Angara Security: Услуга по внедрению доверенного репозитория на базе ИТ-инфраструктуры заказчиков

Продукт
Разработчики: Angara Security (Ангара Технолоджиз Груп, АТ Груп) ранее Angara Technologies Group
Дата премьеры системы: 2024/02/27
Отрасли: Информационная безопасность
Технологии: ИТ-аутсорсинг

Основная статья: ИТ-аутсорсинг

2024: Запуск услуги по внедрению доверенного репозитория на базе IT-инфраструктуры заказчиков

27 февраля 2024 года компания Angara Security сообщила о запуске услуги по внедрению доверенного репозитория на базе IT-инфраструктуры заказчиков.

Услуга по внедрению доверенного репозитория на базе ИТ-инфраструктуры заказчиков

Как сообщалось, по оценке экспертов, от 50 до 85% IT-решений в реестре отечественного ПО разработаны с использованием открытого кода. При этом к 2026 году до 90% компаний планируют увеличить объем используемых open-source-библиотек в IT-разработке. C 2022 года использование непроверенного открытого кода из доступных международных библиотек (например, GitHub) в клиентских финтех-, банковских и e-commerce-приложениях несет риски для пользователей и заказчиков IT-разработок. Как пример первого вектора атак — атаки через уязвимость Log4Shell, выявленную в бесплатно распространяемой библиотеке log4j2.

Следующий вектор — геополитический, или Protestware, — добавление в открытый код вредоносной функциональности, которая активируется только в российской доменной зоне. Например, пакет es5-ext на GitHub может быть использован для оптимизации функциональности и производительности кода на JavaScript. Обычно es5-ext включается в проект через менеджер пакетов NPM (от Node.js) или YARN (от Facebook признана экстремисткой и запрещена в РФ.) и используется в коде через директиву Import или Require(). Российские эксперты выяснили, что пакет определяет тайм-зону, в которой он работает. Как только он понимает, что попал в российский часовой пояс, то выводит слоганы политического характера.

Третий вектор атак через open-source — это атаки на цепочку поставок. При использовании ПО клиент может получить обновление или любое ПО от разработчика с включенным в него зловредным ПО или бэкдором. Практика атак через цепочки поставок только увеличивается: если в 2022 году число инцидентов со взломом через подрядчиков было около 20%, то в первой половине 2023 года эта тактика фиксировалась уже в 30% случаев.

Для снижения рисков при работе с open-source Angara Security рекомендует создавать на базе собственной IT-инфраструктуры локальный доверенный репозиторий для команды разработки, который позволяет выявить эксплуатируемые уязвимости на ранних этапах и повысить уровень доверия к создаваемому ПО.

Работа подобного доверенного репозитория выстраивается по следующему алгоритму. При запросе разработчиками кода из открытого внешнего репозитория специалисты по кибербезопасности получают исчерпывающую информацию по данному ПО с использованием многоуровневой проверки специализированными сканерами OSA и SCA. При успешном прохождении проверок код попадает в локальный репозиторий и на следующих этапах разработки к нему можно подключить дополнительно инструменты SAST, DAST. На всех этапах сборки и получения ПО организован поиск ошибок и потенциальных проблем безопасности с учетом актуальных данных по уязвимостям.

«
Мы применяем подход с поэтапной проверкой кода из общедоступных источников и задействуем инструменты от компаний российского рынка информационной безопасности. Мы проверяем и качество кода, и возможную зависимость от другого open-source ПО. Что важно для компании: репозиторий и весь процесс его работы бесшовно интегрируется в уже имеющиеся процессы разработки и действия команд ИТ и ИБ. Мы внедряем алгоритм обеспечения безопасности так, чтобы это не помешало уже настроенным процессам.

поведал Андрей Макаренко, руководитель отдела развития бизнеса Angara Security
»

Во время внедрения репозитория эксперты Angara Security разрабатывают регламент взаимодействия подразделений и настраивают правила сканирования с учетом особенностей приложений заказчика. В случае если разработчик вносит изменения в код, автоматически запускается повторная проверка кода.

«
В процессе разработки важно, чтобы ошибки и уязвимости были выявлены как можно раньше и не влияли на следующие спринты. Если же накануне релиза обнаружится уязвимость, которая позволит легко взломать систему, что принесет репутационный и финансовый ущерб компании, то разработчикам придется отложить дату выпуска приложения.

