DevSecOps

Построим процесс безопасной разработки
в вашей компании

Безопасная разработка

Внедрение подхода безопасной разработки, или DevSecOps,
требует активного участия команд разработки, DevOps и отдела кибербезопасности. Поэтому очень важно, чтобы взаимодействие между этими подразделениями было налажено, а используемые инструменты корректно настроены.

Мы проанализируем ваши бизнес-задачи и инфраструктуру и предложим оптимальные решения для обеспечения кибербезопасности как кода приложения, так и его окружения. Внедрение методологии DevSecOps позволит не только снизить стоимость закрытия уязвимости, но и повысить прозрачность разработки.

Повысить прозрачность разработки

Сократить количество киберинцидентов

Снизить стоимость исправления уязвимости

Выявить недекларированные возможности

Соответствовать требованиям регуляторов

Определить уровень доверия к подрядчику

Зачем строить DevSecOps?

Внедрить DevSecOps
снизить количество инцидентов
контроль недекларированные возможности
прозрачность разработки
определить уровень доверия к подрядчику
соответствие требованиям регуляторов
снизить стоимость уязвимости

Услуги по внедрению DevSecOps

Аудит уровня зрелости кибербезопасности в процессе разработки и разработка Roadmap по повышению защищенности

Оценим безопасность вашего процесса разработки на соответствие ведущим мировым практикам DevSecOps. На базе этого, проанализируем текущее состояние циклов разработки приложений и создадим дорожную карту повышения уровня кибербезопасности и построения DevSecOps процесса. Услуга базируется на методологии OWASP SAMM v2.
Этапы работы:
  1. Изучим вашу инфраструктуру для определения границ проекта
  2. Разработаем стратегию построения и эксплуатации безопасного CI/CD конвейера на базе внедряемого ПО
  3. Внедрим и настроим ПО в инфраструктуру разработки
  4. Построим DevSecOps процесс на базе используемых технологий
  5. Предоставим подробную документацию по разработанному DevSecOps процессу

Построение процессов DevSecOps на базе российского ПО и open-source инструментов

Для построения процесса безопасной разработки DevSecOps мы используем технологии, находящиеся в реестре российского ПО, и свободно распространяемые инструменты(open-source).
Этапы работы:
  1. Исследуем инфраструктуру и определим границы проекта по построению DevSecOps процессов
  2. Проведем аудит безопасности ваших процессов разработки и интервью команды
  3. Сформируем подробный отчет о текущем состоянии безопасности процессов разработки
  4. Разработаем рекомендации по построению DevSecOps процессов и дорожную карту развития защищенности процесса разработки с указанием узких мест и планом по устранению выявленных недостатков

Аудит и безопасная настройка инфраструктуры DevOps

В рамках услуги мы проведем аудит конфигурации вашей DevOps-инфраструктуры, например, Kubernetes, Docker, Openshift, Nginx, и внедрим инструмент Hardening Framework. Это позволит настроить правильную конфигурацию компонентов инфраструктуры в соответствии с внутренними требованиями и международными рекомендациями кибербезопасности, а также корректно выстроить DevSecOps процесс.
Hardening Framework представляет собой набор модулей, содержащих различные международные рекомендации CIS Benchmark, а также шаблоны по распространению сконфигурированных настроек на всю инфраструктуру.
Этапы работы:
  1. Проведем исследование и анализ вашей DevOps-инфраструктуры для обозначения границ проекта
  2. Оценим соответствие конфигураций компонентов инфраструктуры международным рекомендациям CIS Benchmark
  3. Встроим процесс автоматизированного аудита в конвейере CI/CD
  4. Разработаем «золотой шаблон» DevSecOps-конфигураций для аудируемых технологических платформ
  5. Настроим технологические платформы в соответствии с “золотым шаблоном”

Внедрение комплексной платформы защиты среды контейнеризации

Неотъемлемой частью методологии DevSecOps является защита окружения программного кода. Мы построим защиту среды контейнеризации для ваших микросервисов на базе продукта Aqua Security Platform. Платформа представляет собой комплексное решение, обеспечивающее эшелонированную киберзащиту ваших микросервисов на протяжении всего жизненного цикла их работы.
Платформа позволяет повысить уровень кибербезопасности контейнерных приложений, обеспечить защиту микросервисов на сетевом уровне и их соответствие международным требованиям на всем цикле эксплуатации.
Этапы работы:
  1. Изучим вашу инфраструктуру для определения границ проекта
  2. Разработаем подробную документацию по встраиванию платформы защиты среды контейнеризации
  3. Развернем платформу в вашей инфраструктуре
  4. Интегрируем платформу защиты среды контейнеризации со смежными системами и настроим политики безопасности в соответствии с DevSecOps-методологией
  5. Выполним тонкую настройку платформы защиты среды контейнеризации в соответствии с вашими потребностями и с учетом внутренних требований по безопасности микросервисов.

