Вовлеченность ИТ-компаний в безопасную разработку ПО выросла в 10 раз
Рост киберугроз сегодня все больше повышает интерес ИТ-сообщества к защите информации и внедрению практик безопасной разработки ПО. Участниками Дня РБПО в гибридном формате стали порядка 1000 специалистов по информационной безопасности, разработчиков ПО, технических директоров, лидеров AppSec команд, а также представителей регуляторов, отраслевого и научного сообщества.
Модератором конференции традиционно выступил Роман Карпов, глава комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK. Открывая конференцию, он отметил, что популяризация практик и инструментов безопасной разработки – одна из ключевых задач работы ИБ-комитета АРПП. «Два года назад День РБПО начинался как закрытая встреча для профильных специалистов, но сегодня с учетом новых киберугроз и вызовов формат и масштаб события заметно расширились. По нашим данным, вовлеченность ИТ-компаний в тематику безопасной разработки за этот период выросла более чем в 10 раз. Появилось понимание конкретных потребностей разработчиков и приоритетные категории инструментов: это трекинг задач и багов, статический анализ кода, динамический анализ кода и инструменты композиционного анализа. Пятый, юбилейный День РБПО мы проводим совместно с ИСП РАН, партнером, который поддерживает нас с точки зрения методологического вклада и инструментов. Такая синергия науки и бизнеса очень важна для отрасли, она дает дополнительные стимулы и возможности для устойчивого развития и достижения целей технологического суверенитета».
Приветствуя участников конференции, исполнительный директор АРПП «Отечественный софт» Ренат Лашин констатировал: «Сообщество безопасной разработки активно растет: интерес и понимание становятся глубже, а заказчики все чаще обращают внимание на эффективно защищенные решения. Именно поэтому мы планируем внедрить новый формат Дней РБПО: в первом полугодии проводить мероприятие под эгидой АРПП, как это было раньше, а каждый декабрь — совместное мероприятие с ИСП РАН и ФСТЭК, как сегодня. Такой ритм позволит в первом полугодии обсуждать планы и задачи, а во втором — подводить итоги. Уверен, что регулярный диалог между вендорами, регуляторами, заказчиками и конечными пользователями российских решений поможет быстрее согласовывать ожидания и практики всех сторон».
Арутюн Аветисян, директор ИСП РАН, подчеркнул: «То, что сегодня собрались вместе представители науки, бизнеса и государства, — знаковая история: еще год-два назад такую синхронизацию сложно было представить. Практика показывает, что отдельные проекты больше не решают задачу, нужен переход к сообществу вокруг технологий. Государство важно прежде всего как регулятор, который задает прозрачные правила игры, а не только как источник поддержки. Тогда отрасль растет и требования к уровню решений становятся общими для рынка».
Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ, акцентировал внимание на том, что импортозамещение сегодня – это и есть безопасная разработка: «Понимание безопасной разработки ПО со временем изменилось. Сначала шла дискуссия о том, что надежнее: западный вендор или open source. Со временем пришло осознание, что зарубежные продукты несут риски и могут использоваться для атак и встраивания деструктивных элементов. На этом фоне важную роль сыграл open source, поддерживаемый российскими разработчиками. Импортозамещение стало чем-то большим: сегодня создаются решения на отечественных компонентах, и делается это безопасно. В этом большая заслуга сообщества, которое объединилось вокруг создания российского ядра Linux при ИСП РАН, и многих участников АРПП, поддерживающих принципы безопасной разработки».
Деловую программу продолжила Елена Маньжова, представитель органа по сертификации ИСП РАН. Эксперт рассказала, зачем нужна унификация регламентов РБПО и как пользоваться типовым комплектом документов: что в него входит, почему выбран именно такой набор, как выстраивать работу с материалами и обратной связью. «Есть две глобальные цели унификации регламентов безопасной разработки. Первая — методическая помощь ИТ-компаниям при подготовке собственного комплекта документов. Для этого предлагаются готовые проекты, разработанные нами, которые соответствуют основному стандарту по РБПО и учитывают связанные стандарты. Вторая цель — помощь при внедрении. Она рассчитана на тех, кто только начинает и не понимает, как выстроить процессы так, чтобы они соответствовали стандартам», — сообщила Елена Маньжова. Подготовка типового набора документов – большое подспорье для компаний, внедряющих РБПО, и это полностью отвечает запросу членов ИБ-комитета АРПП «Отечественный софт».
Далее эксперты рассмотрели конкретные кейсы компаний по контролю кода и компонентов, снижению ложных срабатываний анализаторов, внедрению культуры безопасной разработки и применению подходов DevSecOps.
- Константин Крючков, руководитель продукта AppSec.Track AppSec Solutions, поднял вопрос о том, возможно ли построить безопасный и контролируемый репозиторий и сколько стоит его поддерживать.
- Илья Смит, начальник отдела разработки инструментов превентивного анализа ПАО «Банк ПСБ», выступил с докладом об автоматизации проверок ПО на недекларированные возможности.
- Сергей Волков, директор центра Киберзащиты cloud.ru, раскрыл кейс компании о создании и продвижении гибридного и приватного облачного решения, сертифицированного по требованиям ФСТЭК.
- Борис Изюмов, руководитель по развитию АНО «Консорциум технологической независимости ИПО» представил первые в отрасли единые рекомендации по безопасной разработке в нефтегазовой отрасли.
- Александр Уланов, корпоративный архитектор VK Tech, рассказал о платформе для процессов DevSecOps.
- Мария Шеховцова, руководитель группы архитектуры и анализа безопасной разработки Positive Technologies, проанализировала способы снижения ложных срабатываний при статическом анализе кода и проверке сторонних компонент.
- Игорь Игнатьев, руководитель направления защиты приложений VK Tech, поделился опытом реализации ASOC самообслуживания в big-tech компании.
- Оксана Гаврилова, лидер направления «ИТ в Фармацевтики» передовой инженерной школы МГУ им. Ломоносова, участник ИЦК «Химия и Фармацевтика», озвучила требования к безопасному ПО для высокорегулируемых отраслей на примере фармацевтической и авиационной сфер.
- Антон Михайлов, владелец продукта SASTAV ShiftLeft Security, обозначил эволюцию подхода к безопасности приложений (Application Security) от тактических к стратегическим платформам.
- Сас Арустамян, директор центра оценки соответствия и тестирования АО «НПО «Эшелон», говорил о способах внедрения культуры РБПО во всей организации.
- Дмитрий Павлов, начальник отдела цифровой надежности ПО управление доверенных ИТ-сервисов АО «Гринатом», описал практику вынужденного и резкого внедрения безопасной разработки после волны инцидентов в 2022 году.
- Никита Щиенко, java–разработчик, владелец продуктовой команды OpenBPM «Хоулмонт», продемонстрировал возможность локализации инфраструктурных программных решений на примере BPM-движка.
- Андрей Миняев, руководитель центра ИБ Digital Design, и Андрей Аверин, старший инженер по ИБ Digital Design, раскрыли особенности разработки собственного решения класса Vulnerability Management с применением принципов As a Code.
- Алексей Захаров, директор по технологическому консалтингу Axiom JDK, объяснил комплексный подход к обеспечению безопасности критически важных Java-приложений (таких, например, как система платежных карт «Мир») с акцентом на практике верификации и защитных мерах.
- Алексей Смирнов, основатель CodeScoring, представил обзор популярных атак на цепочку поставки.
День РБПО в очередной раз подтвердил статус знаковой площадки для предметного обмена практиками безопасной разработки и обсуждения требований, которые задают стандарты для отрасли.