подчеркнул Андрей Макаренко
»

Чтобы обеспечить функционирование инфраструктуры для разработки ПО, используются российские средства защиты информации, сертифицированные ФСТЭК. Стек решений включает коммерческие сканеры российских разработчиков, специализированные решения по DevSecOps, решения по защите микросервисной архитектуры.

По итогам интеграции доверенного репозитория в ряде проектов в финтехсекторе удалось сократить сроки разработки бизнес-приложений и микросервисов за счет того, что был снижен объем кода, который вернули на доработку. Еще один дополнительный эффект — сокращение времени и рабочего ресурса IT-специалистов на исправление ранее допущенных ошибок в разработке.

Формат доверенного репозитория дополняет другие решения для информационной безопасности IT-разработки: аудит защищенности DevOps-инфраструктуры, анализ кода, адаптацию точечных open-source-инструментов и внедрение средств защиты на платформах для управления контейнеризированными средами.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Maykor (Мэйкор) (108)
  Softline (Софтлайн) (97)
  X-Com (Икс ком) (55)
  IBS (50)
  Инфосистемы Джет (48)
  Другие (2477)

  X-Com (Икс ком) (9)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (8)
  Softline (Софтлайн) (8)
  Корус Консалтинг (7)
  Гэндальф (Gendalf) (6)
  Другие (189)

  Softline (Софтлайн) (13)
  Датапакс (11)
  Корус Консалтинг (7)
  Axelot Consult (7)
  Инфосистемы Джет (6)
  Другие (188)

  X-Com (Икс ком) (9)
  Датапакс (6)
  Softline (Софтлайн) (6)
  GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (5)
  Nord Clan (Норд Клан) (4)
  Другие (151)

  Axelot (Акселот) (5)
  GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (4)
  Корус Консалтинг (4)
  IBS (3)
  Qsoft (Кьюсофт) (3)
  Другие (95)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Axelot (Акселот) (1, 25)
  ITglobal.com (ИТглобалком Рус) (2, 15)
  UBS (1, 6)
  Softline (Софтлайн) (5, 5)
  РДТЕХ (3, 4)
  Другие (174, 31)

  ITglobal.com (ИТглобалком Рус) (1, 4)
  Axelot (Акселот) (1, 3)
  AWG (АртВеб Групп) (1, 1)
  Orange Business Services (Оранж Бизнес Сервисез, Эквант) (1, 1)
  UBS (1, 1)
  Другие (2, 2)

  Axelot (Акселот) (1, 8)
  ITglobal.com (ИТглобалком Рус) (1, 2)
  Сбербанк-Сервис (СберСервис) (1, 2)
  AWG (АртВеб Групп) (1, 1)
  ОБИТ (1, 1)
  Другие (1, 1)

  ITglobal.com (ИТглобалком Рус) (1, 3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Softline (Софтлайн) (1, 1)
  Другие (0, 0)

  Axelot (Акселот) (1, 3)
  Диасофт (Diasoft) (1, 2)
  ITglobal.com (ИТглобалком Рус) (1, 1)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Axelot Логистический консалтинг - 25 (25, 0)
  ITglobal.com: Managed IT - 15 (15, 0)
  UBS Cybersecurity Awareness Platform - 6 (6, 0)
  РДТЕХ: Аутсорсинг администрирования баз данных - 4 (4, 0)
  Parking.ru Хостинг ИСПДн - 4 (4, 0)
  Другие 31

  ITglobal.com: Managed IT - 4 (4, 0)
  Axelot Логистический консалтинг - 3 (3, 0)
  UBS Cybersecurity Awareness Platform - 1 (1, 0)
  Orange Business Services Контакт-центр - 1 (1, 0)
  Konica Minolta Dispatcher Suite - 1 (1, 0)
  Другие 1

  Axelot Логистический консалтинг - 8 (8, 0)
  ITglobal.com: Managed IT - 2 (2, 0)
  СберСервис: ИТуслуга.ру - 2 (2, 0)
  Softline HaaS: оборудование как сервис - 1 (1, 0)
  SkillStaff (B2B‑маркетплейс) - 1 (1, 0)
  Другие 0

  ITglobal.com: Managed IT - 3 (3, 0)
  Softline Премьер Cервисы - 1 (1, 0)
  Другие 0

  Axelot Логистический консалтинг - 3 (3, 0)
  Диасофт: Услуга автотестирования - 2 (2, 0)
  ITglobal.com: Managed IT - 1 (1, 0)
  Другие 0