Журнал "Information Security/ Информационная безопасность" #3, 2023

42 • СПЕЦПРОЕКТ Борис Позин, технический директор ЗАО “ЕС-лизинг”, д.т.н., профессор базовой кафедры “Информационно- аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник Института системного программирования им. В.П.Иванникова РАН Организация: системный интегратор с опытом работы 30 лет, разработчик информационных и информационно-ана- литических систем Ключевые направления деятельности: управлен- ческая методология PerAspera Methodology, платформы Peras- pera, Peraspera Cardio, решение Peraspera Data Hunter Для меня это первое обсуждение, и аудитория пока никак не отреагировала. По моему примерно 50-летнему опыту в индустрии, сначала нужно договориться об общей постановке вопроса. А примеры и советы возникают тогда, когда цели, объект, предмет обсуждения определены и следует отстоять свою точку зрения. Давайте сначала договоримся о сути: об особенностях SDL и методах его автоматизации. Лука Сафонов, Технический директор АО “Синклит”, генеральный директор ООО “Киберполигон” Организация: испытательная лаборатория в системах сертификации ФСТЭК и ФСБ России Ключевые направления деятельности: анализ защи- щенности ПО, анализ исходного кода, пентест ПО и информа- ционных систем Безопасная разработка – это вложение в качество собст- венного продукта. И на текущий момент внедрение и под- держка SDL становится повсеместным требованием как в коммерческих структурах, так и со стороны государствен- ных регуляторов. И лучше озаботиться внедрением заранее, ведь дальше требования во всех структурах будут ужесто- чаться. Это не страшно, это интересно! Сергей Сергеев, Генеральный директор ООО “НПЦ “КСБ” и ООО “КСБ-СОФТ” Организация: российский разработчик ПО и интегратор в сфере ИБ Ключевые направления деятельности: продукты "АльфаДок", "АльфаКоннект" и др., услуги: пентест, SOC, без- опасность АСУ ТП и КИИ, SDL и др. Необходимость технологической независимости стала в 2022 г. новым вызовом для российского потребителя. Теперь приходится полагаться на решения отечествен- ных производителей, выбирать среди них наиболее надежные, встраивать новые решения в текущие про- цессы. Поэтому перед российскими разработчиками остро вста- ет вопрос соответствия своих решений требованиям по безопасности информации. В связи с этим растет потреб- ность во внедрении безопасной разработки, а в ряде слу- чаев – сертификации. Чтобы быть уверенными в качестве процессов безопас- ной разработки, мы рекомендуем обращаться за помощью к профильным ИБ-командам, специалисты которых помогут во внедрении или модернизации процессов SDL, а также обучат ваших разработчиков качественно проводить иссле- дования продуктов. Алексей Смирнов, CEO CodeScoring Организация: российский разработчик решения для ком- позиционного анализа ПО, активный участник российских сообществ безопасной разработки Ключевые направления деятельности: решение ком- позиционного анализа CodeScoring для безопасной работы с Оpen Source и совместимости лицензии Тема SDL не нова, про нее говорят уже много лет. Но если раньше SDL был уделом только зрелых организа- ций, то в современных условиях он стал необходимостью для любых разработчиков. Отсутствие безопасной разработки – это слабый кирпич в фундаменте любого продукта. Большинство разработ- чиков когда-то научились, что баги нужно исправлять, но им никто не говорил о том, что уязвимость – это тоже баг. Пора менять подход. Безопасность кода должна стать конструктивным свой- ством любого программного обеспечения, и думать об этом нужно на всех этапах его создания, от планирования архитектуры, в ходе ее реализации и на фазе сопровож- дения и развития продукта.