Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Positive Technologies выпустила фреймворк для безопасной разработки приложений

26/09/24

PT-Sep-26-2024-11-25-37-7368-AM

Компания Positive Technologies, лидер в области результативной кибербезопасности, подготовила общедоступный фреймворк безопасной разработки — AppSec Table Top. Созданная методология представляет собой набор мер, принципов и подходов для обеспечения защищенности веб-приложений на всех этапах их жизненного цикла. Фреймворк поможет специалистам разных направлений (от системных аналитиков до DevSecOps-инженеров) эффективно выстроить AppSec-процессы с учетом интересов бизнеса, требований регуляторов и потребностей команд.

Актуальные киберугрозы вынуждают компании усиливать защиту веб-приложений. В России на них, по данным исследований Positive Technologies, в 2023-м и первой половине 2024 года пришелся 21% атак. Кроме того, последние пять лет эксплуатация уязвимостей, в том числе в веб-приложениях, стабильно входит в тройку наиболее популярных методов атак на организации. Вследствие этого на отечественном рынке наметилась позитивная тенденция: компании, занимающиеся разработкой веб-ресурсов самостоятельно или с привлечением подрядчиков, активно внедряют процессы и инструменты DevSecOps. Такая практика позволяет еще на этапах написания, тестирования и эксплуатации ПО выявлять и устранять уязвимые места, которыми злоумышленники потенциально могут воспользоваться в будущем.

Отечественная индустрия безопасной разработки относительно молода, и компании, выстраивающие сегодня AppSec-процессы, сталкиваются со множеством вопросов. Вместе с тем руководствоваться зарубежными подходами не всегда возможно, так как многие из них неприменимы в российских реалиях. В ответ на острую потребность бизнеса и разработчиков ПО эксперты Positive Technologies создали собственную методологию. В документе аккумулирован и упорядочен 20-летний опыт вендора, передовая экспертиза компании в области application security, а также лучшие практики зарубежных и отечественных стандартов и фреймворков (PCI SSF, Microsoft SDL, BSIMM, SAMM, ГОСТ 56939, ГОСТ 15408 и других). В частности, в создании методологии участвовали практикующие специалисты: директора по ИТ, разработчики, архитекторы ИБ.

Ключевые особенности фреймворка:

  • Привязка к отечественным регуляторам.

Эксперты Positive Technologies непрерывно анализируют требования и постановления, регламентирующие разработку защищенного ПО, и отражают их в методологии, чтобы пользователи всегда могли контролировать соблюдение комплаенса.

  • Автоматизация.

Сокращение ручного труда не только ускоряет разработку и экономит ресурсы, но и минимизирует риски, связанные с человеческим фактором и отсутствием стандартизации.

  • Актуальность.

Гайдлайн будет обновляться ежегодно, что поможет организациям и техническим энтузиастам всегда быть в едином поле с регуляторами, отслеживать тренды безопасной разработки и строить гипотезы.

Методологию можно использовать в трех направлениях: как справочник; как основу для построения процессов безопасной разработки и как модель для оценки зрелости этих процессов в организации. Фреймворк будет полезен компаниям разных размеров — от небольших студий с командой разработки из ста человек до корпораций со штатом в несколько тысяч ИТ-специалистов.

«Описанные в методологии практики и пути их реализации помогают бизнесу выстроить элементы и процессы безопасной разработки так, чтобы уязвимостей было меньше, их обнаружение происходило раньше, а исправление стоило дешевле и было проще. Компания может выполнить любой из этапов как полностью своими силами, так и с нашей помощью, чтобы гарантированно и максимально безболезненно для команды получить хороший результат. Со своей стороны мы готовы сопровождать и страховать компании в ходе внедрения и перестройки процессов разработки», — прокомментировал Евгений Иляхин, архитектор процессов безопасной разработки Positive Technologies.

 

Темы:Пресс-релизPositive TechnologiesОтраслькибербезопасность
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...