Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Весна 2020 года войдет в память разработчиков ПО переменой мест вопросов «как?» и «зачем?» применительно к методикам гибкого и безопасного создания приложений
В тематическом плане «Б.О» было запланировано всего несколько материалов, касающихся Agile, DevOps, DevSecOps и других лучших практик написания безопасного ПО, его разворачивания и доставки до клиента. Казалось, что новизны для финансистов здесь нет — повторение пройденного материала. Однако глобальный переход бизнеса на удаленный режим работы в условиях пандемии показал и доказал обратное: все мы только в начале пути.
Сервисы часто оказываются недоступны из-за возросшего трафика, само ПО, написанное в духе ускорения time-2-market едва ли не на коленке, оказывается «дырявым». А главное, сервисы, написанные для работы в тех, «довирусных» временах, нужно срочно затачивать под новые «удаленные реалии». Одной из таких реалий стал дружный переход на облачные технологии и микросервисы взамен клиент-серверной архитектуры и монолитных приложений.
Никаких иных бизнес-подходов для осуществления этого, кроме методик Agile и родственных ему, не просмотрено. И как быть с основной проблемой гибкой разработки — с информационной безопасностью? О DevSecOps говорили довольно давно, и отдельные разработчики им даже успешно пользовались. а теперь пришло время и всем остальным приступить к встраиванию процесса безопасной разработки в процесс DevOps и ничего не сломать. При этом в России есть своя специфика, и ее надо учитывать.
Перед тем как в марте 2020 года большинство разработчиков полностью ушло в онлайн, состоялось несколько значимых мероприятий по этой тематике: конференция DevOps Conf 2019, а также закрытый бизнес-ужин компании Axoft, посвященный DevSecOps, и XII Уральский форум «Информационная безопасность финансовой сферы», прошедшие в феврале 2020 года. Это настоящий кладезь знаний, давайте ими воспользуемся!
Для погружения в анатомию DevSecOps на данном этапе наверняка будет достаточно разобрать сделанную на мероприятии Axoft презентацию Никиты Борзых, архитектора инфраструктурных решений компании «Экспресс 42», одного из организаторов DevOps Conf.
Методики безопасной разработки ПО появились не вдруг и неслучайно. В свое время в Microsoft поняли, что качество их кода не укладывается ни в какие рамки и ради сохранения своей репутации лидера рынка предложили подход SDLC (Security Development Lifecycle), который впоследствии стал каноническим.
Методики безопасной разработки ПО появились не вдруг и неслучайно
Сочетание Application Security (раздел ИБ, отвечающий за безопасность приложений в целом) и SDLC развернуло вектор разработчиков с обнаружения уязвимостей на предотвращение их появления. Традиционный порядок вопросов — «как?» и «зачем?» — стал подвергаться сомнению. Канонический SDLC, получивший свою детализацию в различных методологиях — OpenSAMM (Open Software Assurance Maturity Model), BSIMM (Building Security in Maturity Model), OWASP(Open Web Application Security Project) и др., расставил все по местам.
Так зачем нам вообще нужен DevSecOps? По словам Никиты Борзых, можно выделить четыре момента:
Так что же делать? С чего начать? Ответ на этот вопрос был сформулирован так:
Детали всех этих шагов были описаны Никитой Борзых достаточно подробно в презентации. Но одно дело — изучать best practices в теории, а другое — использовать их на практике. Константин Савченко, руководитель департамента технического консалтинга, аудита и инженерной поддержки компании Axoft, в этой связи отметил: «Пройдут еще три — пять лет, пока зрелость процессов разработки в средней компании достигнет стандартов, описанных в методологиях. Многие команды разработчиков ввиду отсутствия опыта и отдельных ролей, налаженных процессов в организации будут изобретать велосипед, пока в конце концов не придут к описанным схемам эффективного взаимодействия при разработке приложений».
Что касается человеческого фактора в DevSecOps, то о нем ярко рассказал Дмитрий Гадарь, руководитель департамента информационной безопасности Tinkoff.ru, на Уральском форуме. Если суммировать различные мнения по этому поводу, то получается следующая история.
Пройдут еще три — пять лет, пока зрелость процессов разработки в средней компании достигнет стандартов, описанных в методологиях
Обычно в средней компании на 100–200 разработчиков приходится один представитель службы информационной безопасности, который параллельно выполняет несколько функций в условиях жесткого регуляторного давления и физически не успевает не то что все проверять, но даже вникать. В одиночку он не может проверить весь код. Лучшие мировые практики предлагают в качестве решения проблемы концепт Security Champions — человек, являющийся точкой входа в команду разработки и евангелистом безопасности в одном лице. Security Champions знают свой продукт: что с чем взаимодействует и на что смотреть в первую очередь — они эффективнее. Но этот человек не один, в команде существует целая иерархия ролей, что стимулирует ее участников к саморазвитию.
В заключение необходимо отметить, что мероприятие Axoft привлекло внимание и к технологической трансформации стека технологий, поддерживающих жизненный цикл приложений, в частности, с использованием микросервисов. Так, были разобраны принципы безопасной разработки корпоративных приложений на базе Red Hat OpenShift и Prisma Cloud Compute Edition (ex. Twistlock). Prisma — решение от компании Palo Alto Networks, позволяющее защищать физические серверы, виртуальные машины, контейнеры, кластеры Kubernetes, CaaS, PaaS и бессерверные приложения. Актуальность этой темы наглядно продемонстрировал Росбанк, который первым в России повысил уровень защиты инфраструктуры приложений с помощью Prisma.
Техника автотестирования кибербезопасности BAST (Businessprocess Application Security Testing) позволяет вводить программные продукты в эксплуатацию в максимально сжатые сроки, соблюдая при этом высокий уровень кибербезопасности
Традиционно в апреле, в канун дня рождения компании, «Диасофт» подводит итоги прошедшего года. Александр Глазков, управляющий директор, председатель совета директоров, рассказал «Б.О» о достижениях «Диасофт» в 2019 году и поделился видением дальнейшего развития бизнеса
Личные фонды заметно набрали популярность. Запрос на появление такой правовой конструкции в России стремительно формировался среди держателей крупного частного капитала все последнее десятилетие. Институт «прижизненных» личных фондов, т.е. создаваемых при жизни учредителей, появился в законодательстве с 1 марта 2022-го, но статистика показывает, что действительный интерес к ним резко усилился лишь во второй половине прошлого года. Тогда же они стали массовыми: на конец января 2025 года в России зарегистрировали 164 личных фонда, а за весь период с 2022 года по 2023-й — только 16
О том, что может предложить банкам разработчик современного импортонезависимого ПО для работы с рисками, внутренним аудитом и контролем, рассказал Сергей Степаненко, директор дивизиона технологического развития управления рисками и ALM компании «Т1 Иннотех»