Восемь отечественных вендоров совместно с Институтом системного программирования РАН им. В. П. Иванникова и НТЦ «ФОБОС-НТ» представили полностью импортонезависимый конвейер разработки безопасного программного обеспечения (РБПО). Первый показ решения состоялся на стендах компаний в масштабах международного форума Kazan Digital Week.
В конвейере разработки безопасного ПО используются продукты из Реестра российского ПО, а все приборы предоставляются компаниями, зарегистрированными в России, поэтому заказчики обеспечены технической поддержкой от производителей. Это выгодно отличает их от открытого ПО. Важной особенностью созданного конвейера является также соответствие требованиям государственных регуляторов, в том числе и ФСТЭК России.
Зачем нужен конвейер РБПО
В конвейере разработки безопасного ПО реализована автоматизация всех ключевых этапов разработки - от управления задачами и написания кода, до тестирования и эксплуатации опубликованного ПО. Также предусмотрена методическая поддержка, благодаря чему конвейер можно эффективно применять в реальных проектах. Он помогает ускорить выпуск продуктов с помощью динамической инфраструктуры, оптимизации ресурсов и упорядоченности процессов. Таким образом, применяя конвейер разработки безопасного ПО, заказчик получает управляемый и предсказуемый результат.
Ключевое превосходство конвейера РБПО - в том, что проверки безопасности возможно проводить на разных этапах срока жизни разработки ПО, но не проверять только в финале, когда работа уже завершена. Такой подход позволяет выявлять и вносить правку на ранних стадиях, до того, как они станут причинами наличия уязвимостей. По оценкам профессионалов, исправление ошибок после выхода продукта в эксплуатацию обходится в среднем в 40 раз дороже, чем на данной стадии проектирования. В ряде случаев такое может привести к существенным утратам причем даже остановке бизнеса.
Программные средства, разработанное в инфраструктуре конвейера, может считаться более безопасным с помощью исправления изъянов, выявленных с применением специализированных инструментов: автоматического анализа поверхности атаки, статического анализа, сканирования зависимостей для выявления небезопасных библиотек и компонентов, фаззинг-тестирования и динамического тестирования приложений на типовые ошибки и уязвимости. Дополнительно используются средства формирования прозрачной аналитики и метрик для команды и руководства. Сочетание применения этих технологий позволяет своевременно выявлять ошибки в коде и конфигурациях, снижая вероятность их попадания в опубликованную версию разработанного ПО.
Потенциальные клиенты
Новый конвейер безопасной разработки ориентирован на широкий круг заказчиков. Его применение обеспечит выполнение требований по импортозамещению и разработке безопасного ПО как для организаций государственного сектора, так и крупнейших компаний страны, относящихся к критической информационной инфраструктуре (предприятия промышленности, электроэнергетики, топливно-энергетический сектора, финансов и пр.) и их подрядчиков ПО. Организации из финансового сектора и их подрядчики ПО также смогут выполнить требования к контролю безопасности ПО, используемого при финансовых операциях и обработке клиентских данных, утвержденных Банком России. Для широкого перечня организаций и вендоров это способ снизить расходы на корректура и встроить безопасность в привычные CI/CD-процессы, опираясь на лучшие мировые практики. А для стартапов и малого бизнеса - возможность с начала закладывать доверие и масштабируемость продукта, повышая его инвестиционную привлекательность.
Роли участников
Экосистема «Лукоморье» обеспечивает управление полным сроком жизни ИТ-продуктов в масштабах единого конвейера. Система «Яга» позволяет работать с проектами и задачами на всех этапах - от постановки задачи и проверки кода до тестирования, стейджинга и закрытия. В одной рабочей среде можно собрать команду, задачи и всю информацию по проекту. Эксплуатация и сопровождение продуктов организуются через ESM-систему «Диво», обеспечивая поддержку и управление сервисами после выпуска.
В основе инфраструктуры конвейера разработки безопасного ПО лежат два сертифицированных продукта компании «Базис» - платформа виртуализации Basis Dynamix Enterprise и платформа управления контейнерами Basis Digital Energy. Вместе они творят динамическую инфраструктуру для установки приборов конвейера РБПО: Basis Dynamix Enterprise создает виртуальные узлы для работы конвейера, а Basis Digital Energy разворачивает на них кластеры Kubernetes.
OpenIDE - открытая мультиязычная среда разработки и платформа для плагинов - укрепляет конвейер на рабочем месте разработчика. OpenIDE переносит контроль безопасности «влево»: за счет расширений для OpenIDE возможно внедрить предкоммит-проверки, secret-сканы, аудит зависимостей, генерацию SBOM и единые политики линтинга прямо в IDE. Решение работает для Java/Spring, TypeScript/Node.js, Python, Go и IaC и поддерживает локальный AI-ассистент в периметре компании.
CodeScoring обеспечивает защиту на основных этапах срока жизни разработки программного обеспечения. IDE-плагины привлекают разработчиков в обеспечение безопасности продуктов, используя привычное окружение и удобство использования. Модуль OSA выявляет уязвимости в используемых для сборки зависимостях и не допускает их попадания во внутреннюю инфраструктуру, а SCA формирует перечень компонентов приложения с приказаньем рисков безопасности и лицензирования. Система TQI непрерывно анализирует качество кода, помогает выискать дубликаты, утечки и выстраивать прозрачную работу команд. Дополнительно реализована безопасность секретов: поиск в коде оставленных паролей, токенов и другой чувствительной информации предотвращает утечки конфиденциальных данных и снижает риски несанкционированного доступа.
