Журнал "Information Security/ Информационная безопасность" #3, 2023

выпуска изделия в промышленную экс- плуатацию. Например, эксперты из LLVM Project приводят следующую оценку: если стоимость исправления бага на этапе разработки составляет около $25, то после релиза она может быть порядка $16 тыс., то есть в 640 раз выше. Важно также учитывать зависимость продукта компании от других систем и заранее проверить наличие их сертифицирован- ных версий, что позволит сэкономить время и деньги. Лука Сафонов, Синклит: Для общения с финансовым директо- ром и любым топ-менеджером рецепт успеха простой: показать реальную поль- зу от внедрения на примере в деньгах. Сколько стоит исправление найденной критичной уязвимости после релиза про- дукта (затраты на разработку, тестиро- вание, сдвиг запланированных сроков релиза)? Насколько репутационные риски приемлемы для компании? Марк Коренберг, Айдеко: Следует показать возможные денеж- ные и репутационные риски в случае, если в продукте найдутся серьезные уязвимости. Можно также сравнить объем затрат и потенциальную выгоду от сертификации продукта. В нашем случае внедрение SDL не стоило очень дорого, потому что многие этапы уже и так присутствовали. Сергей Деев, МТС RED: На мой взгляд, с финансовым дирек- тором верным подходом будет разговор на языке цифр. Нужно сделать расчет стоимости внедрения решения по без- опасной разработке и сопоставить его с затратами на ликвидацию последствий инцидента, вызванного эксплуатацией уязвимости в ПО. Можно также посчи- тать недополученную компанией при- быль и финансовые потери в связи со снижением качества разработанного компанией ПО, а значит, предоставляе- мых компанией услуг. Сергей Сергеев, КСБ-СОФТ: Для директора важен рост доходов и репутации на конкурентном рынке, поэтому рекомендую показать, какие перспективы с внедрением SDL откры- ваются перед компанией. Важно объяснить, что любое ПО содер- жит уязвимости. Впоследствии это может привести к финансовым и репутацион- ным потерям, например из-за взлома компании через имеющуюся уязвимость в коде. Таким образом, чем раньше организация начнет внедрять безопас- ную разработку, тем меньше денежных затрат она понесет в будущем. Владимир Пономарев, Гарда Технологии: Раскрою наш секрет: умело манипу- лируйте тройкой "неизбежность – необходимость – польза", добейтесь личной вовлеченности генерального директора – и результат будет обеспе- чен. У нас ведется разработка более десяти собственных ИБ-продуктов. Без унификации подхода к SDL нам было бы очень сложно, так что уговаривать никого и не пришлось. Оксана Новослугина, СПб ИАЦ: Способов не очень много. Основной – это, конечно, описание рисков. Возможен вариант описания и подсчета вероятно- сти рисков при потере ценной информа- ции или ее утечки, простоя производства, а также указания в качестве рисков административной, а иногда и уголовной ответственности. Не стоит забывать и о репутационном ущербе. Мне кажется, при грамотном подходе любой финан- совый директор прислушается к мнению специалистов. Екатерина Вайц, МГТУ им. Н.Э. Баумана: Наши вложения в SDL опираются на необходимость обеспечения возмож- ности отработки студентами получен- ных практических навыков по безопас- ной разработке в соответствии с "рус- ским методом" подготовки инженеров, что является вполне достаточным обоснованием для руководства уни- верситета. Сергей Сергеев, КСБ-СОФТ: При выборе действительно полезного инструмента важно обратить внимание на следующие вопросы: 1. Достаточно ли хорошо исследована технология решения? 2. Привлекались ли для исследования профессиональные сообщества? 3. Осуществляют ли поддержку данной технологии ведущие предприятия и институты? Рекомендую также изучить частоту релизов продукта, уделить внимание всем вносимым изменениям. Не забы- вайте и про обратную связь от уже использующих данное решение компа- ний. Роман Борзов, Андрей Кузнецов, Фобос-НТ: Любой качественный продукт скрывает за собой большую научную и инженер- ную работу, которая предвосхищает его создание. Невозможно создать хороший продукт без понимания его внутренних процессов и архитектуры, которое появляется только при системном под- ходе к проектированию, разработке и научной обоснованности реализован- ных методик и подходов. Обращение к опыту и мнению уже использовавших подобные инструменты позволяет определить актуальный стек технологий и апробировать их само- стоятельно, после чего очень важно и очень приветствуется поделиться полу- ченным опытом с сообществом. Борис Позин, ЕС-лизинг: Технологию можно увидеть тогда, когда вы именно ее ищете, а не новую игрушку – инструмент, волшебную таб- летку. Эксплуатацией систем занимают- ся люди, у них есть проблемы, мешаю- щие им улучшить качество их работы, особенно при серьезном отношении к делу. Поговорите с ними, выясните их потребности, подумайте, нарисуйте соот- ветствующий технологический процесс или его фрагмент. Ведь система для автоматизации работы по эксплуатации и сопровождению ПО – это такая же система, как и другие. Значит, у нее должны быть цели, задачи, технология работ, критерии оценки качества резуль- татов, ролевая модель персонала и сред- ства автоматизации технологического процесса. Надо искать не технологию за продуктом, а продукт для автомати- зации технологии. И тогда все встанет на место. Сергей Груздев, Аладдин Р.Д.: На данный момент четких критериев для разделения качественных и нека- чественных продуктов DevSecOps не существует. Каждый специалист осно- вывается на собственном опыте про- хождения всех этапов жизненного цикла кода: планирование, сборка, тестиро- вание, развертывание, мониторинг. Только так можно выбрать хорошую методологию и инструменты. Конечно, нужно иметь определенный опыт использования специализированных инструментов для написания и проверки кода – поиска поверхности атаки, дина- мического анализа и т.д. Без опыта и возможности сравнить разные инстру- менты в работе определить действи- тельно "экспертный" продукт не пред- ставляется возможным. Владимир Высоцкий, Solar appScreener: Чтобы оценить функциональность решения, его необходимо тестировать на своей инфраструктуре. Это позволит понять, действительно ли продукт содер- жит заявленные инструменты, а также не содержит ли он критических ошибок, которые могут привести к серьезным последствиям. Как увидеть за продуктом технологию и отделить действительно полезные инструменты и методики от поделок, появляющихся на активно развивающемся рынке? 50 • СПЕЦПРОЕКТ