Безопасный контроль за развитием: различия между версиями
ENetrebin (обсуждение | вклад) |
|||
| (не показана 1 промежуточная версия этого же участника) | |||
| Строка 1: | Строка 1: | ||
'''''[[Применение Ключ-АСТРОМ]] / [[Применение Ключ-АСТРОМ#.D0.91.D0.B5.D0.B7.D0.BE.D0.BF.D0.B0.D1.81.D0.BD.D0.BE.D1.81.D1.82.D1.8C%20.D0.B4.D0.B0.D0.BD.D0.BD.D1.8B.D1.85|Безопасность данных]] / Безопасный контроль за развитием''''' | |||
Эта страница представляет собой обзор всех элементов управления безопасностью, которые включены в Ключ-АСТРОМ Security Development Lifecycle (SDL). В следующих разделах приводится более подробная информация об этих элементах управления и практиках, которые применяются Ключ-АСТРОМ во всех критически важных для бизнеса компонентах продукта. | Эта страница представляет собой обзор всех элементов управления безопасностью, которые включены в Ключ-АСТРОМ Security Development Lifecycle (SDL). В следующих разделах приводится более подробная информация об этих элементах управления и практиках, которые применяются Ключ-АСТРОМ во всех критически важных для бизнеса компонентах продукта. | ||
Дополнительную информацию о том, как Ключ-АСТРОМ защищает данные клиентов в процессе производства, см. в разделе '''''[[Контроль безопасности данных]].''''' | Дополнительную информацию о том, как Ключ-АСТРОМ защищает данные клиентов в процессе производства, см. в разделе '''''[[Контроль безопасности данных]].''''' | ||
| Строка 7: | Строка 8: | ||
== Моделирование угроз == | == Моделирование угроз == | ||
Для компонентов приложений, критически важных для безопасности, требуется модель угроз на этапе проектирования. Эта модель угроз создается архитекторами продуктов и безопасности. | Для компонентов приложений, критически важных для безопасности, требуется модель угроз на этапе проектирования. Эта модель угроз создается архитекторами продуктов и безопасности. | ||
== Оценка внешних служб и библиотек == | == Оценка внешних служб и библиотек == | ||
Аудиты безопасности проводятся для всех внешних сторонних поставщиков и служб, прежде чем они будут использованы командами безопасности. Все сторонние библиотеки оцениваются по качеству, производительности, лицензированию и уязвимостям и требуют одобрения перед использованием. | Аудиты безопасности проводятся для всех внешних сторонних поставщиков и служб, прежде чем они будут использованы командами безопасности. Все сторонние библиотеки оцениваются по качеству, производительности, лицензированию и уязвимостям и требуют одобрения перед использованием. | ||
== Обзоры кода == | == Обзоры кода == | ||
Каждое изменение кода утверждается разработчиком | Каждое изменение кода утверждается главным разработчиком разработчиком. Изменения, вносимые в критические для безопасности области продукта, должны быть дополнительно одобрены сотрудниками службы безопасности. | ||
Изменения, вносимые в основную строку кода, требуют запроса на извлечение, который проходит через многочисленные автоматизированные тесты, включая выбранный набор тестов безопасности статического анализа кода. | Изменения, вносимые в основную строку кода, требуют запроса на извлечение, который проходит через многочисленные автоматизированные тесты, включая выбранный набор тестов безопасности статического анализа кода. | ||
== Статический анализ кода == | == Статический анализ кода == | ||
| Строка 26: | Строка 21: | ||
Плагины включают в себя предопределенные и самостоятельно разработанные правила обнаружения уязвимостей и ошибок безопасности. | Плагины включают в себя предопределенные и самостоятельно разработанные правила обнаружения уязвимостей и ошибок безопасности. | ||
== Сканирование сторонних библиотек == | == Сканирование сторонних библиотек == | ||
Централизованное управление библиотеками сторонних разработчиков осуществляется с помощью инструмента анализа состава программного обеспечения (SCA). Ежедневно проводятся сканирования, выявляются уязвимости безопасности и риски лицензирования, создаются билеты на исправление. | Централизованное управление библиотеками сторонних разработчиков осуществляется с помощью инструмента анализа состава программного обеспечения (SCA). Ежедневно проводятся сканирования, выявляются уязвимости безопасности и риски лицензирования, создаются билеты на исправление. | ||
== Автоматизированные тесты безопасности == | == Автоматизированные тесты безопасности == | ||
Отдельные группы разработчиков реализуют автоматизированные тесты безопасности в форме модульных тестов, интеграционных тестов или тестов пользовательского интерфейса, которые выполняются автоматически в рамках конвейера CI/CD. | Отдельные группы разработчиков реализуют автоматизированные тесты безопасности в форме модульных тестов, интеграционных тестов или тестов пользовательского интерфейса, которые выполняются автоматически в рамках конвейера CI/CD. | ||
== Подписание кода == | == Подписание кода == | ||
Пакеты установщика автоматически подписываются в конвейере сборки с использованием сертификатов подписи кода | Пакеты установщика автоматически подписываются в конвейере сборки с использованием сертификатов подписи кода. | ||
Также проверка подписи выполняется автоматически во время установки и обновлений. | Также проверка подписи выполняется автоматически во время установки и обновлений. | ||
Плагины и расширения, созданные Ключ-АСТРОМ, подписаны, и подпись проверяется при их активации на хостах. Любое изменение их содержимого делает подпись недействительной и предотвращает активацию. | Плагины и расширения, созданные Ключ-АСТРОМ, подписаны, и подпись проверяется при их активации на хостах. Любое изменение их содержимого делает подпись недействительной и предотвращает активацию. | ||
== Тесты на проникновение в систему == | == Тесты на проникновение в систему == | ||
