Контакты
Подписка 2024

Платформа Guardant для защиты и лицензирования программных продуктов

Михаил Чухломин, 11/01/23

Платформа Guardant – это лидирующий на российском рынке комплекс программно-аппаратных продуктов для решения множества задач в области защиты, лицензирования и управления продажами программного обеспечения. Guardant помогает тысячам разработчиков в России и за рубежом эффективно монетизировать свои программные продукты, учитывая все аспекты жизненного цикла программного обеспечения, от противодействия пиратству и контроля лицензионных ограничений до управления каталогом продуктов и постоянного повышения удобства для конечных пользователей. При этом вендор может всецело сфокусироваться на развитии основной функциональности своего решения.

Автор: Михаил Чухломин, менеджер по развитию бизнеса направления Guardant Компании “Актив”

Эффективное управление лицензиями и заказами на программное обеспечение

Как известно, задачи лицензирования и организации продаж ПО – неотъемлемая часть любого софтверного бизнеса. В зависимости от схемы монетизации и политики реализации продукта вендору необходимо позаботиться о том, чтобы защитить свой софт и установить на него требуемые лицензионные ограничения, осуществить выписку лицензии и ее доставку покупателю, обеспечить возможность удаленного обновления лицензионных ограничений и продажу дополнительных функций. Он также должен постараться автоматизировать эти шаги. На поддержку этих процессов требуются значительные ресурсы. Создание собственной самописной системы управления лицензированием, как правило, нецелесообразно из-за высокой стоимости разработки. Ведь чтобы такая система помогала продавать, а не сдерживала деятельность отдела продаж, она должна быть гибкой, масштабируемой, позволять быстро тестировать бизнес-гипотезы и обеспечивать высокий уровень безопасности. Как показывает опыт, разработка полноценной платформы управления лицензиями отвлекает компанию от совершенствования своего основного продукта.

Продукты Guardant представляют собой структурированную систему решений для комплексного управления лицензированием программного обеспечения, а также защиты и управления продажами ПО. Система ориентирована на минимизацию затрачиваемых вендором и покупателем его продукта времени и ручного труда. Она позволяет создавать, доставлять, устанавливать и обновлять лицензии полностью в автоматическом режиме, тем самым снимая с вендора масштабную задачу по поддержке этих процессов.

Возможности Guardant направлены на формирование и изменение продуктовой линейки вендора путем комбинирования различных продуктов и их отдельно лицензируемых компонентов. Это дает возможность раскрыть максимальный потенциал монетизируемого программного обеспечения. Помимо комбинирования самих продуктов и их составных частей, решения Guardant дают возможность оперативно вносить изменения в схемы монетизации программного обеспечения, тестировать различные гипотезы, а также позволяют устанавливать индивидуальные лицензионные ограничения для каждого покупателя.

Автоматизация продаж и типы ключей

Продавая программный продукт, вендору требуется не только защитить ПО, но и установить, а затем контролировать лицензионные ограничения для пользователей. Требуется также подумать о том, когда и как заказчик будет обновлять ранее полученную от разработчика лицензию. Поэтому нужно заранее предусмотреть удобный инструментарий, позволяющий пользователю самостоятельно активировать софт, продлевать лицензию и при необходимости переносить ее.

Если вендор продает свое ПО сотнями копий, то вопрос автоматизации продаж и всего жизненного цикла лицензии стоит предельно актуально.

Важным компонентом комплекса Guardant являются его продукты – аппаратные и программные ключи. Ключи разработаны для защиты, лицензирования и распространения кросс-платформенного программного обеспечения. То есть программа работоспособна, только если на компьютере присутствует ключ с нужной лицензией внутри.

В 2022 г. более востребованными, чем раньше, стали программные ключи Guardant – по своей функциональности они практически идентичны аппаратным, но позволяют быстро и удобно распространять защищенное приложение через Интернет, что подходит многим вендорам, учитывая усложнившуюся логистику.

Конечно, в тех сферах, где уровень пиратства высок, рекомендуется использовать аппаратный ключ, который позволяет загрузить в его память часть кода программного обеспечения. Но есть индустрии, где угроза пиратства не так сильна. Например, в банковском сегменте значительно меньше распространен целенаправленный взлом программного обеспечения и использования его пиратских версий. Поэтому в таких случаях зачастую удобнее использовать программные лицензии и те преимущества, которые они дают. Для вендора, поставляющего софт, например, в Китай, где остро стоит проблема пиратства, оптимальным решением будет именно аппаратный ключ Guardant. А вот для поставки программного продукта в США или Англию удобство программных ключей будет более заметным и уместным.

