Безопасный контроль за развитием: различия между версиями
(Создана пустая страница) |
ENetrebin (обсуждение | вклад) |
||
| (не показаны 2 промежуточные версии 2 участников) | |||
| Строка 1: | Строка 1: | ||
'''''[[Применение Ключ-АСТРОМ]] / [[Применение Ключ-АСТРОМ#.D0.91.D0.B5.D0.B7.D0.BE.D0.BF.D0.B0.D1.81.D0.BD.D0.BE.D1.81.D1.82.D1.8C%20.D0.B4.D0.B0.D0.BD.D0.BD.D1.8B.D1.85|Безопасность данных]] / Безопасный контроль за развитием''''' | |||
Эта страница представляет собой обзор всех элементов управления безопасностью, которые включены в Ключ-АСТРОМ Security Development Lifecycle (SDL). В следующих разделах приводится более подробная информация об этих элементах управления и практиках, которые применяются Ключ-АСТРОМ во всех критически важных для бизнеса компонентах продукта. | |||
Дополнительную информацию о том, как Ключ-АСТРОМ защищает данные клиентов в процессе производства, см. в разделе '''''[[Контроль безопасности данных]].''''' | |||
== Моделирование угроз == | |||
Для компонентов приложений, критически важных для безопасности, требуется модель угроз на этапе проектирования. Эта модель угроз создается архитекторами продуктов и безопасности. | |||
== Оценка внешних служб и библиотек == | |||
Аудиты безопасности проводятся для всех внешних сторонних поставщиков и служб, прежде чем они будут использованы командами безопасности. Все сторонние библиотеки оцениваются по качеству, производительности, лицензированию и уязвимостям и требуют одобрения перед использованием. | |||
== Обзоры кода == | |||
Каждое изменение кода утверждается главным разработчиком разработчиком. Изменения, вносимые в критические для безопасности области продукта, должны быть дополнительно одобрены сотрудниками службы безопасности. | |||
Изменения, вносимые в основную строку кода, требуют запроса на извлечение, который проходит через многочисленные автоматизированные тесты, включая выбранный набор тестов безопасности статического анализа кода. | |||
== Статический анализ кода == | |||
Статический анализ кода и статическое тестирование безопасности приложений (SAST) выполняются ежедневно. Правила и плагины активно поддерживаются командой по качеству кода Ключ-АСТРОМ, состоящей из инженеров-программистов и экспертов по безопасности. | |||
Плагины включают в себя предопределенные и самостоятельно разработанные правила обнаружения уязвимостей и ошибок безопасности. | |||
== Сканирование сторонних библиотек == | |||
Централизованное управление библиотеками сторонних разработчиков осуществляется с помощью инструмента анализа состава программного обеспечения (SCA). Ежедневно проводятся сканирования, выявляются уязвимости безопасности и риски лицензирования, создаются билеты на исправление. | |||
== Автоматизированные тесты безопасности == | |||
Отдельные группы разработчиков реализуют автоматизированные тесты безопасности в форме модульных тестов, интеграционных тестов или тестов пользовательского интерфейса, которые выполняются автоматически в рамках конвейера CI/CD. | |||
== Подписание кода == | |||
Пакеты установщика автоматически подписываются в конвейере сборки с использованием сертификатов подписи кода. | |||
Также проверка подписи выполняется автоматически во время установки и обновлений. | |||
Плагины и расширения, созданные Ключ-АСТРОМ, подписаны, и подпись проверяется при их активации на хостах. Любое изменение их содержимого делает подпись недействительной и предотвращает активацию. | |||
== Тесты на проникновение в систему == | |||
В Ключ-АСТРОМ есть специальная команда сертифицированных тестировщиков на проникновение в систему, которые регулярно тестируют новые и существующие функции, используя самые современные инструменты тестирования на проникновение. | |||
== Обнаружение вторжений и реагирование на проблемы == | |||
Все критические системы контролируются Ключ-АСТРОМ и системами обнаружения вторжений. Критические события запускают процесс реагирования на проблемы. | |||
== Сканирование веб-приложений == | |||
Еженедельные сканирования уязвимостей веб-приложений проводятся в виде динамических тестов безопасности приложений (DAST). | |||
== Отслеживание уязвимостей и ключевые показатели эффективности == | |||
Все проблемы безопасности и уязвимости отслеживаются в центральной системе тикетов, которая также используется для всех других рабочих задач другими командами. Команды безопасности классифицируют и оценивают все уязвимости с помощью Общей системы оценки уязвимостей (CVSS). Сроки исправления для каждой степени серьезности уязвимости определяются и постоянно отслеживаются. | |||
Центральные панели безопасности и квартальные отчеты доступны всем командам. Для выявленных горячих точек планируются и внедряются улучшения. | |||
Текущая версия на 11:01, 17 апреля 2025
Применение Ключ-АСТРОМ / Безопасность данных / Безопасный контроль за развитием
Эта страница представляет собой обзор всех элементов управления безопасностью, которые включены в Ключ-АСТРОМ Security Development Lifecycle (SDL). В следующих разделах приводится более подробная информация об этих элементах управления и практиках, которые применяются Ключ-АСТРОМ во всех критически важных для бизнеса компонентах продукта.
