Портал электронных торгов «Фабрикант» автоматизировал приемку кода c помощью PT Application Inspector
Заказчики: Fabrikant.ru (Фабрикант) Подрядчики: Positive Technologies (Позитив Текнолоджиз) Продукт: PT Application Inspector (PT AI)Второй продукт: PT Application Firewall Дата проекта: 2017/07 — 2017/12
|
Технология: ИБ - Межсетевые экраны
|
Содержание |
20 февраля 2018 года стало известно, что электронная торговая площадка «Фабрикант» создала систему защиты своих приложений на базе технологий Positive Technologies ― PT Application Inspector и PT Application Firewall. Внедрение анализатора исходного кода PT Application Inspector в процесс непрерывной интеграции (Continuous Integration, CI) позволило выстроить регулярный процесс приемки кода и безопасной разработки, а связка анализатора с межсетевым экраном уровня веб-приложений — обеспечить защиту от эксплуатации обнаруженных уязвимостей на время их исправления.
Предпосылки
На торговой площадке производят электронные закупки крупные российские и зарубежные компании. У «Фабриканта» собственная команда разработчиков, в задачи которой входит улучшение сервиса и добавление новой функциональности. Специалисты по информационной безопасности регулярно проводили ручной анализ защищенности веб-приложения. Однако при таком подходе результаты быстро теряли актуальность из-за регулярных обновлений портала. В связи с этим появилась необходимость максимально автоматизировать проверку кода и внедрить ее в процесс разработки ПО.
Решение
PT Application Inspector сочетает методы статического (SAST), динамического (DAST) и интерактивного (IAST) анализа, что значительно снижает количество ложных срабатываний. Это дает возможность специалистам по безопасности и команде разработки работать только с актуальными угрозами. Для проверки найденных уязвимостей PT Application Inspector формирует тестовые запросы, которые помогают подтвердить возможность эксплуатации этих уязвимостей злоумышленником, а также определить условия выполнения атаки.
Итоги проекта
Площадка «Фабрикант» построена на базе микросервисной архитектуры, состоящей из более чем 100 независимых внутренних сервисов. Учитывая столь большое число регулярно обновляемых сервисов, для автоматизации процесса тестирования исходного кода PT Application Inspector был внедрен в сам процесс сборки приложений путем объединения с системой непрерывной интеграции. Это позволило упростить поиск уязвимостей и сократить время на их верификацию, исправление или патчинг, что в конечном итоге ускорило процесс разработки и развертывания приложений. Кроме того, интеграция PT Application Inspector с межсетевым экраном уровня веб-приложений PT Application Firewall обеспечивает защиту приложений на то время, пока разработчики устраняют уязвимости в коде.
«Доступность и безопасность площадки, которую ежедневно посещают тысячи людей, является для нас приоритетом. Злоумышленники постоянно совершенствуют свои методы, поэтому мы искали такие инструменты, которые не только помогут нам оперативно анализировать исходный код приложения, но и обеспечат защиту от атак на время исправления ошибок. Интеграция PT Application Inspector и PT Application Firewall в production-окружение позволила нам минимизировать влияние процессов ИБ на скорость разработки новой функциональности и обеспечить защиту портала от современных киберугроз». Илья Мальцев, руководитель отдела информационной безопасности торгового портала "Фабрикант" |