Куда я попал?
AppSec Table Top: методология безопасной разработки от Positive Technologies
Framework
Сборка
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Инициатива: Использование инструментов SCA
Описание:
Инструмент компонентного анализа (SCA) позволяет проверить все компоненты и внешние зависимости приложения на этапе сборки на предмет наличия уязвимостей. Для корректной проверки формируется SBOM-файл (Software Bill of Materials) [SCA5] из исходного кода, в котором описываются все Open Source и другие сторонние компоненты, использующиеся в кодовой базе.
SBOM содержит информацию о версиях, лицензиях, уязвимостях, происхождении, дочерних зависимостях и других контекстных данных. Это позволяет идентифицировать уязвимые компоненты, проверить соблюдение лицензионных соглашений и управлять рисками, связанными с использованием сторонних компонент.
Шаги реализации:- Выбрать наиболее подходящий инструмент SCA с учетом функциональности, поддержки языков программирования и пакетных менеджеров, интеграции с существующими технологическим стеком, стоимости и соответствия требованиям.
- Провести пилотирование выбранного инструмента, чтобы оценить его эффективность, удобство использования, соответствие требованиям.
- Определить сотрудников, ответственных за внедрение, работу с инструментом и разбор результатов.
- Установить и настроить инструмент SCA.
- Интегрировать SCA в ограниченном количестве проектов (для первичного анализа и проверки работы инструмента).
- Определить процессы разбора результатов: политики безопасности, исключения, периодичность проведения сканирования.
- Провести первичное сканирования в заранее определенных проектах.
- По результатам сканирования сформировать и разобрать технический долг.
- Разработать регламент работы с инструментом (или дополнить регламент безопасной разработки), в которым будут описаны концепция работы и преимущества инструмента, инструкции и материалы по его использованию и т. д.
- Довести регламент до сотрудников и разместить на внутреннем портале.
Зона ответственности: Appsec/ИТ
Инструмент: OSA/SCA
Артефакт: Регламент безопасной разработки -
Инициатива: SCA в пайплайне
Описание:
Необходимо интегрировать SCA-инструмент в CI/CD-конвейер в качестве обязательного этапа пайплайна. Автоматизация проверок SCA позволит сэкономить время сотрудников, гарантируя выполнение этого этапа тестирования при каждом релизе [PA3] и тем самым способствуя тиражированию стратегии [SSDL4]. Дополнительно к этому, использование Quality Gate [VC1] позволит задать четкие критерии качества кода, которые должны быть выполнены перед релизом, что поможет избежать выпуска уязвимого ПО в продакшн.
Шаги реализации:- Добавить SCA-инструмент как обязательный шаг в CI/CD-конвейер.
- Определить триггеры для запуска SСA-инструмента: например, после каждого запуска сборки.
- Установить правила и пороговые значения для SСA-анализа: например, уровень серьезности уязвимостей, которые должны быть исправлены.
- Внедрить Quality Gate в CI/CD-пайплайн для оповещений при выявлении критических уязвимостей.
- Связать инструмент SCA с дефект-трекером для автоматического создания задач по исправлению уязвимостей.
- Установить SLA на устранение дефектов.
- Дополнить регламент работы с инструментом (или регламент безопасной разработки).
- Довести регламент до сотрудников и разместить на внутреннем портале.
- На более зрелом этапе развития перевести QG из режима оповещений в режим блокировки.
Зона ответственности: Appsec/ИТ
Инструмент: OSA/SCA, CI/CD
Артефакт: Регламент безопасной разработки -
Инициатива: Оркестрация SCA
Описание:
Оркестратор позволяет автоматизировать и централизовать запуск всех инструментальных практик безопасной разработки, предоставляя единый интерфейс для управления и удобный доступ к найденным дефектам [VM1]. Это позволяет упростить процесс и создать единый «пункт управления» для всех инструментов безопасности. Кроме того, многие решения ASOC (Application Security Orchestration and Correlation) позволяют собирать метрики о работе инструментов [RM3], что помогает оценивать эффективность и повышать качество безопасности приложений.
