DevSecOps
Построим процесс безопасной разработки
в вашей компании

Безопасная разработка

Процесс безопасной разработки требует активного участия команд разработки, ИТ и отдела кибербезопасности. При этом очень важно, чтобы взаимодействие между этими подразделениями было налажено, а используемые инструменты корректно настроены.
Мы проанализируем ваши задачи и инфраструктуру, предложим оптимальные решения для организации процесса безопасной разработки и повышения ее эффективности.



Повысить прозрачность разработки
Снизить количество киберинцидентов
Снизить стоимость уязвимости
Контролировать недекларированные возможности
Соответствовать требованиям регуляторов
Систематизировать и упростить управление киберрисками
Зачем строить DevSecOps?

Мы предлагаем

Аудит уровня зрелости кибербезопасности в процессе разработки и разработка Roadmap по повышению защищенности
Оценим безопасность вашего процесса разработки на соответствие ведущим мировым практикам. На базе этого, оценим текущее состояние циклов разработки приложений и создадим дорожную карту повышения уровня кибербезопасности. Услуга базируется на методологии OWASP SAMM v2.

Этапы работы:
  1. Исследуем инфраструктуру и определим границы проекта
  2. Проведем аудит безопасности ваших процессов разработки и интервью команды
  3. Сформируем подробный отчет
  4. Разработаем рекомендации и дорожную карту развития защищенности процесса разработки с указанием узких мест и планом по устранению выявленных недостатков
Построение процессов DevSecOps на базе российского ПО и Open-source инструментов
Для построения процесса DevSecOps мы используем технологии, находящиеся в реестре российского ПО, и свободно распространяемые инструменты.

Этапы работы:
  1. Изучим вашу инфраструктуру для определения границ проекта
  2. Разработаем стратегию построения и эксплуатации безопасного CI/CD конвейера на базе внедряемого ПО
  3. Внедрим и настроим ПО в инфраструктуру разработки
  4. Построим DevSecOps процесс на базе используемых технологий
  5. Предоставим подробную документацию по разработанному DevSecOps процессу
Аудит и безопасная настройка инфраструктуры DevOps
В рамках услуги мы проведем аудит конфигурации вашей DevOps-инфраструктуры, например, Kubernetes, Docker, Openshift, Nginx. Это позволит настроить правильную конфигурацию компонентов инфраструктуры в соответствии с внутренними требованиями и международными рекомендациями кибербезопасности.
Hardening Framework представляет собой набор модулей, содержащих различные международные рекомендации CIS Benchmark, а также шаблоны по распространению сконфигурированных настроек на всю инфраструктуру.

Этапы работы:
  1. Проведем исследование и анализ вашей DevOps-инфраструктуры для обозначения границ проекта
  2. Оценим соответствие конфигураций компонентов инфраструктуры международным рекомендациям CIS Benchmark
  3. Встроим процесс автоматизированного аудита в конвейере CI/CD
  4. Разработаем «золотой шаблон» конфигураций аудируемых технологических платформ
  5. Настроим технологические платформы в соответствии с “золотым шаблоном”
Внедрение комплексной платформы защиты среды контейнеризации
Построим защиту среды контейнеризации для ваших микросервисов на базе продукта Aqua Security Platform. Платформа представляет собой комплексное решение, обеспечивающее эшелонированную киберзащиту ваших микросервисов на протяжении всего жизненного цикла их работы.
Платформа позволяет повысить уровень кибербезопасности контейнерных приложений, обеспечить защиту микросервисов на сетевом уровне и их соответствие международным требованиям на всем цикле эксплуатации.

Этапы работы:
  1. Изучим вашу инфраструктуру для определения границ проекта
  2. Разработаем подробную документацию
  3. Развернем платформу в вашей инфраструктуре
  4. Интегрируем платформу со смежными системами и настроим политики безопасности
  5. Выполним тонкую настройку платформы в соответствии с вашими потребностями и с учетом внутренних требований по безопасности микросервисов.
Аудит исходного кода
Мы предлагаем подойти к процессу поиска уязвимостей в коде комплексно: проверить исходный код сканером, который подходит именно вашему приложению, а затем вручную верифицировать весь перечень найденных уязвимостей и дефектов.
Результатом услуги будет список реально-существующих проблемных мест приложения и подробные инструкции по их исправлению.

Этапы работы:
  1. Сформируем скоуп на базе полученной информации о разрабатываемом приложении
  2. Проведем первоначальное сканирование и настроим профили сканирования
  3. Выполним сканирование с заданной периодичностью или в рамках процесса CI/CD
  4. Проверим выявленные сканером уязвимости и дефекты
  5. Сформируем отчет об обнаруженных уязвимостях и дефектах с подробными рекомендациями по исправлению
  6. Актуализируем профили сканирования
Обеспечение композиционной защиты программного кода
Использование в коде свободно распространяемого ПО несет ряд рисков для проектов – от угроз кибербезопасности и реализации хакерских атак до невозможности дальнейшего развития проектов в силу нарушения лицензионных соглашений.
В рамках услуги мы внедрим в вашу DevOps-инфраструктуру инструмент композиционного анализа кода – CodeScoring. Он позволяет вести реестр компонентных связей проектов (SBoM), выявляет уязвимости на базе статического анализа кода, определяет используемые лицензии, проверяет лицензионную совместимость компонент и многое другое.

Этапы работы:
  1. Соберем ваши требования к решению и проанализируем вашу инфраструктуру для определения границ проекта
  2. Спроектируем и внедрим продукт в вашу инфраструктуру разработки
  3. Разработаем подробную документацию по проекту
  4. Проведем тонкую настройку продукта и осуществим интеграции с вашими ИТ-системами
Партнеры и технологии
Почему Angara Security
В ходе работы мы опираемся на ваши цели и специфику отрасли. Это позволяет нам предложить те методы и инструменты безопасной разработки, которые будут подходить именно вашей компании.
Индивидуальный подход
На всех этапах работы мы тесно сотрудничаем с вашими специалистами, чтобы лучше понять и решить поставленные задачи. Мы подробно объясняем каждый этап работы и отвечаем на всех вопросы.
Ориентированность на результат

Работы выполняют профильные специалисты с международными сертификатами EC-Council Certified Application Security Engineer, Microsoft Certified: Azure Security Engineer, Certified Specialist (CS) по продукту PT Application Inspector и др. Наши эксперты регулярно публикуются в известных отраслевых СМИ.

Экспертиза
Вам может быть интересно
Безопасность инфраструктуры и данных
Анализ защищенности и тестирование на проникновение
Управление событиями и инцидентами
+7 495 269-26-06
г. Москва, ул. Василисы Кожиной, д.1, к.1, БЦ «Парк Победы»
+7 495 269-26-06
г. Москва, ул. Василисы Кожиной, д.1, к.1, БЦ "Парк Победы"
Политика конфиденциальности