Финансовые и репутационные показатели компании во многом зависят от безопасности разрабатываемого ПО. Рост киберпреступности, высокая потребность в новых продуктах и сокращение сроков разработки становятся предпосылками для внедрения DevSecOps. По данным зарубежных аналитиков, в текущем году эту методологию будут использовать более 90% [1] организаций-разработчиков. Согласно глобальному отчету о рынке DevSecOps за 2021 г. компании Research and Мarkets, сектор методологии безопасной разработки будет расширяться с максимальным среднегодовым темпом более 25%. Таким образом, к 2028 г. объем мирового рынка составит $17,24 млрд. Сегодня все больше компаний разного масштаба выбирает системы DevSecOps класса ASOC (Application Security Orchestration and Correlation) для безопасной разработки ПО.
Автор: Юрий Шабалин, ведущий архитектор информационной безопасности Swordfish Security
В отличие от классических методологий разработки, DevSecOps позволяет интегрировать задачи безопасности во все этапы создания ПО, включая начальные. Реализовать DevSecOps можно разными способами. В качестве альтернативы сложным подходам на рынке есть решения класса ASOC, которые способны сэкономить время, финансы и трудовые ресурсы компании, а также сократить time-to-market.
DevSecOps-платформы класса ASOC могут повысить эффективность тестирования безопасности и обеспечить защиту разрабатываемого ПО, при этом не замедляя сроки поставки. По данным Gartner, приведенным в обзоре Hype Cycle for Application Security, 2021, проникновение подобных решений на рынок составляет от 5 до 20% для клиентов из целевой аудитории. Но на практике распространение этой технологии меньше из-за низкого уровня осведомленности о существовании платформ такого типа.
Решение класса ASOC интегрирует в существующие CI/CD-пайплайны инструменты тестирования безопасности – AST. За счет этого создаются конвейеры ИБ и реализуется переход от DevOps к DevSecOps. Продукт обеспечивает прозрачное взаимодействие в реальном времени между инженерными командами и экспертами ИБ. Платформа осуществляет функциональность оркестрации, то есть настраивает и реализует конвейеры безопасности, а также выполняет корреляционный анализ проблем, найденных инструментами AST, и агрегирует собранные данные, формирует на их основе метрики и отчеты.
Инструменты ASOC по результатам своей работы предоставляют отчеты о рисках безопасности и связанных с ними бизнес-рисках. Помимо этого, платформы интегрируют инструменты сканирования безопасности в процесс разработки ПО. В рамках оркестрации и корреляции DevSecOps платформа в режиме реального времени получает и обрабатывает огромный массив информации, связанной с разработкой, тестированием и безопасностью. Все эти данные позволяют наладить обратную связь с платформой и настроить интеллектуальное управление всем жизненным циклом безопасной разработки ПО.
В платформу класса ASOC можно добавить инструменты анализа собранных данных. Для этого необходимо создать дополнительный функциональный модуль для консолидации, хранения и анализа полученной информации. Вот как это можно сделать.
Шаг 1. Собрать данные от инструментов разработки ПО и сканирования безопасности и загрузить их в специальное хранилище данных (Data Warehouse).
Шаг 2. Сформировать набор метрик на основе собранных данных.
Шаг 3. Добавить к метрикам бизнесконтекст и определить ключевые показатели эффективности (KPI).
Шаг 4. Разработать дашборды для управления платформой DevSecOps на основе исходных данных, метрик и KPI.
Анализировать собираемую информацию, а также быстро адаптироваться к происходящим изменениям и улучшать процедуру поставки ПО помогают технологии искусственного интеллекта (AI) и машинного обучения (ML).
Чтобы настроить интеллектуальное управление платформой, нужно скорректировать шаги реализации функциональности дополнительного модуля для работы с данными. Первые три шага, указанные выше, остаются прежними, а на четвертом нужно обработать исходные данные, метрики и KPI с помощью технологий искусственного интеллекта и машинного обучения. После этого можно формировать дашборды для управления платформой DevSecOps на основе обработанных данных, метрик и KPI.
С точки зрения практики ASOC технологии AI/ML могут улучшить работу оркестрации и корреляции.
Рис. 3. Настройка интеллектуального управления платформой класса ASOC
AI в платформах класса ASOC может динамически формировать состав и критерии прохождения каждой точки контроля качества артефактов ПО. Для этого AI использует собранную информацию и данные метрик.
Сформированные искусственным интеллектом точки контроля качества ПО и их критерии позволят решать, готова ли сборка к выходу на следующий этап жизненного цикла ПО. С использованием технологий AI можно продвигать артефакты по DevSecOps-конвейеру в максимально автоматизированном режиме. Решения будут приниматься по итогам сканирования сборки в различных средах – это позволит быстро и непрерывно выпускать релизы.