Дополнительную информацию о том, как Ключ-АСТРОМ защищает данные клиентов в процессе производства, см. в разделе Контроль безопасности данных.
Моделирование угроз
Для компонентов приложений, критически важных для безопасности, требуется модель угроз на этапе проектирования. Эта модель угроз создается архитекторами продуктов и безопасности.
Оценка внешних служб и библиотек
Аудиты безопасности проводятся для всех внешних сторонних поставщиков и служб, прежде чем они будут использованы командами безопасности. Все сторонние библиотеки оцениваются по качеству, производительности, лицензированию и уязвимостям и требуют одобрения перед использованием.
Обзоры кода
Каждое изменение кода утверждается главным разработчиком разработчиком. Изменения, вносимые в критические для безопасности области продукта, должны быть дополнительно одобрены сотрудниками службы безопасности.
Изменения, вносимые в основную строку кода, требуют запроса на извлечение, который проходит через многочисленные автоматизированные тесты, включая выбранный набор тестов безопасности статического анализа кода.
Статический анализ кода
Статический анализ кода и статическое тестирование безопасности приложений (SAST) выполняются ежедневно. Правила и плагины активно поддерживаются командой по качеству кода Ключ-АСТРОМ, состоящей из инженеров-программистов и экспертов по безопасности.
Плагины включают в себя предопределенные и самостоятельно разработанные правила обнаружения уязвимостей и ошибок безопасности.
Сканирование сторонних библиотек
Централизованное управление библиотеками сторонних разработчиков осуществляется с помощью инструмента анализа состава программного обеспечения (SCA). Ежедневно проводятся сканирования, выявляются уязвимости безопасности и риски лицензирования, создаются билеты на исправление.
Автоматизированные тесты безопасности
Отдельные группы разработчиков реализуют автоматизированные тесты безопасности в форме модульных тестов, интеграционных тестов или тестов пользовательского интерфейса, которые выполняются автоматически в рамках конвейера CI/CD.
Подписание кода
Пакеты установщика автоматически подписываются в конвейере сборки с использованием сертификатов подписи кода.
Также проверка подписи выполняется автоматически во время установки и обновлений.
Плагины и расширения, созданные Ключ-АСТРОМ, подписаны, и подпись проверяется при их активации на хостах. Любое изменение их содержимого делает подпись недействительной и предотвращает активацию.
Тесты на проникновение в систему
В Ключ-АСТРОМ есть специальная команда сертифицированных тестировщиков на проникновение в систему, которые регулярно тестируют новые и существующие функции, используя самые современные инструменты тестирования на проникновение.
Обнаружение вторжений и реагирование на проблемы
Все критические системы контролируются Ключ-АСТРОМ и системами обнаружения вторжений. Критические события запускают процесс реагирования на проблемы.
Сканирование веб-приложений
Еженедельные сканирования уязвимостей веб-приложений проводятся в виде динамических тестов безопасности приложений (DAST).
Отслеживание уязвимостей и ключевые показатели эффективности
Все проблемы безопасности и уязвимости отслеживаются в центральной системе тикетов, которая также используется для всех других рабочих задач другими командами. Команды безопасности классифицируют и оценивают все уязвимости с помощью Общей системы оценки уязвимостей (CVSS). Сроки исправления для каждой степени серьезности уязвимости определяются и постоянно отслеживаются.
Центральные панели безопасности и квартальные отчеты доступны всем командам. Для выявленных горячих точек планируются и внедряются улучшения.