Шаги реализации:- Провести анализ текущих инструментов БР, их функциональности, интеграционных возможностей и существующих проблем.
- Определить ключевые задачи, которые должен решать оркестратор: автоматизация запуска, централизованный доступ к результатам, создание отчетов, интеграция с системами CI/CD.
- Выбрать наиболее подходящий инструмент ASOC с учетом функциональности, интеграции с существующими технологическим стеком и инструментами безопасной разработки, стоимости и соответствия требованиям.
- Провести пилотирование выбранного инструмента, чтобы оценить его эффективность, удобство использования, соответствие требованиям.
- Определить сотрудников, ответственных за внедрение, работу с инструментом и разбор результатов.
- Установить выбранный оркестратор и настроить интеграцию с инструментами БР.
- Создать правила и политики для автоматизации запуска инструментов.
- Интегрировать ASOC в CI/CD-пайплайн и определить тригеры для запуска инструментов.
- Интегрировать ASOC с средствами разработки: Git, репозитории, артефактории и т. д.
- Настроить систему сбора и анализа данных о работе инструментов и результатах сканирования.
- Создать документацию по работе с инструментом, дополнить регламент безопасной разработки.
- Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: Appsec/ИТ
Инструмент: OSA/SCA, ASOC
Артефакт: Регламент безопасной разработки -
Инициатива: Требования к инвентаризации
Описание:
Инвентаризация используемых компонент и зависимостей (как собственных, так и сторонних) проводится в масштабах всей организации и отдельных приложений. Инвентаризация дает полное представление обо всех используемых компонентах и способствует стандартизации их использования (что упрощает разработку и поддерживает повторное использование проверенных компонент).
Инвентаризация создает основу для быстрого и эффективного компонентного анализа [SCA1]. Кроме того, она позволяет эффективно управлять зависимостями между компонентами и предотвращать конфликты версий или нежелательные взаимодействия.
Шаги реализации:- Выбрать инструмент для инвентаризации: существуют различные решения, включая инструменты SCA и другие специализированные варианты.
- Создать централизованное хранилище информации о всех используемых компонентах, включая их версии, лицензии и иные релевантные данные.
- Автоматизировать обновление инвентаризации, чтобы она была актуальной и отражала все изменения в используемых компонентах.
- Использовать результаты инвентаризации как документацию по разрабатываемым приложениям (паспорт системы).
- Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИТ
Инструмент: OSA/SCA
Артефакт: SBOM -
Инициатива: Настройка платформы сборки
Описание:
Платформа сборки может состоять из репозиториев исходного кода, артефакториев, процессов непрерывной интеграции/доставки и т. д. Каждая система в конвейере может содержать уязвимости или иметь неправильную конфигурацию [CNFG1], что повышает риск атак на цепочку поставок.
Для обеспечения безопасности сборки платформа должна:- Предоставлять возможность подписи артефактов [SCS1].
- Хранить подробную информацию о сборках (включая список использованных зависимостей, коммиты исходного кода, конфигурацию сборки).
- Выполнять все сборки в новой изолированной среде, чтобы в случае компрометации одной сборки она не влияла на остальные.
Шаги реализации:- Изучить требования к безопасности платформы сборки, включая требования к подписи артефактов, хранению информации о сборках, использованию изолированных сред и т. д.
- Обозначить правила и процедуры безопасности платформы сборки.
- Выбрать подходящие инструменты для обеспечения сборки и настроить их в соответствии с требованиями безопасности.
- Создать хранилище для хранения информации о сборках, включая метаданные, логи и артефакты.
- Убедиться, что доступ к платформе сборки имеют только авторизованные пользователи.
- Регулярно обновлять платформу сборки и ее компоненты для устранения уязвимостей и обеспечения актуальности защитных мер.
- Задокументировать процесс сборки и настройки конфигурации платформы сборки.
- Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИТ
Инструмент: Платформа сборки
Артефакт: Артефакты процесса разработки
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.