Автоматизированные точки контроля качества могут включать проверку различных практик AST. Их конфигурация способна динамически изменяться – это зависит от стадии конвейера ИБ. Таким образом, можно установить точки контроля в CI/CD-пайплайнах, настроить их критерии и управлять с помощью этого инструмента качеством ПО.
Для масштабной реализации DevSecOps подход к управлению CI/CD-пайплайнами как к коду дает очевидные преимущества. Компании, применяющие такую концепцию, получают механизм для улучшения процессов развертывания, запуска, управления и отслеживания статуса своего ПО. Современные решения класса ASOC позволяют строить конвейеры ИБ "из коробки" нажатием одной кнопки. С помощью технологий AI/ML можно автоматически обнаруживать компоненты ПО и создавать для них CI/CD-пайплайны с точно определенными критериями качества.
AI может инвентаризировать артефакты ПО, в автоматическом режиме создавать сквозные конвейеры и заранее встраивать в них вызовы инструментов ИБ на основе контекста и ряда параметров разрабатываемого продукта. Технологии AI также способны динамически определять порядок и количество контрольных точек качества ПО в каждом конвейере CI/CD. Этот подход помогает ускорить выпуск продуктов, поскольку весь процесс, от первого коммита в ветке до выхода финального релиза, тщательно контролируется.
Технологии AI/ML дают возможность построить механизм корреляции проблем безопасности AVC (Application Vulnerability Correlation) на основе данных, полученных из инструментов тестирования безопасности. Процесс корреляции включает в себя ML-модель, которая может автоматически отфильтровывать ложноположительные срабатывания, выявлять дубликаты и однотипные проблемы ИБ и группировать их в единый дефект ИБ.
Этот механизм значительно сокращает время, необходимое на устранение проблем безопасности. Таким образом, команда может сосредоточиться на крайне важных уязвимостях и нарастить скорость распознавания угроз в разрабатываемом ПО.
Среди обнаруживаемых проблем всегда встречаются типовые уязвимости, в том числе критические, которые можно устранить несложными способами. Технология AVC находит и приоритизирует дефекты ИБ, а также автоматически предоставляет рекомендации по устранению проблем.
Платформы ASOC умеют собирать данные об уязвимостях из различных сканеров безопасности с помощью практик тестирования – SAST, SCA, DAST и т.д. Если внедрить технологии AVC и предоставить им подробные стандарты и детальные рекомендации по безопасному кодированию для каждого языка программирования, то это позволит технологиям формировать шаблоны защищенного кода, настроенные под особенности реализации DevSecOps в компании.
При разработке ПО одним из важных аспектов является соответствие индустриальным стандартам ИБ и требованиям регуляторов. Процесс управления требованиями можно полностью автоматизировать в рамках жизненного цикла продуктов – это значительно облегчит выполнение задач в компании.
Автоматические проверки на соответствие требованиям и стандартам должны гарантировать, что все критерии соблюдены и ПО можно выпускать в промышленную эксплуатацию. В рамках платформ класса ASOC технологи AI/ML позволяют организовать непрерывный мониторинг соответствия на основе статуса точек контроля качества ПО с возможностями предиктивного анализа. По итогам мониторинга команда будет получать заключение о соответствии разрабатываемого ПО необходимым требованиям.
Платформы класса ASOC являются эффективными решениями для внедрения DevSecOps. Возможности таких платформ позволяют не только наладить процесс безопасной разработки в компании, но и сделать его максимально автоматизированным за счет технологий
AI и ML и значительно сократить объемы ручного труда, а также сроки поставки ПО на рынок.
Решения класса ASOC представляют собой следующее поколение DevSecOpsплатформ, поскольку они позволяют решать проблемы безопасности для ПО любой архитектуры и сложности без замедления скорости поставки. Но как показывает практика, лишь малая часть организаций знает о платформах ASOC, поэтому компании используют классические подходы внедрения методологии в формате точечной автоматизации без перспектив дальнейшего масштабирования. Однако на рынке уже есть эффективные продукты, которые способны облегчить жизнь сразу всем, кто работает над ПО, в том числе от российских вендоров. В частности, такие платформы, использующие технологии AI/ML, интегрируют процесс анализа и контроля ИБ-приложений в существующие процессы DevOps и позволяют сократить сроки реализации DevSecOps до нескольких недель.
Рис. 4. Управление платформой DevSecOps на всех этапах жизненного цикла ПО