Чемпионы безопасности
Какие методы разработки повышают киберзащиту компанийСжатые графики запуска продуктов, необходимость находить баланс между соблюдением сроков и обеспечением кибербезопасности – ежедневная практика команд разработчиков и служб информационной защиты в коммерческих компаниях и госструктурах. Ассоциация «ФинТех», ГК «Солар» при поддержке сообщества специалистов в сфере безопасной разработки FinDevSecOps создали премию «SecurityUP: Безопасность начинается с кода», которой в апреле отметят команды, нашедшие оптимальные решения для этих задач. «Ведомости&» ознакомились с некоторыми из номинированных кейсов и узнали, какие решения экономят время, деньги и человеческие ресурсы, одновременно усиливая безопасность программного обеспечения (ПО).
Ритейл
Полтора года назад «Магнит» начал работу над платформой класса ASOC (Application Security Orchestration and Correlation, класс программных решений, автоматизирующих управление безопасностью ПО. – «Ведомости&»), которая оркестрирует средства безопасности приложений и управляет их результатами на всех этапах жизненного цикла софта – от проектирования до эксплуатации. «Платформа интегрируется с CI/CD-пайплайнами[1], автоматически запускает проверки SAST, DAST и SCA[2] на ключевых стадиях, собирает результаты в единую систему, устраняет дубликаты и помогает приоритизировать уязвимости с учетом критичности систем и требований бизнеса», – разъясняет Олег Лалаев, руководитель управления информационной безопасности группы компаний «Магнит».
Сейчас платформа ASOC внедрена в периметре «Магнита», тогда как активы «Дикси» и «Азбука вкуса» используют собственные стеки инструментов и процессов для безопасной разработки. В планах – сформировать единый корпоративный стандарт SSDLC[3] и поэтапно масштабировать этот подход на все активы.
Архитектура процесса строится по принципу Shift Left – требования безопасности, автоматические проверки и политики внедряются уже на этапах планирования и разработки. Такой подход позволяет выявлять и устранять значительную часть уязвимостей до выхода в продуктивную среду. Это ощутимо снижает затраты на исправление ошибок и уменьшает риски для бизнеса.
Сейчас в команде работает три человека, при этом «Магнит» привлекает технологических партнеров, в том числе компанию «Солар» и продукт Solar appScreener, использующийся как один из ключевых инструментов анализа кода и приложений.
Следующий этап развития – использование технологий искусственного интеллекта (ИИ) в контуре ASOC. ИИ планируется применять для автоматизированной первичной верификации (триажа) уязвимостей, снижения количества ложных срабатываний и подготовки черновых вариантов исправлений кода. Это позволит сократить рутинную нагрузку на разработчиков и экспертов по безопасности, однако финальное решение об изменениях по-прежнему останется за человеком, отмечают в «Магните».
Энергетика
Федеральный IТ-интегратор Уральский центр систем безопасности совместно с ГК «Солар» разработали для компании из топливно-энергетической отрасли решение для автоматизированного анализа безопасности кода на разных этапах разработки.
SAST-модуль позволил выявлять уязвимости на ранних стадиях, сокращая затраты на их устранение. В свою очередь, DAST-тестирование, включая Fuzzing[4] веб-приложений, помогло обнаружить скрытые уязвимости, которые не могли быть найдены другими методами, за счет подачи некорректных и неожиданных входных данных.
Интеграция Solar appScreener в конвейер разработки обеспечила непрерывный контроль безопасности, а подробные отчеты и рекомендации по устранению уязвимостей позволили быстро исправлять ошибки, как отмечает представитель клиента.
Страхование
Специалисты «Росгосстраха» разработали проект по созданию DevSecOps-платформы и модели управления безопасностью релизов. «В начале проекта перед нами стояла задача не только встроить контроль безопасности в процессы разработки нового кода, но и повысить безопасность уже существующей, довольно объемной кодовой базы», – рассказывает Анатолий Легейдо, руководитель группы обеспечения безопасной разработки управления информационной безопасности СК «Росгосстрах».
На тот момент разработка в компании велась силами нескольких сотен сотрудников, объединенных в команды, которые выпускали новые релизы каждые две недели, а IТ-ландшафт включал большое количество репозиториев и различных сервисов.
Такой масштаб и высокая скорость изменений усложняли унификацию подходов к безопасности процессов разработки и требовали системного внедрения практик и инструментов.
