2023/11/27 16:06:39

DevSecOps

Термином DevSecOps обозначается цикл разработки программного обеспечения, в котором особое внимание уделяется безопасности.

Содержание

DevSecOps опирается на наработки и рекомендации общего подхода DevOps. Применение ценностей DevOps к безопасности ПО означает, что проверка безопасности становится активной, неотъемлемой частью процесса разработки.[1]

DevSecOps предусматривает активный аудит безопасности и тестирование на проникновение в процессе aglie-разработки. Согласно концепции DevSecOps, безопасность необходимо встраивать в продукт еще в процессе разработки, а не внедрять на этапе готового продукта. Принципы DevSecOps поощряют совместную работу и требуют передавать работу специалистам по безопасности как можно раньше.

DevOps vs DevSecOps.jpg

История

2023

Минцифры тиражирует технологии безопасной разработки DevSecOps на ключевые государственные ИТ-системы

Технология DevSecOps по состоянию на конец ноября 2023 года внедрена для критичных систем «Госуслуг», Единой системы идентификации и аутентификации (ЕСИА), Системы межведомственного электронного взаимодействия (СМЭВ), а со временем будет распространена и на остальные системы инфраструктуры электронного правительства. Об этом TAdviser сообщили в Министерстве цифрового развития и связи РФ.

Технология DevSecOps предполагает дополнение технологии веб-разработки с непрерывной интеграцией новых компонент и их безболезненной установкой (CI/CD-конвейер) механизмами проверки безопасности кода: статическим (SAST) и динамическим (DAST) сканером уязвимостей, контролем зависимостей компонент и встроенных секретов, механизмами нагрузочного тестирования и фаззинга. Эти механизмы позволяют обнаружить ошибки в веб-приложении еще до их публикации, что позволяет допускать к массовому использованию только те веб-компоненты, которые уже прошли первоначальную проверку на безопасность.

Технология DevSecOps часто представляется в виде символа бесконечности с разделением на соответствующие этапы
«
Для ведомственных систем подобную методику предлагает и Государственный центр анализа защищенности мобильных и веб-приложений государственных информационных систем, – пояснили для TAdviser в пресс-службе Минцифры. – В Центре анализ проводится как с использованием отечественных инструментов проверки исходного кода ПО («SAST appScreener», «Svace», «DAST appScreener», «Crusher»), так и в ручном режиме с привлечением экспертов в области информационной безопасности. Начиная с декабря 2022 года проведен анализ более чем 200 мобильных и веб-приложений государственных информационных систем.

»

Государственный центр анализа защищенности мобильных и веб-приложений государственных информационных систем[2] (ГЦА) создан на базе НИИ «ВОСХОД» в 2022 году. Целью его создания является повышение уровня защищенности информационных систем за счет оказания услуги по выявлению уязвимостей программного обеспечения, включая мобильные и веб-приложения, в том числе государственных информационных систем. Причем в функции центра входит не только поиск уязвимостей в мобильных и веб-приложениях государственных ИС, но и взаимодействие с их операторами и заказчиками, целью которого является повышение защищенности подобных систем.

«
Кроме того, ведётся работа по созданию конвейера безопасной разработки на платформе «ГосТех», – сообщила пресс-служба Минцифры. – Конвейер позволит повысить уровень защищенности платформы и государственных информационных систем, работающих на ней, с помощью выявления и устранения недостатков и уязвимостей ПО на всех этапах жизненного цикла программного обеспечения.
»

А поскольку именно «ГосТех» в соответствии с указом Президента РФ № 231[3] станет основой как для федеральных, так и для региональных государственных систем, то внедрение DevSecOps в этой платформе позволит полностью обеспечить технологией все наиболее значимые государственных ИС и тем самым улучшить защищенность веб-ресурсов Российской Федерации в целом.

Московская область внедряет прогрессивные ИБ-практики: DevSecOps, киберучения и bug bounty

Центр информационной безопасности Московской области в середине ноября объявил тендер на внедрение технологии безопасной разработки DevSecOps для своей государственной информационной системы «Портал государственных и муниципальных услуг (функций) Московской области». Проект также предполагает оказание услуг по организации киберучений, проведение программы по поиску уязвимостей и оценке уровня защищенности информационных ресурсов Московской области. Подробнее

Смотрите также

Примечания