсуждались практические аспекты безопасной разработки, в числе которых переход от безопасной разработки платформы Java к безопасной разработке Java-приложений от Axoim JDK, автоматизация безопасности с применением технологий MLSecOps от Positive Technologies, минимизация поверхности атаки от Сбертеха.  

«Безопасная разработка  — это не сиюминутный тренд, а реальная необходимость, нацеленная на решение ключевой задачи компаний-разработчиков — обеспечение технологической защищенности и надежности российского ПО.  Регулятор требует от нас  знать свой компонентный состав и заимствованные 3rd party, следить за тем, какие в них есть проблемы. Мы это требование выполняем и были рады поделиться с экспертным сообществом нашим практическим опытом», —  резюмировал Александр.