26 июля вышел свежий номер журнала "Информационная безопасность" №3. Центральным событием выпуска стал спецпроект "Безопасная разработка" — большой круглый стол по вопросам практической информационной безопасности, в котором приняла участие команда CodeScoring.
Помимо CodeScoring, в обсуждении приняли участие представители 19 организаций: R-Vision, МГТУ им. Н.Э. Баумана, ООО НТЦ “Фобос-НТ”, МТС RED, Solar appScreener, Аладдин Р.Д., YADRO, Luntry, Axiom JDK, ООО “Айдеко”, Санкт-Петербургский информационно-аналитический центр, АО “Лаборатория Касперского”, ООО “Постгрес Профессиональный”, “Гарда Технологии”, Институт системного программирования им. В.П. Иванникова РАН, ООО “Киберполигон”, ООО “КСБ-Софт”, “Базальт СПО”, Huawei Russian Research Institute. Многие из перечисленных организаций хорошо знакомы SDL-сообществу и являются его активными участниками.
Тема РБПО (Разработка безопасного программного обеспечения) интересна практически всем, кто так или иначе связан с разработкой и ИБ. При этом особую важность данные практики имеют для руководителей, оценивающих риски, затраты и выгоду перехода к парадигме "SDL First". Парадигма подразумевает, что безопасность и обеспечение защиты должны быть приоритетными аспектами во время всего жизненного цикла разработки программного обеспечения.
В ходе подготовки круглого стола участники ответили на 7 вопросов о безопасной разработке и парадигме SDL First, вызывающих наибольший резонанс у представителей как инженерного, так и бизнес-сообщества:
В рамках обсуждения основатель CodeScoring Алексей Смирнов отметил центральную роль инструментов композиционного анализа в обеспечении качества программного обеспечения, а также подчеркнул важность сбалансированного подхода к внедрению процессов SDL:
Помимо CodeScoring, в обсуждении приняли участие представители 19 организаций: R-Vision, МГТУ им. Н.Э. Баумана, ООО НТЦ “Фобос-НТ”, МТС RED, Solar appScreener, Аладдин Р.Д., YADRO, Luntry, Axiom JDK, ООО “Айдеко”, Санкт-Петербургский информационно-аналитический центр, АО “Лаборатория Касперского”, ООО “Постгрес Профессиональный”, “Гарда Технологии”, Институт системного программирования им. В.П. Иванникова РАН, ООО “Киберполигон”, ООО “КСБ-Софт”, “Базальт СПО”, Huawei Russian Research Institute. Многие из перечисленных организаций хорошо знакомы SDL-сообществу и являются его активными участниками.
Тема РБПО (Разработка безопасного программного обеспечения) интересна практически всем, кто так или иначе связан с разработкой и ИБ. При этом особую важность данные практики имеют для руководителей, оценивающих риски, затраты и выгоду перехода к парадигме "SDL First". Парадигма подразумевает, что безопасность и обеспечение защиты должны быть приоритетными аспектами во время всего жизненного цикла разработки программного обеспечения.
В ходе подготовки круглого стола участники ответили на 7 вопросов о безопасной разработке и парадигме SDL First, вызывающих наибольший резонанс у представителей как инженерного, так и бизнес-сообщества:
- Что является наиболее значимыми инструментами и практиками SDL?
- Как решать противоборство с разработчиками на старте внедрения процессов SDL?
- Как уговорить финансового директора на вложения в безопасную разработку?
- Как увидеть за продуктом технологию и отделить действительно полезные инструменты и методики от некачественных поделок, появляющихся на активно развивающемся рынке?
- Какой уровень образования требуется, чтобы внедрять процессы SDL, и как искать кадры на рынке?
- Какие существуют перспективы использования элементов искусственного интеллекта в AppSec на горизонте пяти лет?
- Что является наиболее интересным и тяжелым в текущей нормативной базе для стандартов безопасной разработки?
В рамках обсуждения основатель CodeScoring Алексей Смирнов отметил центральную роль инструментов композиционного анализа в обеспечении качества программного обеспечения, а также подчеркнул важность сбалансированного подхода к внедрению процессов SDL:
Практика безопасной разработки должна работать так, чтобы процессы не были рваными или запутанными. Правильная расстановка и настройка инструментов в жизненном цикле создания ПО и эффективное выстраивание культуры коммуникаций позволяют существенно снизить накал страстей между ИТ/ИБ и идти одной дорогой.
Прочитать полную статью по итогам круглого стола можно в электронной версии журнала на страницах 37-55.