Конвейер основан на отечественных решениях разработки, тестирования и контроля безопасности ПО
Восемь отечественных вендоров совместно с Институтом системного программирования РАН им. В. П. Иванникова и НТЦ «ФОБОС-НТ» представили полностью импортонезависимый конвейер разработки безопасного программного обеспечения (РБПО). Первый показ решения состоялся на стендах компаний в рамках международного форума Kazan Digital Week.
В конвейере разработки безопасного ПО используются продукты из Реестра российского ПО, а все инструменты предоставляются компаниями, зарегистрированными в России, поэтому заказчики обеспечены технической поддержкой от производителей. Это выгодно отличает их от открытого ПО. Важной особенностью созданного конвейера является также соответствие требованиям государственных регуляторов, в том числе и ФСТЭК России.
Зачем нужен конвейер РБПО
В конвейере разработки безопасного ПО реализована автоматизация всех ключевых этапов разработки — от управления задачами и написания кода, до тестирования и эксплуатации опубликованного ПО. Также предусмотрена методическая поддержка, благодаря чему конвейер можно эффективно применять в реальных проектах. Он помогает ускорить выпуск продуктов за счёт динамической инфраструктуры, оптимизации ресурсов и упорядоченности процессов. Таким образом, применяя конвейер разработки безопасного ПО, заказчик получает управляемый и предсказуемый результат.
Ключевое преимущество конвейера РБПО — в том, что проверки безопасности возможно проводить на различных этапах жизненного цикла разработки ПО, а не проверять только в конце, когда работа уже завершена. Такой подход позволяет выявлять и устранять ошибки на ранних стадиях, до того как они станут причинами наличия уязвимостей. По оценкам специалистов, исправление ошибок после выхода продукта в эксплуатацию обходится в среднем в 40 раз дороже, чем на стадии проектирования. В ряде случаев это может привести к существенным потерям и даже остановке бизнеса.
Программное обеспечение, разработанное в инфраструктуре конвейера, может считаться более безопасным за счёт исправления недостатков, выявленных с применением специализированных инструментов: автоматического анализа поверхности атаки, статического анализа, сканирования зависимостей для выявления небезопасных библиотек и компонентов, фаззинг-тестирования и динамического тестирования приложений на типовые ошибки и уязвимости. Дополнительно используются средства формирования прозрачной аналитики и метрик для команды и руководства. Сочетание применения этих технологий позволяет своевременно выявлять ошибки в коде и конфигурациях, снижая вероятность их попадания в опубликованную версию разработанного ПО.
Потенциальные клиенты
Новый конвейер безопасной разработки ориентирован на широкий круг заказчиков. Его применение обеспечит выполнение требований по импортозамещению и разработке безопасного ПО как для организаций государственного сектора, так и крупнейших компаний страны, относящихся к критической информационной инфраструктуре (предприятия промышленности, электроэнергетики, топливно-энергетический сектора, финансов и пр.) и их поставщиков ПО. Организации из финансового сектора и их поставщики ПО также смогут выполнить требования к контролю безопасности ПО, используемого при финансовых операциях и обработке клиентских данных, утверждённых Банком России. Для широкого перечня организаций и вендоров это способ снизить расходы на устранение ошибок и встроить безопасность в привычные CI/CD-процессы, опираясь на лучшие мировые практики. А для стартапов и малого бизнеса — возможность с самого начала закладывать доверие и масштабируемость продукта, повышая его инвестиционную привлекательность.
Роли участников
«Лукоморье»
Экосистема «Лукоморье» обеспечивает управление полным жизненным циклом IT-продуктов в рамках единого конвейера. Система «Яга» позволяет работать с проектами и задачами на всех этапах — от постановки задачи и проверки кода до тестирования, стейджинга и закрытия. В одной рабочей среде можно собрать команду, задачи и всю информацию по проекту. Эксплуатация и сопровождение продуктов организуются через ESM-систему «Диво», обеспечивая поддержку и управление сервисами после выпуска.
«Базис»
В основе инфраструктуры конвейера разработки безопасного ПО лежат два сертифицированных продукта компании «Базис» — платформа виртуализации Basis Dynamix Enterprise и платформа управления контейнерами Basis Digital Energy. Вместе они создают динамическую инфраструктуру для установки инструментов конвейера РБПО: Basis Dynamix Enterprise создаёт виртуальные узлы для работы конвейера, а Basis Digital Energy разворачивает на них кластеры Kubernetes.
Источник изображения: «Базис»
OpenIDE
OpenIDE — открытая мультиязычная среда разработки и платформа для плагинов — усиливает конвейер на рабочем месте разработчика. OpenIDE переносит контроль безопасности «влево»: с помощью расширений для OpenIDE возможно внедрить предкоммит-проверки, secret-сканы, аудит зависимостей, генерацию SBOM и единые политики линтинга прямо в IDE. Решение работает для Java/Spring, TypeScript/Node.js, Python, Go и IaC и поддерживает локальный AI-ассистент в периметре компании.
