Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата премьеры системы: | 2024/09/25 |
Отрасли: | Информационная безопасность |
Технологии: | Средства разработки приложений |
2024: Представление AppSec Table Top
Positive Technologies подготовила общедоступный фреймворк безопасной разработки — AppSec Table Top. Созданная методология представляет собой набор мер, принципов и подходов для обеспечения защищенности веб-приложений на всех этапах их жизненного цикла. Фреймворк поможет специалистам разных направлений (от системных аналитиков до DevSecOps-инженеров) эффективно выстроить AppSec-процессы с учетом интересов бизнеса, требований регуляторов и потребностей команд. Об этом компания сообщила 25 сентября 2024 года.
Актуальные киберугрозы вынуждают компании усиливать защиту веб-приложений. В России на них, по данным исследований Positive Technologies, в 2023-м и первой половине 2024 года пришелся 21% атак. Кроме того, последние пять лет эксплуатация уязвимостей, в том числе в веб-приложениях, стабильно входит в тройку наиболее популярных методов атак на организации. Вследствие этого на отечественном рынке наметилась позитивная тенденция: компании, занимающиеся разработкой веб-ресурсов самостоятельно или с привлечением подрядчиков, активно внедряют процессы и инструменты DevSecOps. Такая практика позволяет еще на этапах написания, тестирования и эксплуатации ПО выявлять и устранять уязвимые места, которыми злоумышленники потенциально могут воспользоваться в будущем.
Отечественная индустрия безопасной разработки относительно молода, и компании, выстраивающие AppSec-процессы, сталкиваются со множеством вопросов. Вместе с тем руководствоваться зарубежными подходами не всегда возможно, так как многие из них неприменимы в российских реалиях. В ответ на острую потребность бизнеса и разработчиков ПО эксперты Positive Technologies создали собственную методологию. В документе аккумулирован и упорядочен 20-летний опыт вендора, передовая экспертиза компании в области application security, а также лучшие практики зарубежных и отечественных стандартов и фреймворков (PCI SSF, Microsoft SDL, BSIMM, SAMM, ГОСТ 56939, ГОСТ 15408 и других). В частности, в создании методологии участвовали практикующие специалисты: директора по ИТ, разработчики, архитекторы ИБ.
Ключевые особенности фреймворка:
- Привязка к отечественным регуляторам.
Эксперты Positive Technologies непрерывно анализируют требования и постановления, регламентирующие разработку защищенного ПО, и отражают их в методологии, чтобы пользователи всегда могли контролировать соблюдение комплаенса. - Автоматизация.
Сокращение ручного труда не только ускоряет разработку и экономит ресурсы, но и минимизирует риски, связанные с человеческим фактором и отсутствием стандартизации. - Актуальность.
Гайдлайн будет обновляться ежегодно, что поможет организациям и техническим энтузиастам всегда быть в едином поле с регуляторами, отслеживать тренды безопасной разработки и строить гипотезы.
Методологию можно использовать в трех направлениях: как справочник; как основу для построения процессов безопасной разработки и как модель для оценки зрелости этих процессов в организации. Фреймворк будет полезен компаниям разных размеров — от небольших студий с командой разработки из ста человек до корпораций со штатом в несколько тысяч ИТ-специалистов.
Описанные в методологии практики и пути их реализации помогают бизнесу выстроить элементы и процессы безопасной разработки так, чтобы уязвимостей было меньше, их обнаружение происходило раньше, а исправление стоило дешевле и было проще. Компания может выполнить любой из этапов как полностью своими силами, так и с нашей помощью, чтобы гарантированно и максимально безболезненно для команды получить хороший результат. Со своей стороны мы готовы сопровождать и страховать компании в ходе внедрения и перестройки процессов разработки, — прокомментировал Евгений Иляхин, архитектор процессов безопасной разработки Positive Technologies. |
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (46)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15)
Форсайт (11)
Axiom JDK (БеллСофт) ранее Bellsoft (10)
Бипиум (Bpium) (10)
Другие (393)
Солар (ранее Ростелеком-Солар) (8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
Консом групп, Konsom Group (КонсОМ СКС) (2)
ЛАНИТ - Би Пи Эм (Lanit BPM) (2)
IFellow (АйФэлл) (2)
Другие (30)
Солар (ранее Ростелеком-Солар) (10)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
Форсайт (3)
Cloud.ru (Облачные технологии) ранее SberCloud (2)
КРИТ (KRIT) (2)
Другие (13)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (ранее Ростелеком-Солар) (2, 48)
Microsoft (41, 47)
Oracle (49, 26)
Hyperledger (Open Ledger Project) (1, 23)
IBM (33, 18)
Другие (607, 308)
Солар (ранее Ростелеком-Солар) (1, 8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
Microsoft (4, 3)
Oracle (2, 3)
SAP SE (2, 2)
Другие (16, 19)
Солар (ранее Ростелеком-Солар) (1, 11)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3)
Форсайт (1, 3)
Cloud.ru (Облачные технологии) ранее SberCloud (1, 2)
Сбербанк (1, 2)
Другие (9, 9)
Солар (ранее Ростелеком-Солар) (1, 6)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
Мобильные ТелеСистемы (МТС) (1, 4)
SL Soft (СЛ Софт) (1, 3)
Другие (14, 24)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 4)
Мобильные ТелеСистемы (МТС) (2, 3)
Солар (ранее Ростелеком-Солар) (1, 3)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2)
Axiom JDK (БеллСофт) ранее Bellsoft (1, 1)
Другие (14, 14)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Solar appScreener (ранее Solar inCode) - 48 (48, 0)
Hyperledger Fabric - 23 (23, 0)
Windows Azure - 20 (20, 0)
FIS Platform - 15 (15, 0)
EXpress Защищенный корпоративный мессенджер - 12 (12, 0)
Другие 315
Solar appScreener (ранее Solar inCode) - 8 (8, 0)
FIS Platform - 4 (4, 0)
Парадокс: MES Builder - 2 (2, 0)
Java - 2 (2, 0)
Siemens Xcelerator - 2 (2, 0)
Другие 21
Solar appScreener (ранее Solar inCode) - 11 (11, 0)
Форсайт. Мобильная платформа (ранее HyperHive) - 3 (3, 0)
BSS Digital2Go - 3 (3, 0)
Cloud ML Space - 2 (2, 0)
Axiom JDK (ранее Liberica JDK до 2022) - 1 (1, 0)
Другие 7
Solar appScreener (ранее Solar inCode) - 6 (6, 0)
EXpress Защищенный корпоративный мессенджер - 6 (6, 0)
МТС Exolve - 4 (4, 0)
РЖД и Робин: Облачная фабрика программных роботов - 3 (3, 0)
Форсайт. Мобильная платформа (ранее HyperHive) - 3 (3, 0)
Другие 12
EXpress Защищенный корпоративный мессенджер - 4 (4, 0)
Solar appScreener (ранее Solar inCode) - 3 (3, 0)
МТС Exolve - 2 (2, 0)
Т1: Сфера Платформа производства ПО - 1 (1, 0)
BSS Digital2Go - 1 (1, 0)
Другие 10