Журнал "Information Security/ Информационная безопасность" #2, 2023

• 45 Безопасная разраБотка www.itsec.ru При построении процесса разработки защищенного ПО компании зачастую стал- киваются с двумя серьезными проблемами. 1. Не получается без ущерба для ско- рости поставки продуктов интегрировать в DevOps инструменты AST (Application Security Testing). 2. Сложно управлять сканерами и обрабатывать большой поток результа- тов проверок. Решить эти проблемы и оптимизиро- вать процесс DevSecOps можно с помо- щью инструмента, реализующего прак- тику ASOC (Application Security Orche- stration and Correlation). Функциональные блоки инструмента, реализующего практику ASOC Согласно отчету Gartner Hype Cycle for Application Security, 2022, ASOC – разви- вающаяся технология. Платформа, рабо- тающая на базе этой практики, позволяет применить комплексный и централизо- ванный подход к построению DevSecOps, реализовать весь потенциал методологии. В рамках такой платформы возможности оркестрации и корреляции могут быть расширены, что позволит оптимизировать DevSecOps в режиме реального времени, наращивая компетенции команды. С уче- том базового функционала технологии ASOC и ее дополнительных возможностей рабочее пространство платформы DevSec- Ops можно поделить на четыре области. Разберем подробнее каждую из четы- рех областей. Оркестрация У компаний, внедряющих DevSecOps, часто возникают проблемы технического уровня со встраиванием ИБ-инструментов в инженерную среду разработки и системы отслеживания дефектов. Нередко органи- зации используют для этого кастомные интеграции, применяя разрозненные и немо- дернизируемые скрипты, а это долго и тру- дозатратно. Ведь кроме этого нужно настроить интегрированные инструменты, создать и сконфигурировать пайплайны ИБ для всех элементов программных продуктов – делать все это вручную не очень удобно. Блок оркестрации, реализующийся в рамках DevSecOps-платформы, позво- ляет соединить процессы безопасности с CI-/CD-пайплайнами DevOps для того, чтобы инициировать запуск проверок защищенности с помощью настроенных инструментов на конкретных ветках кода. Платформа, работающая на базе ASOC, позволяет по принципу "из коробки" бес- шовно внедрить все типы ИБ-инструмен- тов (SAST, DAST, IAST, SCA, OSA, CSS и др.) в существующий DevOps-ландшафт компании. На первом этапе платформа интегрируется с инструментами разра- ботки ПО (CI/CD, системами версионного контроля, репозиториями, средствами отслеживания дефектов), сканерами без- опасности, продуктами компании и про- граммными активами (кодовыми базами, артефактами, экземплярами приложений, структурными единицами). Инструмент класса ASOC как единственный вариант для реализации полноценного DevSecOps о прогнозам экспертов, в ближайшие годы около 30% российских компаний 1 , производящих проприетарное ПО, внедрят DevSec- Ops. На фоне растущих и эволюционирующих ИБ-угроз организации начинают осознавать важность безопасности, но сталкиваются с трудностями в ходе ее обеспечения. П Антон Башарин, технический директор Swordfish Security Платформа ASOC Четыре области DevSecOps 1 https://www.it-world.ru/it-news/reviews/181672.html