При этом все современные модели электронных ключей могут взаимодействовать с операционной системой и защищенным приложением одним из двух способов: как HID-совместимые устройства или через драйвер Guardant.

Защита программного кода

В течение долгого периода становления рынка ПО в России уровень пиратства заметно снижался и возможности гибкого лицензирования и автоматизация продаж становились все более и более востребованными. Но 2022 год внес коррективы, и вопрос защиты кода снова стал очень актуальным.

Приложение, разработанное без использования эффективных технологий защиты, может быть проанализировано и впоследствии изменено под нужды злоумышленника. Современные средства реверс-инжиниринга значительно упрощают и ускоряют этот процесс. С их помощью более чем реально реконструировать алгоритмы и понять принцип работы приложения.

Кроме того, скопированная технология может быть упакована в более дешевый аналог проанализированной программы и выпущена на рынок. В результате автор оригинального приложения, которое не было должным образом защищено, может понести значительные финансовые потери.

Для того чтобы обезопасить приложение от взлома, необходимо применять особые защитные инструменты – автоматические протекторы. Они видоизменяют программный код приложения, чтобы максимально усложнить его анализ, последующее копирование и модификацию.

Протектор в составе решений Guardant применяет актуальные для современных угроз защитные технологии, делая программный код недоступным для реверс-инжиниринга.

Виртуализация кода затрудняет реверс-инжиниринг защищенного приложения и обеспечивает высокий уровень защиты от копирования. Выбранные участки кода преобразуются в систему команд (байт-код) уникальной виртуальной машины, которая обеспечивает их выполнение в нужный момент. Полученный байт-код разбивается на блоки и шифруется. В процессе выполнения в памяти компьютера хранится только необходимый для выполнения блок байткода, препятствуя тем самым снятию дампа приложения.

Условия лицензирования могут быть заданы индивидуально для каждого защищаемого файла. Такой подход позволяет применять различные схемы лицензирования как для всего приложения целиком, так и для отдельных его компонентов. Среди поддерживаемых Guardant "фич" – ограничение по функционалу, по времени, количеству запусков, сетевых пользователей и др.

Механизмы защиты программного кода работают в автоматическом режиме и могут быть безболезненно встроены в процесс разработки. Платформа Guardant анализирует функции приложения и самостоятельно определяет, какие из них целесообразно защищать, а какие нет. Разработчик может корректировать список методов, автоматически выбранных системой для защиты, либо самостоятельно задать его целиком. Такая возможность позволяет вендору наверняка обеспечить безопасность всех самых ценных алгоритмов. Решения Guardant спроектированы так, что для их использования не потребуются специальные навыки или знания ни в области информационной безопасности, ни в области прикладного программирования.

Интеграция Guardant в процесс безопасной разработки

Работу с лицензионными ключами Guardant можно полностью встроить в процесс разработки. Это можно сделать двумя способами:

  1. Построение защиты на уровне исходного кода: создается код, в него внедряются вызовы Guardant API, обеспечивается полное управление аспектами защиты приложения. Этот подход дает значительную гибкость, но требует большей компетенции и ресурсов.
  2. Утилита автоматической защиты: в рамках решения Guardant предусматривается утилита автоматической защиты, и скомпилированный в набор бинарных файлов продукт обрабатывается с ее помощью. В результате билд продукта оказывается автоматически защищен.

Автоматизируется и процесс создания лицензии. В случае использования программных ключей API позволяет сделать процесс полностью автоматическим. В случае использования аппаратного ключа есть одно отличие: ключ необходимо вручную вставить в USB-порт. Впрочем, это необязательно должен делать разработчик, это может сделать и конечный заказчик.

Guardant уже 28 лет помогает тысячам разработчиков более чем в 30 странах мира эффективно монетизировать свои программные продукты, решать вопросы защиты, лицензирования и автоматизации продаж. Команда Guardant накопила многолетний опыт в сфере монетизации ПО и готова делиться им с российскими и зарубежными разработчиками, помогая эффективнее зарабатывать на программных продуктах.

 

Темы:Безопасная разработка"Актив"DevSecOpsGuardantЖурнал "Информационная безопасность" №6, 2022

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.
  • Сертификация СЗИ – курс на РБПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...