В Ключ-АСТРОМ есть специальная команда сертифицированных тестировщиков на проникновение в систему, которые регулярно тестируют новые и существующие функции, используя самые современные инструменты тестирования на проникновение. | В Ключ-АСТРОМ есть специальная команда сертифицированных тестировщиков на проникновение в систему, которые регулярно тестируют новые и существующие функции, используя самые современные инструменты тестирования на проникновение. | ||
== Обнаружение вторжений и реагирование на проблемы == | == Обнаружение вторжений и реагирование на проблемы == | ||
Все критические системы контролируются Ключ-АСТРОМ и системами обнаружения вторжений. Критические события запускают процесс реагирования на проблемы. | Все критические системы контролируются Ключ-АСТРОМ и системами обнаружения вторжений. Критические события запускают процесс реагирования на проблемы. | ||
== Сканирование веб-приложений == | == Сканирование веб-приложений == | ||
Еженедельные сканирования уязвимостей веб-приложений проводятся в виде динамических тестов безопасности приложений (DAST). | Еженедельные сканирования уязвимостей веб-приложений проводятся в виде динамических тестов безопасности приложений (DAST). | ||
== Отслеживание уязвимостей и ключевые показатели эффективности == | == Отслеживание уязвимостей и ключевые показатели эффективности == | ||
| Строка 77: | Строка 48: | ||
Центральные панели безопасности и квартальные отчеты доступны всем командам. Для выявленных горячих точек планируются и внедряются улучшения. | Центральные панели безопасности и квартальные отчеты доступны всем командам. Для выявленных горячих точек планируются и внедряются улучшения. | ||
Текущая версия на 11:01, 17 апреля 2025
Применение Ключ-АСТРОМ / Безопасность данных / Безопасный контроль за развитием
Эта страница представляет собой обзор всех элементов управления безопасностью, которые включены в Ключ-АСТРОМ Security Development Lifecycle (SDL). В следующих разделах приводится более подробная информация об этих элементах управления и практиках, которые применяются Ключ-АСТРОМ во всех критически важных для бизнеса компонентах продукта.
Дополнительную информацию о том, как Ключ-АСТРОМ защищает данные клиентов в процессе производства, см. в разделе Контроль безопасности данных.
Моделирование угроз
Для компонентов приложений, критически важных для безопасности, требуется модель угроз на этапе проектирования. Эта модель угроз создается архитекторами продуктов и безопасности.
Оценка внешних служб и библиотек
Аудиты безопасности проводятся для всех внешних сторонних поставщиков и служб, прежде чем они будут использованы командами безопасности. Все сторонние библиотеки оцениваются по качеству, производительности, лицензированию и уязвимостям и требуют одобрения перед использованием.
Обзоры кода
Каждое изменение кода утверждается главным разработчиком разработчиком. Изменения, вносимые в критические для безопасности области продукта, должны быть дополнительно одобрены сотрудниками службы безопасности.
Изменения, вносимые в основную строку кода, требуют запроса на извлечение, который проходит через многочисленные автоматизированные тесты, включая выбранный набор тестов безопасности статического анализа кода.
Статический анализ кода
Статический анализ кода и статическое тестирование безопасности приложений (SAST) выполняются ежедневно. Правила и плагины активно поддерживаются командой по качеству кода Ключ-АСТРОМ, состоящей из инженеров-программистов и экспертов по безопасности.
Плагины включают в себя предопределенные и самостоятельно разработанные правила обнаружения уязвимостей и ошибок безопасности.
Сканирование сторонних библиотек
Централизованное управление библиотеками сторонних разработчиков осуществляется с помощью инструмента анализа состава программного обеспечения (SCA). Ежедневно проводятся сканирования, выявляются уязвимости безопасности и риски лицензирования, создаются билеты на исправление.
Автоматизированные тесты безопасности
Отдельные группы разработчиков реализуют автоматизированные тесты безопасности в форме модульных тестов, интеграционных тестов или тестов пользовательского интерфейса, которые выполняются автоматически в рамках конвейера CI/CD.
Подписание кода
Пакеты установщика автоматически подписываются в конвейере сборки с использованием сертификатов подписи кода.
Также проверка подписи выполняется автоматически во время установки и обновлений.
Плагины и расширения, созданные Ключ-АСТРОМ, подписаны, и подпись проверяется при их активации на хостах. Любое изменение их содержимого делает подпись недействительной и предотвращает активацию.
Тесты на проникновение в систему
В Ключ-АСТРОМ есть специальная команда сертифицированных тестировщиков на проникновение в систему, которые регулярно тестируют новые и существующие функции, используя самые современные инструменты тестирования на проникновение.
Обнаружение вторжений и реагирование на проблемы
Все критические системы контролируются Ключ-АСТРОМ и системами обнаружения вторжений. Критические события запускают процесс реагирования на проблемы.
Сканирование веб-приложений
Еженедельные сканирования уязвимостей веб-приложений проводятся в виде динамических тестов безопасности приложений (DAST).
Отслеживание уязвимостей и ключевые показатели эффективности
Все проблемы безопасности и уязвимости отслеживаются в центральной системе тикетов, которая также используется для всех других рабочих задач другими командами. Команды безопасности классифицируют и оценивают все уязвимости с помощью Общей системы оценки уязвимостей (CVSS). Сроки исправления для каждой степени серьезности уязвимости определяются и постоянно отслеживаются.
Центральные панели безопасности и квартальные отчеты доступны всем командам. Для выявленных горячих точек планируются и внедряются улучшения.