Платформа работы с исходным кодом «GitFlic» выполняет центральную роль в конвейере разработки безопасного ПО, выступая его ключевым интеграционным хабом и технологическим фундаментом. Она служит не просто мостом между изолированными ранее командами разработки и безопасности, а единой средой, где безопасность становится неотъемлемым и автоматизированным свойством процесса разработки. Решая критически важную задачу защищенного хранения исходного кода с детализированным контролем доступа и аудитом, GitFlic закладывает основу для доверия ко всему конвейеру.
Связующим звеном для контроля процессов внутри конвейера приборов РБПО выступит методология «Девелоника Fusion». Внедрение методологии, разработанной компанией «Девелоника», предполагает принципиальное соблюдение SLA. Подход объединил более 100 метрик под индивидуальные KPI (включая Cycle Time, Work in progress и Throughput). Заказчики смогут горизонтально декомпозировать работу по направлениям и срокам, получать аналитику по сроку жизни задач и фиксировать результат на каждом этапе проекта. Комплексность практик позволяет подрезать крылья до 45% времени и ресурсов разработки и повысить эффективность производственных команд до 30%.
В DevTestSecOps-процессах тестирование встроено на всех этапах - от проектирования до релиза. В импортонезависимом конвейере приборов РБПО ключевую роль в организации и поддержании QA-процессов выполняет Test IT. Платформа для управления тестированием соединяет работу с ручными и автотестами в едином интерфейсе, упрощает подготовку, запуск и анализ тестов и обеспечивает прозрачность и предсказуемость процесса тестирования. Решение поддерживает десятки интеграций с приборами для разработки и тестирования, а также с ИИ-моделями для генерации тест-кейсов внутри TMS, что позволяет часто ускорить время на подготовку тестовой документации.
ИСП РАН - это научная организация, развивающая тематику исследований безопасности ПО. Разработчик статического анализатора Svace и сервера сбора результатов Svacer, фаззера Sydr, системы определения поверхности атак Natch, и пр.
Активно участвует в развитии направления РБПО в РФ: разрабатывая ГОСТы, проводя аудиты и внедрения своих приборов в организациях-разработчиках ПО и ОКИИ. В ИСП РАН действует орган по сертификации процессов РБПО при ФСТЭК России. Подходы и приборы ИСП РАН позволяют определять уязвимости в ПО на ранних стадиях его разработки, делая его более безопасным и надежным.
Внедрение методологий и приборов безопасной разработки ПО неоднократно сопряжено с необходимостью одновременно выстраивать процессы разработки и соответствовать требованиям отечественной регуляторики. Для большинства компаний это становится серьезным вызовом. Эксперты НТЦ «Фобос-НТ» помогают компаниям-участницам Альянса внедрять культуру безопасной и качественной разработки, повышать качество кода и эффективность работы команд. Результатом становится не только улучшение текущих бизнес-процессов, но и соответствие компаний требованиям действующей и перспективной отечественной нормативно-правовой базы что касается РБПО.
В DevSecOps процессах основным подходом является так именуемый «сдвиг влево» (Shift left). Безопасныи? репозитории? «РТК Феникс» является решением класса OSA/SCA для работы с Open Source библиотеками, обеспечивающая их контроль, прозрачное использование, безопасное хранение и беспрерывный мониторинг уязвимостей. Продукт реализует подход проактивной проверки библиотек до момента их интеграции в корпоративный репозиторий и позволяет перенести риски выявления уязвимых компонентов на максимально ранний этап разработки. В одно время с этим, «РТК Феникс» является универсальным репозиторием для всех типов артефактов (maven, npm, pypi, deb, rpm, docker и др.), Репозиторий доступен как SaaS-сервис.
«Ларец» - импортозамещенная система хранения собственных сборок и проксирования корпоративных репозиториев артефактов. Она позволяет реализовать в конвейере весь ключевой функционал работы с собранным ПО: управление артефактами и репозиториями, нативное API управления артефактами (для бесшовной интеграции с локальными сборщиками и средствами CI/CD), прокси и локальные репозитории. Использование в конвейере «Ларца» удаляет проблемы текущих вольно распространяемых систем хранения сборок, такого как nexus community и соответствует современным стандартам и требованиям к ним: безопасность хранения артефактов, работа со всеми ключевыми форматами репозиториев, а также защищенное подключение внутренних и наружных репозиториев.
О проекте
Альянс разработчиков конвейера РБПО (разработка безопасного ПО, синоним термина DevSecOps, с учетом отечественной специфики) - плотное размещение российских ИТ-компаний и научных организаций, цель которого - формирование культуры безопасной разработки и создание полного цикла приборов РБПО на базе отечественных решений. В состав суверенного конвейера вошли ключевые игроки российской ИТ-отрасли: ИТ-экосистема «Лукоморье», Базис, Test IT, Девелоника, CodeScoring, GitFlic, НТЦ «Фобос-НТ», OpenIDE, ИСП РАН, а также продукт «Феникс» ПАО «Ростелеком». Совместно эти компании формируют полный цикл приборов для построения сквозного конвейера безопасной разработки ПО - от управления задачами и кодом до тестирования, эксплуатации и методологического сопровождения.
Фото: Unsplash