DevSecOps
Построим процесс безопасной разработки в вашей компании
30%
Почему это важно?
>200 000
данные Positive Technologies, 2023
данные Future Crew, 2024
уязвимостей, которые обнаруживаются в ПО, – критические
приложений используются компоненты открытого исходного кода
в 97%
уязвимостей подтверждено и опубликовано в базе уязвимостей Common Vulnerabilities and Exposures (CVE)
Высок риск встретить в оpen-source ПО эксплуатируемые закладки. Они могут открыть путь к управлению сервером, позволить получить доступ к персональным данным ваших клиентов и сделать сайт недоступным
Наши услуги
Построение безопасных процессов DevOps
С использованием технологий из реестра российского ПО и свободно распространяемых инструментов (open-source)
- Готовим рекомендации по построению DevSecOps-процессов, дорожную карту развития защищенности процесса разработки с указанием узких мест и планом по устранению выявленных недостатков
- Формируем подробный отчет о текущем состоянии безопасности процессов разработки
- Исследуем инфраструктуру, определяем границы проекта по построению DevSecOps-процессов, проводим аудит безопасности процессов разработки и интервью команды
- Внедряем системы безопасности разработки
Класс решений и вендоры:
SCA:
SAST:
ASOC:
Container Security:
Secret Management:
DAST:
- Swordfish Security (Appsec.hub)
- Vault
- Stronghold
- Kaspersky Container Security
- PT Container Security
- Luntry
- Open source ПО: DefectDojo
- Positive Technologies (Application Inspector)
- Positive Technologies (BlackBox)
- Open Source ПО: OWASP ZAP
- Solid Wall (SolidPoint DAST)
- Ростелеком-Солар (Solar appScreener)
- PVS-Studio
- Profiscope (CodeScoring)
- Swordfish Security (AppSec.Track)
- Open Source ПО: Dependency Track
Анализ исходного кода
Вручную и при помощи статических анализаторов
Наши эксперты отсеивают ложные срабатывания, а команда пентестеров, одна из лучших в России*, проводит анализ защищенности ваших приложений и формирует рекомендации по исправлению уязвимостей и дефектов
*Команда Angara Pentest Team заняла 1 место на Национальном киберполигоне
Защита среды разработки
Аудит безопасности + Формирование стандарта безопасной конфигурации технологических платформ
Для чего:
Проводим аудит конфигурации вашей DevOps-инфраструктуры (например, Kubernetes, Docker, Openshift, Nginx) и внедряем инструменты Hardening Framework
Чтобы настроить правильную конфигурацию компонентов инфраструктуры в соответствии с внутренними требованиями и международными рекомендациями кибербезопасности, а также корректно выстроить DevSecOps-процесс
Усиление безопасности (харденинг) инструментов DevOps
Настраиваем инструменты разработки и корректируем их на основании Hardening Framework –набора модулей, содержащих различные международные рекомендации CIS Benchmark, а также шаблоны по распространению сконфигурированных настроек на всю инфраструктуру
Защита контейнеризированных приложений и микросервисной среды
Для чего:
Выстраиваем эшелонированную защиту микросервисов на протяжении всего их жизненного цикла
Чтобы повысить уровень безопасности контейнерных приложений, обеспечить защиту микросервисов на сетевом уровне и их соответствие международным требованиям на всем цикле эксплуатации
Класс решений и вендоры:
КлаудРан
Container Security
Container Security
Aqua Cloud Native Security Platform
Базовый технический аудит платформы Kubernetes
Для чего:
Проводим технический аудит конфигурации микросервисной инфраструктуры Kubernetes
Чтобы получить экспертную оценку для последующего повышения уровня безопасности контейнерных приложений, обеспечить защиту микросервисов на сетевом уровне и их соответствие международным требованиям на всем цикле эксплуатации
Создание «доверенного репозитория»
Алгоритм работы:
Для чего?
Применяем подход с поэтапной проверкой кода, скачиваемого из общедоступных источников, с задействованием специализированных инструментов анализа от лидеров рынка информационной безопасности России.
Проверяем не только безопасность кода, но и зависимости от другого open-source ПО.
Эксперты Angara Security обеспечивают бесшовную интеграцию в уже имеющиеся процессы разработки, разработку регламентов работы команд ИТ и ИБ, обучение
Проверяем не только безопасность кода, но и зависимости от другого open-source ПО.
