| Разработчики: | Angara Security (Ангара Технолоджиз Груп, АТ Груп) ранее Angara Technologies Group |
| Дата премьеры системы: | 2024/02/27 |
| Отрасли: | Информационная безопасность |
| Технологии: | ИТ-аутсорсинг |
Основная статья: ИТ-аутсорсинг
2024: Запуск услуги по внедрению доверенного репозитория на базе IT-инфраструктуры заказчиков
27 февраля 2024 года компания Angara Security сообщила о запуске услуги по внедрению доверенного репозитория на базе IT-инфраструктуры заказчиков.
Как сообщалось, по оценке экспертов, от 50 до 85% IT-решений в реестре отечественного ПО разработаны с использованием открытого кода. При этом к 2026 году до 90% компаний планируют увеличить объем используемых open-source-библиотек в IT-разработке. C 2022 года использование непроверенного открытого кода из доступных международных библиотек (например, GitHub) в клиентских финтех-, банковских и e-commerce-приложениях несет риски для пользователей и заказчиков IT-разработок. Как пример первого вектора атак — атаки через уязвимость Log4Shell, выявленную в бесплатно распространяемой библиотеке log4j2.
Следующий вектор — геополитический, или Protestware, — добавление в открытый код вредоносной функциональности, которая активируется только в российской доменной зоне. Например, пакет es5-ext на GitHub может быть использован для оптимизации функциональности и производительности кода на JavaScript. Обычно es5-ext включается в проект через менеджер пакетов NPM (от Node.js) или YARN (от Facebook признана экстремисткой и запрещена в РФ.) и используется в коде через директиву Import или Require(). Российские эксперты выяснили, что пакет определяет тайм-зону, в которой он работает. Как только он понимает, что попал в российский часовой пояс, то выводит слоганы политического характера.
Третий вектор атак через open-source — это атаки на цепочку поставок. При использовании ПО клиент может получить обновление или любое ПО от разработчика с включенным в него зловредным ПО или бэкдором. Практика атак через цепочки поставок только увеличивается: если в 2022 году число инцидентов со взломом через подрядчиков было около 20%, то в первой половине 2023 года эта тактика фиксировалась уже в 30% случаев.
Для снижения рисков при работе с open-source Angara Security рекомендует создавать на базе собственной IT-инфраструктуры локальный доверенный репозиторий для команды разработки, который позволяет выявить эксплуатируемые уязвимости на ранних этапах и повысить уровень доверия к создаваемому ПО.
Работа подобного доверенного репозитория выстраивается по следующему алгоритму. При запросе разработчиками кода из открытого внешнего репозитория специалисты по кибербезопасности получают исчерпывающую информацию по данному ПО с использованием многоуровневой проверки специализированными сканерами OSA и SCA. При успешном прохождении проверок код попадает в локальный репозиторий и на следующих этапах разработки к нему можно подключить дополнительно инструменты SAST, DAST. На всех этапах сборки и получения ПО организован поиск ошибок и потенциальных проблем безопасности с учетом актуальных данных по уязвимостям.
 | Мы применяем подход с поэтапной проверкой кода из общедоступных источников и задействуем инструменты от компаний российского рынка информационной безопасности. Мы проверяем и качество кода, и возможную зависимость от другого open-source ПО. Что важно для компании: репозиторий и весь процесс его работы бесшовно интегрируется в уже имеющиеся процессы разработки и действия команд ИТ и ИБ. Мы внедряем алгоритм обеспечения безопасности так, чтобы это не помешало уже настроенным процессам. поведал Андрей Макаренко, руководитель отдела развития бизнеса Angara Security |  |
Во время внедрения репозитория эксперты Angara Security разрабатывают регламент взаимодействия подразделений и настраивают правила сканирования с учетом особенностей приложений заказчика. В случае если разработчик вносит изменения в код, автоматически запускается повторная проверка кода.
| | В процессе разработки важно, чтобы ошибки и уязвимости были выявлены как можно раньше и не влияли на следующие спринты. Если же накануне релиза обнаружится уязвимость, которая позволит легко взломать систему, что принесет репутационный и финансовый ущерб компании, то разработчикам придется отложить дату выпуска приложения. подчеркнул Андрей Макаренко | |
Чтобы обеспечить функционирование инфраструктуры для разработки ПО, используются российские средства защиты информации, сертифицированные ФСТЭК. Стек решений включает коммерческие сканеры российских разработчиков, специализированные решения по DevSecOps, решения по защите микросервисной архитектуры.
По итогам интеграции доверенного репозитория в ряде проектов в финтехсекторе удалось сократить сроки разработки бизнес-приложений и микросервисов за счет того, что был снижен объем кода, который вернули на доработку. Еще один дополнительный эффект — сокращение времени и рабочего ресурса IT-специалистов на исправление ранее допущенных ошибок в разработке.
Формат доверенного репозитория дополняет другие решения для информационной безопасности IT-разработки: аудит защищенности DevOps-инфраструктуры, анализ кода, адаптацию точечных open-source-инструментов и внедрение средств защиты на платформах для управления контейнеризированными средами.
Подрядчики-лидеры по количеству проектов
Maykor (Мэйкор) (108) Softline (Софтлайн) (96) X-Com (Икс ком) (52) IBS (48) Инфосистемы Джет (47) Другие (2394) X-Com (Икс ком) (9) Softline (Софтлайн) (8) Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (8) Корус Консалтинг (7) Гэндальф (Gendalf) (6) Другие (188) Softline (Софтлайн) (13) Датапакс (11) Корус Консалтинг (7) Axelot Consult (7) Венета Систем (Veneta System, Clever bros Клевер Бразерс) (6) Другие (185)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Axelot (Акселот) (1, 21) ITglobal.com (ИТглобалком Рус) (2, 15) UBS (1, 6) Softline (Софтлайн) (5, 5) РДТЕХ (3, 4) Другие (166, 28) ITglobal.com (ИТглобалком Рус) (1, 4) Axelot (Акселот) (1, 3) AWG (АртВеб Групп) (1, 1) Orange Business Services (Оранж Бизнес Сервисез, Эквант) (1, 1) UBS (1, 1) Другие (2, 2) Axelot (Акселот) (1, 7) ITglobal.com (ИТглобалком Рус) (1, 2) Сбербанк-Сервис (СберСервис) (1, 2) AWG (АртВеб Групп) (1, 1) ОБИТ (1, 1) Другие (1, 1) ITglobal.com (ИТглобалком Рус) (1, 3) BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1) Softline (Софтлайн) (1, 1) Другие (0, 0)Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Axelot Логистический консалтинг - 21 (21, 0) ITglobal.com: Managed IT - 15 (15, 0) UBS Cybersecurity Awareness Platform - 6 (6, 0) Softline HaaS: оборудование как сервис - 4 (4, 0) Parking.ru Хостинг ИСПДн - 4 (4, 0) Другие 28 ITglobal.com: Managed IT - 4 (4, 0) Axelot Логистический консалтинг - 3 (3, 0) Orange Business Services Контакт-центр - 1 (1, 0) Softline HaaS: оборудование как сервис - 1 (1, 0) SkillStaff (B2B‑маркетплейс) - 1 (1, 0) Другие 1 Axelot Логистический консалтинг - 7 (7, 0) ITglobal.com: Managed IT - 2 (2, 0) СберСервис: ИТуслуга.ру - 2 (2, 0) SkillStaff (B2B‑маркетплейс) - 1 (1, 0) ОБИТ ИТ-аутсорсинг - 1 (1, 0) Другие 0 
