Журнал "Information Security/ Информационная безопасность" #2, 2023

46 • ТЕХНОЛОГИИ Интеграция с инструментами включает в себя двунаправленную связь через REST API, всестороннюю синхронизацию, автоматическое конфигурирование и управление настройками сканеров. Под- ключение программных активов (онбор- динг) может осуществляться как вручную, так и автоматически с помощью специ- альных скриптов. Во втором случае про- граммы добавляют в систему всю необхо- димую информацию о приложениях, их кодовых базах, артефактах и т.д. На следующем этапе платформа соз- дает, настраивает и запускает CI-/CD- пайплайны, а также конфигурирует ИБ- инструменты для каждого отдельного сканирования. Механизм, реализующий практику ASOC, инициирует проверки в нужный момент, а также обеспечивает интеграцию вновь созданных конвейеров безопасности в DevOps-процесс. Такая платформа может создавать и настраивать точки контроля качества ПО (Quality Gates) для каждого ИБ-пай- плайна. Они определяют критерии для успешного прохождения проверок и поз- воляют принять решение о том, можно ли переводить сборку на следующий этап жизненного цикла разработки ПО. Встроить проверки безопасности в CI-/ CD-пайплайны на базе таких инструментов, как Jenkins и TeamCity, можно с помощью копирования небольшого фрагмента кода (Code Snippet – около 10 строк) в уже существующий ИБ-конвейер. Такие фрагменты кода вызывают скрипты, которые получают все необхо- димые конфигурации пайплайна из базы данных решения, реализующей практику ASOC. В результате инструмент CI/CD может автоматически запускать конвей- ер ИБ, настроенный платформой DevSec- Ops, и отправлять итоги тестирований. Корреляция При отсутствии единого инструмента для управления DevSecOps интегриро- ванные сканеры работают в отдельных плоскостях. Команда ИБ получает гигант- ские объемы результатов проверок, ей нужно все это проанализировать, а после устранения ошибок снова провести тестирование, чтобы убедиться, что ста- рые проблемы решены. И так по кругу. В рамках блока корреляции платфор- ма DevSecOps позволяет: l агрегировать все результаты скани- рований в едином рабочем простран- стве; l фильтровать ложные срабатывания; l выявлять дубликаты и похожие про- блемы и группировать их в дефекты; l определять прио- ритет для всех обна- руженных уязвимо- стей по степени серь- езности; l контролировать статус устранения про- блем безопасности при помощи полных или инкрементальных сканирований; l ф о р м и р о в а т ь понятное описание дефектов безопасно- сти для коммуника- ции с командами раз- работки; l накапливать и обогащать новыми данными информацию о типовых уязви- мостях. Эти функции значительно облегчают работу ИБ-специалистам и дают им сконцентрироваться на более сложных проблемах безопасности. Для реализации задач корреляции в DevSecOps-платформах используется специальный движок Application Vulne- rability Correlation (AVC). Он работает на основе моделей машинного обучения. Алгоритм обработки проблем безопас- ности, применяемый в AVC, состоит из нескольких этапов. 1. Автоматический анализ уязвимостей, найденных ИБ-инструментами, фильтра- ция ложных срабатываний (желтые знач- ки – ложноположительные срабатывания, а красные, синие и зеленые – истинно положительные результаты). 2. Группировка схожих проблем, кото- рые можно устранить одномоментно. Платформа ASOC (точки контроля качества) Фрагмент кода