Построение и автоматизация процессов безопасной разработки
SML Security Консалтинг
Наша команда DevSecOps инженеров имеет опыт построения SSDLC в Тинькофф банк, ДЗО Сбера, IQ Option Global, и Positive Technologies
Мы помогаем выстроить Secure SDLC путём интеграции security-практик в процессы разработки без снижения скорости выпуска программных продуктов в несколько этапов
ЭТАП 1
Определение текущего состояния практик безопасной разработки
  • Проведём интервью с командой разработки и специалистами по продуктовой безопасности
  • Составим перечень технических средств и технологий, используемых в разработке
  • Изучим документацию по разработке
  • Проведём оценку экспертизы команды и текущих практик по обеспечению безопасной разработки
ЭТАП 2
Описание желаемого уровня зрелости процессов безопасной разработки
  • Изучим требования к процессу безопасной разработки компании от третьих лиц (регуляторов, родительских компаний)
ЭТАП 3
Помощь в составлении дорожной карты по приведению процессов безопасной разработки к целевому/желаемому уровню
  • Если выбран риск-ориентированный подход
    • Поможем в составлении модели угроз и оценке рисков
    • Разработаем рекомендаций по минимизации рисков в процессе разработки Компании
  • Если выбран подход соответствия лучшим практикам
    • Составим рекомендации по приведению процесса разработки к целевому уровню на основании собственной экспертизы
    • Также поможем в разработке митигирующих мер в случае невозможности реализации целевых практик

ЭТАП 4

Проведение консультаций в рамках реализации практик по приведению процесса разработки к целевому уровню зрелости
Проконсультируем в выборе ключевых инструментов и практик
В выборе инструментов анализа (SAST, SCA, OSA, Secrets, DAST, CA, ASOC/ASPM) исходя из стека/технологий Компании
В построении процесса сканирования исходного кода сервисов Компании \\ внедрение пайплайнов сканирования \\ внедрение Quality Gate; помощь в разработке подхода к включению QG в блокирующем режиме \\ раскладка данных в ASOC, настройка ASOC для дедупликации файндингов \\ организация триажа файндингов AppSec-специалистами
Во внедрении процесса анализа и блокировки уязвимых библиотек, использующихся в разработке
В реализации динамического анализа веб/мобильных приложений
В реализации процесса анализа безопасности докер-образов
Результаты внедрения
процессов безопасной разработки (Secure SDLC)

Количественные показатели
Снижение на 60-90% критических уязвимостей (по методике CVSS ≥7.0) в течение года
Сокращение на 70% времени устранения уязвимостей благодаря раннему выявлению
100% соответствие требованиям ГОСТ Р 57580, ГОСТ Р 56939, СТБ БР ИББС

Качественные улучшения
Интеграция security-контроля в DevOps-процессы (Security as Code)
Автоматизированная корреляция результатов, устранение дублирования и ложных срабатываний
Формирование культуры DevSecOps - разработчики самостоятельно устраняют >50% уязвимостей

Экономический эффект от внедрения в перспективе 3х лет
  • ROI > 200%
  • Плотность риска стремится к нулю
НАПИСАТЬ НАМ
Нажимая кнопку отправить, вы соглашаетесь с нашей Политикой конфиденциальности и Политикой обработки персональных данных