Эксперты Angara Security обеспечивают бесшовную интеграцию в уже имеющиеся процессы разработки, разработку регламентов работы команд ИТ и ИБ, обучение
- регистрация запроса и скачивание кода из открытого источника
- Повысить доверие к результату работы разработчиков
- поиск ошибок и потенциальных проблем безопасности на всех этапах сборки и получения ПО
- Выявлять уязвимости на самых ранних стадиях процесса разработки
- проверка наличия эксплуатируемых закладок, инвентаризация состава и зависимостей у получаемого open-source ПО
- Обеспечить лицензионную чистоту для заимствуемых компонентов
- оркестрация взаимодействия подразделений ИТ и ИБ
- Чтобы инфраструктура разработки ПО функционировала с применением отечественных средств защиты, сертифицированных ФСТЭК
Класс решений:
SCA
SAST
Antivirus
Sandbox
DAST
Container Security
Выстроенный процесс безопасной разработки в компании позволяет
Сократить количество инцидентов
благодаря эшелонированной защите разработки
Повысить прозрачность разработки
за счет обеспечения безопасности всех этапов
Снизить стоимость уязвимости
за счет построения системы выявления уязвимостей на самых ранних этапах, когда цена их исправления минимальна
Определить уровень доверия подрядчикам
благодаря технологиям анализа разработки на наличие уязвимостей, а также корректности использования лицензий и их совместимости
1000+
проектов
заказчиков
500+
Топ-3
крупнейших поставщиков сторонних ИТ-решений из реестра отечественного ПО по версии TAdviser
проектного опыта на рынке информационной безопасности
10 лет
300+
профильных сертифицированных экспертов
О нас
Ведущий российский ИБ-интегратор и провайдер более 80 услуг в сфере информационной безопасности. Специализируемся на защите данных и бизнес-систем, предотвращаем и расследуем кибератаки
Наш опыт
Заказчик: крупная финансовая кредитная организация
Цель проекта: создать систему для автоматического анализа защищенности веб-приложений и повышения уровня безопасности IT-активов
Внедрение и сопровождение PT Application Inspector
Цель проекта: оценить текущее состояние защищенности приложений, выявить существующие уязвимости и недостатки безопасности, оценить их критичность, выработать рекомендации по их устранению и повышению общего состояния защищенности приложений
- проведение «ручных» проверок для оценки состояния защищенности приложений от наиболее опасных и распространенных типов атак и уязвимостей согласно OWASP Top 10
Ход работ:
Ход работ:
В рамках сопровождения системы наши специалисты обеспечили:
Итог:
- определение технологий, языков программирования, фреймворков и систем, использованных при разработке и внедрении приложения
- прием, регистрацию, диспетчеризацию и передачу квалифицированным инженерам задания заказчика
- оповещение о статусе заявок
- открытие заявок на техническую поддержку производителя круглосуточно, включая выходные и праздничные дни
- консультирование заказчика по вопросам эксплуатации и обновления системы, оповещение об опубликованных известных проблемах
- восстановление штатного функционирования системы и решение проблем
- диагностику неисправностей и ошибок, включая анализ журналов компонентов системы
- анализ причин однотипных инцидентов и выработку мероприятий по их устранению
- предоставление отчетов о работе системы и оказанных услугах
- Разработали документацию: РА, РО, АД, ПМИ
- Провели обследование
- Внедрена система, которая выявляет уязвимости и проводит тестирование безопасности приложений, основанная на базе решения Positive Technologies Application Inspector:
В результате у заказчика улучшились процессы выявления и устранения уязвимостей на этапе разработки. Это помогло оптимизировать процессы управления уязвимостями и повысить уровень защищенности IT-активов.
- проведение автоматизированных проверок исходного кода с использованием специализированных инструментов
В результате мы выявили уязвимости и недостатки приложений средствами автоматизированного и ручного анализа кода, оценили критичность и уровень риска, разработали перечень рекомендаций по устранению
Анализ исходного кода веб-приложений
Заказчик: международная сеть гипермаркетов
Мы собираем файлы cookie, чтобы сайт лучше работал и вам было удобнее им пользоваться.
OK
Оставьте заявку на консультацию со специалистом
© 2025 ООО «АТ Груп»
г. Москва, ул. Василисы Кожиной, д.1, к.1, БЦ «Парк Победы»