«Небольшой командой из двух специалистов мы в первую очередь внедрили проверки безопасности в CI/CD-конвейер, такие как поиск секретов, анализ конфигураций, статический анализ (SAST), композиционный анализ для кода и образов контейнеров (SCA) на базе open source (открытого исходного кода. – «Ведомости&») и коммерческих продуктов. Параллельно мы формировали процедуры контроля и устранения уязвимостей, в том числе добавили аспекты безопасности в рамках имеющихся процессов управления сторонними зависимостями. Все это необходимо было осуществить в короткие сроки», – вспоминает Легейдо.
При наличии множества инструментов, большого объема генерируемых ими отчетов, а также разрозненных интерфейсов (или их отсутствия) сложилась ситуация, в которой управлять этим «оркестром» было затруднительно. Разработчики тратили дополнительное время, чтобы разобраться со всем набором инструментов и результатов при обучении и в процессе устранения уязвимостей. «Поэтому с самого начала мы понимали, что в текущей модели возникает потребность в централизованном объединении результатов сканирований и фиксации результатов анализа уязвимостей. По опыту мы знали, что необходимые возможности есть у класса решений ASOC/ASPM[5]», – рассказывает эксперт.
Команда провела пилотирование и остановила выбор на Hexway Vampy ASMP (платформа для управления безопасностью приложений. – «Ведомости&»), которая и стала «ядром» DevSecOps-платформы. «После завершения интеграции CI/CD-конвейера с системой ASOC мы внедрили контрольные точки безопасности (Quality Gate), встроенные непосредственно в процесс сборки и доставки кода. Эти контрольные точки обеспечивают автоматическую проверку соответствия кода установленным политикам безопасности, оперативно уведомляют разработчиков о выявленных нарушениях или успешном прохождении проверок, а также предоставляют детализированную информацию о результатах анализа», – объясняет Легейдо.
Преимуществом использования ASOC стало упрощение взаимодействия между командами разработки и информационной безопасности. Система предоставила единый интерфейс для работы с уязвимостями. Это позволило сократить время на их обработку и исправление, а также в целом ускорить процесс устранения рисков.
«Дополнительно ASOC помог нам выстроить процессы инвентаризации кодовой базы и мониторинга актуального состояния безопасности цифровых сервисов», – добавляет Легейдо.
«По нашим оценкам, внедренный DevSecOps-процесс позволяет экономить до 10–15% времени разработчиков, что напрямую снижает затраты на разработку и устранение уязвимостей. В совокупности такой подход дает возможность стабильно выдерживать двухнедельные релизные циклы, снижать риски потенциальных инцидентов информационной безопасности, а также соответствовать требованиям регуляторов и успешно проходить аудиты безопасности ПО», – делится эксперт.
Операторы связи
В июне 2025 г. «Почта России» при поддержке консорциума ИБ-вендоров и интеграторов приступила к формированию киберустойчивой инфраструктуры. ГК «Солар» стала генеральным архитектором проекта, который за три года должен охватить 38 000 отделений, три центра обработки данных, 11 логистических почтовых центров, 28 объектов критической инфраструктуры и более 100 000 рабочих станций.
Безопасная разработка, включая создание технологической инфраструктуры, методологию безопасной разработки, обучение IT-команд, стала одним из семи доменов киберустойчивости. «К марту 2026 г. мы завершили первый этап проекта и к этому моменту уже сформировали единую нормативную базу, внедрили роль ответственных за безопасность ПО, а все этапы жизненного цикла программных решений теперь регулируются современными стандартами и практиками DevSecOps», – комментирует Роман Шапиро, руководитель дирекции информационной безопасности «Почты России».
Особое внимание уделяется подходу ShiftLeft, который позволяет выявлять уязвимости на ранних стадиях разработки и существенно сокращает затраты на устранение угроз. Для автоматизации анализа и реагирования внедрена платформа ASOC, которая агрегирует результаты работы сканеров кода, поддерживает обмен обратной связью о качестве кода между командами разработки и AppSec-инженерами. В состав платформы ASOC вошли решения по безопасной разработке нескольких российских вендоров, в том числе технологии «Солара».
Объем разработки в «Почте России» измеряется миллионами строк кода в составе более 200 IT-сервисов для десятков тысяч внутренних пользователей и миллионов клиентов национального оператора связи.
Важной составляющей стратегии стало развитие внутренней культуры безопасности: команда «Почты» во главе с руководителем департамента обеспечения бизнеса Андреем Дюбченко также проводит внутрикорпоративное обучение и сертификационные программы, формирует сообщество «чемпионов безопасности» (security champions), которые выступают внутренними агентами по распространению лучших практик и стимулированию культуры безопасной разработки. В рамках проекта также внедряются доверенные решения, которые соответствуют требованиям РБПО (российского стандарта безопасной разработки). &