Компания «Информзащита» запускает услугу по построению конвейера безопасной разработки в AppSec направлении, а также по аутсорсингу части этого процесса: сканированию и аудиту. С 1 января 2025 года в силу вступает ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Стандарт был пересмотрен для повышения эффективности оценки применения мер безопасности на каждом этапе разработки, а также проверки конечного продукта, новая услуга поможет соответствовать введенному ГОСТ.
В «Информзащите» указывают, что модернизация конвейера разработки с учётом требований безопасности, позволяет приблизиться к концепции Security by Design и уменьшить Time to market продуктов. Специалисты интегратора аккуратно встроят решения в существующие процессы и системы, при необходимости интегрируют недостающие продукты, а также предложат часть процесса получить в виде сервиса.
«В рамках взаимодействия со сторонней и внутренней разработкой организации также могут пользоваться AppSec сервисами «Информзащиты». Например, статический и динамический анализ проводятся на этапе разработки и перед запуском. Современные приложения – это массивы кода и исполняемых компонентов, которые, конечно, будет содержать в себе слабые места. Поэтому его анализ на этапе разработки становится одним из ключевых элементов обеспечения защищенности. Потребность появляется как у квалифицированных разработчиков, которые хотят быть уверены в отсутствии уязвимостей, так и у заказчиков, которые хотят быть уверенными в качестве кода, принимаемого от разработчиков», - говорит директор департамента по работе с финансовым сектором компании «Информзащита» Денис Сенюков.
В «Информзащите» указывают, что в ходе проверки используются программные инструменты, которые позволяют ускорить аудит. При этом осуществляется ручной контроль, который позволяет достичь максимальной эффективности проверки.
Эксперты интегратора указывают на ряд преимуществ использования анализаторов кода: ускорение поиска и ликвидации уязвимостей в ПО, оптимизация затрат на разработку, принятие корректирующих мер и соблюдение нормативных требований, повышение производительности за счет автоматизированных процедур защиты приложений и ускорении внедрения и выхода приложения на рынок благодаря заблаговременному предотвращению проблем, связанных с безопасностью.
«Мы рекомендуем пользоваться этой услугой, потому что лучше увеличить время разработки за счет ликвидации уязвимостей, чем после релиза разбираться с проблемами безопасности, которые будут сопровождаться финансовыми и репутационными потерями», - отмечает Сенюков.