Найти хорошего разработчика бывает непросто, еще труднее его вырастить и удержать. При этом важно не забывать, что разрабатываемое ПО должно быть не только функциональным, но еще и надежным, безопасным. Если с функциональностью и надежностью все не так плохо, то про безопасность зачастую забывают, или преднамеренно оставляют ее без внимания с целью сокращения сроков разработки. Причиной тому бывают как пробелы в знаниях разработчиков, так и неудобство предлагаемых инструментов.
Выявление уязвимостей
Не стоит забывать о том, что ошибки, допущенные в одном фрагменте кода, сводят на нет все приложенные усилия по безопасной разработке. Автоматизированные средства существенно упрощают задачу, позволяя разработчикам уделять основное внимание функциональности ПО, идентифицируя все проблемные фрагменты кода. Правильный выбор инструментария - залог успеха безопасной разработки.
Для начала стоит определиться с методом выявления уязвимостей: статика (SAST - Static Application Security Testing) или динамика (DAST - Dynamic Application Security Testing). Существуют и комбинированные подходы (IAST - Interactive Application Security Testing). Продукты с качественной реализацией каждого из методов находят уязвимости, но их стоимость может отличается в разы. При этом важно понимать, что при использовании DAST очень много времени тратится на сканирование готового продукта на уязвимости и поиск этих уязвимостей в исходном коде (так как такой подход покажет наличие сигнатурной уязвимости, но не покажет, где она конкретно в коде), а также на необходимость дополнительных затрат времени разработчиков на повторное вникание в код и его доработку.
SAST для скорости
SAST дает возможность найти закладки и бэкдоры в коде, а так же очень удобен при встраивании в цикл разработки (SDLC), так как позволяет избежать ошибок на ранних этапах и упросить задачу написания изначально безопасного кода. К тому же встраивание в среду разработки позволяет запускать анализ прямо из стандартного инструментария разработки, что очень удобно в текущих реалиях гибкого подхода. Это качественно повышает количество найденных уязвимостей, так как в результате сканирования находятся не сигнатурные уязвимости и конкретное их положение в коде.
Одним из лучших представителей SAST-решений является Checkmarx CxSAST. Удобство в том, что код не обязательно должен быть компилируемым, а значит можно выявить проблемы непосредственно в процессе написания.
Патентованная технологией маппирования позволяет найти не только сигнатурные и не сигнатурные уязвимости, но и разложить вектора возможных атак, и предложить механизмы оптимизации временных затрат на закрытие уязвимостей. Checkmarx можно встраивать на любом этапе разработки, автоматически создавать тикеты в системе баг-трекинга. Данное решение также обладает возможностью проверки open source библиотек и организации интерактивного обучения безопасной разработке прямо на рабочем месте.
Узнать больше можно у Антона Киселева, менеджера по развитию бизнеса департамента информационной безопасности Softline. Anton.Kiselev@softline.com
