![Open source: что это и зачем его используют при разработке](/upload/cssinliner_webp/iblock/01d/9v5n0f5qqeq2w6vqaae6fu8f1u6a0uac/open_source.webp)
Open source: что это и зачем его используют при разработке
Узнать больше07.10.2021
SDLC и безопасность приложений
SDLC – это жизненный цикл разработки программного обеспечения (Software development lifecycle). Он представляет собой несколько этапов (или фаз), которые проходит любое ПО. По сути, это подробный план, показывающий, как разрабатывать программное обеспечение, поддерживать его, изменять, улучшать.
SDLC и методологии разработки
Часто с этой аббревиатурой ассоциируют методологии разработки. Их существует немало. Подходящая выбирается исходя из масштабов проекта, характера требований к готовому продукту, стабильности используемых технологий, доступности необходимых ресурсов, с учетом ряда других факторов.
В настоящее время распространены следующие модели:
Учитывая, что многие модели, использующиеся в жизненным цикле разработки, содержат элементы каскадной, при рассмотрении вопросов безопасности целесообразно взять за основу ее.
Этапы SDLC и меры для обеспечения безопасности приложений на каждом из них
В жизненном цикле разработки ПО можно выделить 6 основных этапов:
Безопасная разработка программного обеспечения на каждом из этапов: какими средствами реализуется
На первом, втором и третьем этапах формируются бизнес-требования к продукту, учитываются пожелания и потребности пользователей, определяются границы проекта. К работе привлекаются специалисты из разных сфер (маркетинг, продажи, поддержка и так далее). В результате всех этих усилий должны появиться ответы на вопросы: «Какие проблемы должно решать ПО?», «Что именно (какой продукт) необходимо сделать?»
Одновременно на этой стадии должны продумываться и вопросы обеспечения безопасности, в частности в отношении идентификации, аутентификации, регистрации событий информационной безопасности (далее – ИБ), защиты инцидентов ИБ, контроля полноты, точности и правильности обрабатываемых данных. Это реализуется с помощью оценки угроз, анализа поверхности атаки, определения требований безопасности и анализа рисков. На данных этапах необходимо опираться на такие документы, как стандарт ISO 31010, разработанная ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», а также другие документы (международные, национальные, отраслевые).
Начиная с этапа разработки SDLC для тестирования приложения безопасность обеспечивается с помощью:
Также довольно распространенный инструмент для обеспечения безопасной разработки программного обеспечения, который может применяться на всех этапах (начиная с четвертого для рассматриваемого случая), – это статический анализ приложений (SAST). Он сводится к анализу программного кода без необходимости запуска программы, а значит, гарантированно подходит для этапов разработки, тестирования, развертывания и эксплуатации.
Статический анализ кода реализуется с помощью специального инструмента – SAST-анализатора. Эта технология позволяет:
Solar appScreener, как один из SAST-анализаторов, может проводить анализ исполняемых файлов с помощью эффективных технологий декомпиляции и деобфускации.
Посредством SAST-анализа можно организовать контроль безопасности приложений, написанных с использованием разных языков программирования. Он не требует серьезных вычислительных мощностей и серьезных временных трат (можно не выделять отдельное время, а тестировать ПО параллельно разработке или эксплуатации). Еще одна особенность некоторых SAST-инструментов – относительная простота использования. Для работы с ними и интерпретации результатов не нужна команда разработчиков. С этим без проблем справится офицер службы безопасности или представитель другого отдела (в зависимости от специфики компании и процессов в ней). Можно организовать постоянный контроль безопасности программного обеспечения даже после сдачи и завершения гарантийного срока эксплуатации. Компании-пользователи могут реализовать это своими силами.
При добавлении к каждому этапу мер обеспечения безопасности можно говорить о трансформации SDLC в SSDLC. Это – Secure Software development lifecycle. Такой подход становится все более популярным, ведь реализация мер безопасности на протяжении всех этапов жизненного цикла – это хорошая практика, позволяющая сэкономить немало времени.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.