Услуга Angara Security по внедрению доверенного репозитория

--> Дата: Мар 4, 2024 191

Angara Security Анализаторы исходного кода Доверенные среды (ДАПС)ПО с открытым кодом (Open Source)Репозитории программного кода Российское ПО Сертификат ФСТЭК Сканеры уязвимостей

Компания Angara Security объявила, что запустила услугу по внедрению доверенного репозитория на базе IT-инфраструктуры заказчиков.

Как поясняют в компании, по оценкам экспертов, от 50 до 85% ИТ-решений в реестре отечественного ПО разработаны с использованием открытого кода, и компании планируют увеличить объем используемых open source-библиотек. C 2022 г. использование открытого кода из доступных международных библиотек (например, GitHub) в клиентских приложениях финтех, банковских и e-commerce несет риски для пользователей и заказчиков ИТ-разработок.

Один из векторов атак – использование уязвимости Log4Shell, выявленной в бесплатно распространяемой библиотеке log4j2. Другой вектор, геополитический, или Protestware, – добавление в открытый код вредоносной функциональности, которая активируется только в российской доменной зоне. Например, пакет es5-ext на GitHub, используемый для улучшения функциональности и производительности кода на JavaScript, определяет тайм-зону, в которой он работает, и если это российский часовой пояс, то выводит слоганы политического характера. Третий вектор атак через open source – атаки на цепочку поставок. К примеру, клиент может получить обновление или любое ПО от разработчика с включенным в него вредоносным ПО или бэкдором.

Для снижения рисков при работе с open source Angara Security рекомендует создавать на базе собственной ИТ-инфраструктуры локальный доверенный репозиторий для команды разработки, который позволяет выявить эксплуатируемые уязвимости на ранних этапах и повысить уровень доверия к создаваемому ПО.

Работа доверенного репозитория выстраивается по следующему алгоритму. При запросе разработчиками кода из открытого внешнего репозитория специалисты по кибербезопасности получают исчерпывающую информацию с использованием многоуровневой проверки специализированными сканерами OSA и SCA. При успешном прохождении проверок код попадает в локальный репозиторий и на следующих этапах разработки к нему можно подключить дополнительно инструменты SAST, DAST. На всех этапах сборки и получения ПО организован поиск ошибок и потенциальных проблем безопасности с учетом актуальных данных по уязвимостям.

Как подчеркивают в Angara Security, проверяется и качество кода, и возможная зависимость от другого ПО open source. Что важно, репозиторий и весь процесс его работы бесшовно интегрируются в уже имеющиеся процессы разработки и действия команд ИТ и ИБ. Алгоритм обеспечения безопасности внедряется так, чтобы это не помешало уже настроенным процессам.

При внедрении репозитория эксперты Angara Security разрабатывают регламент взаимодействия подразделений и настраивают правила сканирования с учетом особенностей приложений заказчика. Если разработчик вносит изменения в код, автоматически запускается его повторная проверка.

Чтобы обеспечить функционирование инфраструктуры для разработки ПО, используются российские средства защиты информации, сертифицированные ФСТЭК. Стек решений включает коммерческие сканеры российских разработчиков, специализированные решения по DevSecOps, решения для защиты микросервисной архитектуры.

По итогам интеграции доверенного репозитория, отмечают в компании, в ряде проектов в финтехсекторе удалось сократить сроки разработки бизнес-приложений и микросервисов за счет того, что был снижен объем кода, который вернули на доработку. Еще один дополнительный эффект – сокращение времени и рабочего ресурса ИТ-специалистов на исправление ранее допущенных ошибок в разработке.