Обеспечение композиционной защиты программного кода

Использование в коде свободно распространяемого ПО несет ряд рисков для проектов – от угроз кибербезопасности и реализации хакерских атак до невозможности дальнейшего развития проектов в силу нарушения лицензионных соглашений.
В рамках услуги мы внедрим в вашу DevOps-инфраструктуру инструмент композиционного анализа кода – CodeScoring. Он позволяет вести реестр компонентных связей проектов (SBoM), выявляет уязвимости на базе статического анализа кода, определяет используемые лицензии, проверяет лицензионную совместимость компонент и многое другое.
Этапы работы:
  1. Соберем ваши требования к решению и проанализируем вашу инфраструктуру для определения границ проекта
  2. Спроектируем и внедрим продукт в вашу инфраструктуру разработки
  3. Разработаем подробную документацию по проекту
  4. Проведем тонкую настройку продукта и осуществим интеграции с вашими ИТ-системами

Анализ исходного кода и пентест приложения

В процессе безопасной разработки DevSecOps мы предлагаем подойти к поиску уязвимостей в коде комплексно:
  1. провести статический анализ кода – проверить исходный код сканером, который подходит именно вашему приложению;
  2. вручную верифицировать весь перечень найденных уязвимостей и дефектов.
Результатом анализа исходного кода приложения станет список реально-существующих проблемных мест и подробные инструкции по их исправлению.
Оптимизация набора инструментов анализа кода под ваш технологических стек
Пентест приложений
Ручная верификация результатов сканирования
Контроль соблюдения нормативных сроков устранения уязвимостей
Статический анализ кода приложения (сканирование SAST)
Формирование отчета и рекомендаций по исправлению проблем приложения
Композиционный анализ кода приложения (сканирование SCA)
Выявление секретов в коде приложения
Анализ исходного кода
  • Сертифицированная команда экспертов
    Нашу квалификацию подтвержадают такие сертификаты как EC-Council Certified Application Security Engineer и Microsoft Certified Azure Security Engineer
  • Ручной анализ кода
    Вручную проверяем все выявленные сканером уязвимости и дефекты, предоставляем вашему отделу разработки только критичные уязвимости и опасные дефекты
    с подробными инструкциями по их исправлению
  • Пентест приложений
    Проводим пентест вашего приложения методом белого ящика для выявления уязвимостей в бизнес-логике приложений
Проведем первоначальное сканирование на уязвимости и настроим профили сканирования для регулярного анализа кода
Сформируем скоуп на базе полученной информации о разрабатываемом приложении
Проведем анализ исходного кода на уязвимости с заданной периодичностью или в рамках CI/CD процесса

Этапы анализа исходного кода

1
2
3
Вручную проверим выявленные сканером уязвимости и дефекты
Сформируем отчет об обнаруженных уязвимостях и дефектах с подробными рекомендациями по исправлению
Актуализируем профили сканирования приложения на уязвимости
4
6
5
анализ исходного кода

Партнеры и технологии

Почему Angara Security

В ходе работы мы опираемся на ваши цели и специфику отрасли. Это позволяет нам предложить те методы и инструменты безопасной разработки, которые будут подходить именно вашей компании.
Индивидуальный подход
На всех этапах работы мы тесно сотрудничаем с вашими специалистами, чтобы лучше понять и решить поставленные задачи. Мы подробно объясняем каждый этап работы и отвечаем на всех вопросы.
Ориентированность на результат

Работы выполняют профильные специалисты с международными сертификатами EC-Council Certified Application Security Engineer, Microsoft Certified: Azure Security Engineer, Certified Specialist (CS) по продукту PT Application Inspector и др. Наши эксперты регулярно публикуются в известных отраслевых СМИ.

Экспертиза

Вебинары о безопасной разработке

Руслан Субхангулов,
Ведущий эксперт по безопасной разработке компании
Павел Политыкин,
Руководитель направления отдела анализа защищенности
Илья Поляков,
Руководитель отдела анализа кода
Алексей Смирнов,
Основатель CodeScoring
Руслан Субхангулов,
Ведущий эксперт по безопасной разработке компании
Open Source как Ящик Пандоры или как снизить киберриски при его использовании
10 ноября 2022
Open Source как Ящик Пандоры или как снизить киберриски при его использовании
Почему вам НЕ стоит нанимать DevSecOps-инженеров
16 сентября 2022
Kubernetes как поле боя
6 октября 2022
Не только DevSecOps

Безопасность инфраструктуры и данных

Анализ защищенности и тестирование на проникновение

Управление событиями и инцидентами

+7 495 269-26-06
г. Москва, ул. Василисы Кожиной, д.1, к.1, БЦ «Парк Победы»
+7 495 269-26-06
г. Москва, ул. Василисы Кожиной, д.1, к.1, БЦ "Парк Победы"
Политика конфиденциальности