CodeScoring
CodeScoring обеспечивает защиту на основных этапах жизненного цикла разработки программного обеспечения. IDE-плагины вовлекают разработчиков в обеспечение безопасности продуктов, используя привычное окружение и удобство использования. Модуль OSA выявляет уязвимости в используемых для сборки зависимостях и не допускает их попадания во внутреннюю инфраструктуру, а SCA формирует перечень компонентов приложения с указанием рисков безопасности и лицензирования. Система TQI постоянно анализирует качество кода, помогает находить дубликаты, утечки и выстраивать прозрачную работу команд. Дополнительно реализована безопасность секретов: поиск в коде оставленных паролей, токенов и другой чувствительной информации предотвращает утечки конфиденциальных данных и снижает риски несанкционированного доступа.
GitFlic
Платформа работы с исходным кодом GitFlic выполняет центральную роль в конвейере разработки безопасного ПО, выступая его ключевым интеграционным хабом и технологическим фундаментом. Она служит не просто мостом между изолированными ранее командами разработки и безопасности, а единой средой, где безопасность становится неотъемлемым и автоматизированным свойством процесса разработки. Решая критически важную задачу защищённого хранения исходного кода с детализированным контролем доступа и аудитом, GitFlic закладывает основу для доверия ко всему конвейеру.
«Девелоника» (FabricaONE.AI, ГК Softline)
Связующим звеном для контроля процессов внутри конвейера инструментов РБПО выступит методология «Девелоника Fusion». Внедрение методологии, разработанной компанией «Девелоника», предполагает принципиальное соблюдение SLA. Подход объединил более 100 метрик под индивидуальные KPI (включая Cycle Time, Work in progress и Throughput). Заказчики смогут горизонтально декомпозировать работу по направлениям и срокам, получать аналитику по жизненному циклу задач и фиксировать результат на каждом этапе проекта. Комплексность практик позволяет сократить до 45 % времени и ресурсов разработки и повысить эффективность производственных команд до 30 %.
Test IT («Девелоника», FabricaONE.AI, ГК Softline)
В DevTestSecOps-процессах тестирование встроено на всех этапах — от проектирования до релиза. В импортонезависимом конвейере инструментов РБПО ключевую роль в организации и поддержании QA-процессов выполняет Test IT. Платформа для управления тестированием объединяет работу с ручными и автотестами в едином интерфейсе, упрощает подготовку, запуск и анализ тестов и обеспечивает прозрачность и предсказуемость процесса тестирования. Решение поддерживает десятки интеграций с инструментами для разработки и тестирования, а также с ИИ-моделями для генерации тест-кейсов внутри TMS, что позволяет многократно ускорить время на подготовку тестовой документации.
ИСП РАН
ИСП РАН — это научная организация, развивающая тематику исследований безопасности ПО. Разработчик статического анализатора Svace и сервера сбора результатов Svacer, фаззера Sydr, системы определения поверхности атак Natch, и пр. Активно участвует в развитии направления РБПО в РФ: разрабатывая ГОСТы, проводя аудиты и внедрения своих инструментов в организациях-разработчиках ПО и ОКИИ. В ИСП РАН действует орган по сертификации процессов РБПО при ФСТЭК России. Подходы и инструменты ИСП РАН позволяют определять уязвимости в ПО на ранних стадиях его разработки, делая его более безопасным и надёжным.
НТЦ «ФОБОС-НТ»
Внедрение методологий и инструментов безопасной разработки ПО часто сопряжено с необходимостью одновременно выстраивать процессы разработки и соответствовать требованиям отечественной регуляторики. Для многих компаний это становится серьёзным вызовом. Эксперты НТЦ «Фобос-НТ» помогают компаниям-участницам альянса внедрять культуру безопасной и качественной разработки, повышать качество кода и эффективность работы команд. Результатом становится не только улучшение текущих бизнес-процессов, но и соответствие компаний требованиям действующей и перспективной отечественной нормативно-правовой базы в области РБПО.
ПАО «Ростелеком»
В DevSecOps процессах основным подходом является так называемый «сдвиг влево» (Shift left). Безопасный репозиторий «РТК Феникс» является решением класса OSA/SCA для работы с Open Source библиотеками, обеспечивая их контроль, прозрачное использование, безопасное хранение и постоянный мониторинг уязвимостей. Продукт реализует подход проактивной проверки библиотек до момента их интеграции в корпоративный репозиторий и позволяет перенести риски выявления уязвимых компонентов на максимально ранний этап разработки. Одновременно с этим, «РТК Феникс» является универсальным репозиторием для всех типов артефактов (maven, npm, pypi, deb, rpm, docker и др.), Репозиторий доступен как SaaS-сервис.
«Ларец» — импортозамещенная система хранения собственных сборок и проксирования корпоративных репозиториев артефактов. Она позволяет реализовать в конвейере весь ключевой функционал работы с собранным ПО: управление артефактами и репозиториями, нативное API управление артефактами (для бесшовной интеграции с локальными сборщиками и средствами CI/CD), прокси и локальные репозитории. Использование в конвейере «Ларца» устраняет проблемы текущих свободно распространяемых систем хранения сборок, таких как nexus community и соответствует современным стандартам и требованиям к ним: безопасность хранения артефактов, работа со всеми ключевыми форматами репозиториев, а также защищённое подключение внутренних и внешних репозиториев.
Источник:
