Журнал "Information Security/ Информационная безопасность" #5, 2022

Настройка интеллектуального управления В платформу класса ASOC можно добавить инструменты анализа собран- ных данных. Для этого необходимо соз- дать дополнительный функциональный модуль для консолидации, хранения и анализа полученной информации. Вот как это можно сделать. Шаг 1. Собрать данные от инстру- ментов разработки ПО и сканирования безопасности и загрузить их в специ- альное хранилище данных (Data Ware- house). Шаг 2. Сформировать набор метрик на основе собранных данных. Шаг 3. Добавить к метрикам бизнес- контекст и определить ключевые пока- затели эффективности (KPI). Шаг 4. Разработать дашборды для управления платформой DevSecOps на основе исходных данных, метрик и KPI. Анализировать собираемую инфор- мацию, а также быстро адаптироваться к происходящим изменениям и улучшать процедуру поставки ПО помогают тех- нологии искусственного интеллекта (AI) и машинного обучения (ML). Чтобы настроить интеллектуальное управление платформой, нужно скор- ректировать шаги реализации функ- циональности дополнительного модуля для работы с данными. Первые три шага, указанные выше, остаются преж- ними, а на четвертом нужно обработать исходные данные, метрики и KPI с помо- щью технологий искусственного интел- лекта и машинного обучения. После этого можно формировать дашборды для управления платформой DevSecOps на основе обработанных данных, метрик и KPI. С точки зрения практики ASOC техно- логии AI/ML могут улучшить работу оркестрации и корреляции. Оркестрация Автоматическая проверка критериев качества ПО AI в платформах класса ASOC может динамически формировать состав и кри- терии прохождения каждой точки конт- роля качества артефактов ПО. Для этого AI использует собранную информацию и данные метрик. Сформированные искусственным интеллектом точки контроля качества ПО и их критерии позволят решать, готова ли сборка к выходу на следую- щий этап жизненного цикла ПО. С использованием технологий AI можно продвигать артефакты по DevSecOps-конвейеру в максимально автоматизированном режиме. Решения будут приниматься по итогам скани- рования сборки в различных средах – это позволит быстро и непрерывно выпускать релизы. Автоматизированные точки контроля качества могут включать проверку раз- личных практик AST. Их конфигурация способна динамически изменяться – это зависит от стадии конвейера ИБ. Таким образом, можно установить точки конт- роля в CI/CD-пайплайнах, настроить их критерии и управлять с помощью этого инструмента качеством ПО. CI/CD-пайплайн как код Для масштабной реализации DevSecOps подход к управлению CI/CD-пайплайнами как к коду дает очевидные преимуще- ства. Компании, применяющие такую концепцию, получают механизм для улучшения процессов развертывания, запуска, управления и отслеживания статуса своего ПО. Современные реше- ния класса ASOC позволяют строить конвейеры ИБ "из коробки" нажатием одной кнопки. С помощью технологий AI/ML можно автоматически обнаружи- вать компоненты ПО и создавать для них CI/CD-пайплайны с точно опреде- ленными критериями качества. AI может инвентаризировать артефак- ты ПО, в автоматическом режиме соз- давать сквозные конвейеры и заранее встраивать в них вызовы инструментов ИБ на основе контекста и ряда парамет- ров разрабатываемого продукта. Тех- нологии AI также способны динамически определять порядок и количество конт- рольных точек качества ПО в каждом конвейере CI/CD. Этот подход помогает ускорить выпуск продуктов, поскольку весь процесс, от первого коммита в ветке до выхода финального релиза, тща- тельно контролируется. Корреляция Технология AVC как часть процесса разработки ПО Технологии AI/ML дают возможность построить механизм корреляции про- блем безопасности AVC (Application Vul- nerability Correlation) на основе данных, полученных из инструментов тестиро- вания безопасности. Процесс корреля- ции включает в себя ML-модель, которая может автоматически отфильтровывать ложноположительные срабатывания, выявлять дубликаты и однотипные про- блемы ИБ и группировать их в единый дефект ИБ. Этот механизм значительно сокращает время, необходимое на устранение про- блем безопасности. Таким образом, команда может сосредоточиться на край- не важных уязвимостях и нарастить ско- рость распознавания угроз в разраба- тываемом ПО. Автоматизированное руководство по устранению уязвимостей Среди обнаруживаемых проблем все- гда встречаются типовые уязвимости, в том числе критические, которые можно устранить несложными способами. Тех- нология AVC находит и приоритизирует дефекты ИБ, а также автоматически предоставляет рекомендации по устра- нению проблем. Платформы ASOC умеют собирать данные об уязвимостях из различных сканеров безопасности с помощью прак- тик тестирования – SAST, SCA, DAST и т.д. Если внедрить технологии AVC и предоставить им подробные стандарты и детальные рекомендации по безопас- ному кодированию для каждого языка программирования, то это позволит тех- нологиям формировать шаблоны защи- щенного кода, настроенные под особен- ности реализации DevSecOps в компа- нии. Управление соответствием требованиям ИБ При разработке ПО одним из важных аспектов является соответствие инду- стриальным стандартам ИБ и требова- ниям регуляторов. Процесс управления требованиями можно полностью авто- матизировать в рамках жизненного цикла продуктов – это значительно облегчит выполнение задач в компа- нии. Автоматические проверки на соответ- ствие требованиям и стандартам должны гарантировать, что все критерии соблю- дены и ПО можно выпускать в промыш- ленную эксплуатацию. В рамках плат- форм класса ASOC технологи AI/ML • 49 БЕЗОПАСНАЯ РАЗРАБОТКА www.itsec.ru Рис. 2. Реализация функционального модуля для консолидации, хранения и анализа собранных данных Рис. 3. Настройка интеллектуального управления платформой класса ASOC