Журнал "Information Security/ Информационная безопасность" #3, 2023

• 43 БезОпасная разраБОтКа www.itsec.ru Сергей Груздев, Аладдин Р.Д.: С точки зрения практики SDL – это фокус на этапе реализации, если сле- довать методологии Microsoft. Для обес- печения безопасности разработки на этом этапе используются статический анализ и доверенные средства разра- ботки, практикуется отказ от небезопас- ных функций в коде и его перекрестная проверка. На первое место по значимости можно поставить статический анализ, который представляет собой серию автоматических проверок исходного кода и экономит человеческие ресурсы во время тестирования. Кроме того, он выявляет большое количество распро- страненных ошибок и уязвимостей, помогает четко следовать стандартам написания кода и благотворно влияет на его качество. Легкая работа с обна- руженными ошибками на этапе напи- сания кода позволяет ускорить про- цессы взаимодействия между коман- дами, а значит, и ускорить процесс написания и последующей отладки исходного кода приложения. Статиче- ский анализ как инструмент просто интегрируется в процесс безопасной разработки. На второе место можно поставить фаззинг-тестирование – многократный запуск кода на намеренно поврежденных входных данных. На практике это дли- тельный и сложный процесс, но ошибки, которые он выявляет, практически все- гда являются эксплуатируемыми, что ведет к рискам безопасности. На третье место смело можно поме- стить регрессионное тестирование кода, когда необходимо убедиться, что вне- сенные изменения не повлияли нега- тивно на существующую функциональ- ность приложения. Автоматизация регрессионного тестирования экономит время команды, деньги, ускоряет выпуск релиза. Именно эти три инструмента мы счи- таем наиболее значимыми для обес- печения SDL. Но, конечно, не стоит забывать про динамический анализ, исследование поверхности атаки и тести- рование на проникновение. Алексей Смирнов, CodeScoring: Для меня SDL – это инструмент обес- печения качества ПО. Его задача – навести порядок в том, что мы делаем, и следить за процессами разработки/сопровождения с учетом без- опасности. 1. Важно наличие практики непре- рывного контроля безопасности на всех этапах разработки, от проектирования и выбора сторонних компонентов до проверки кода продукта на этапах выпус- ка и в процессе сопровождения. Что для вас SDL с точки зрения инструментов и практик: укажите три пункта в порядке убывания значимости. Круглый стол сообщества SDL недрение процессов SDL – это ответственный этап для любой организации, занимаю- щейся разработкой приложений. Тех, кто только встает на этот путь, ожидает ряд инте- ресных сложностей: от мотивации себя, руководителей и коллег до выбора кокретных инструментов, реализующих необходимые аспекты SDL. Редакция журнала “Информа- ционная безопасность" запросила рекомендации и советы по наиболее острым вопросам у экспертов, уже достигших определенных успехов в этом направлении. В Сергей Трандин , генеральный директор “Базальт СПО” Организация: разработчик российских операционных систем “Альт”, включенных в Единый реестр российского ПО Ключевые направления деятельности: линейка опе- рационных систем “Альт” для рабочих станций, серверов и построения виртуальной инфраструктуры ФСТЭК как регулятор рынка сертифицированного ПО в России подтолкнул нас, как и многих других разработ- чиков, к более активному внедрению технологий безопас- ной разработки в технологические процессы компании. А так как компания при этом является еще и участником проектов Open Source, это в значительной степени повы- шает доверие участников рынка к открытым проектам, повышает надежность и защищенность этих проектов. Дополнительно к этому в значительной степени растет вклад российских разработчиков в мировое сообщество Open Source и в самой ответственной его части – безопас- ности открытого программного кода. Валерий Черепенников, советник губернатора Нижегородской области по развитию ИТ-сектора, VP Huawei Russian Research Institute, Nizhny Novgorod Research Center Организация: Правительство Нижегородской области, Huawei Russian Research Institute Ключевые направления деятельности: SW, HW, системы связи, построение ИТ-кампуса, образовательные про- граммы У меня от темы SDL в целом остается двоякое ощу- щение. С одной стороны, я недавно в нее практически влюбился, потому что это прекрасная инженерная задача, близкая к моей предметной области – сопря- женному дизайну софта и железа. Мне также пред- ставляется, что это очень пиароемкая тема, что могло бы увлечь и привлечь в индустрию талантливых людей. С другой стороны, зачастую по разным причинам люди, занимающиеся SDL, не любят публичности. Воз- можно, в этом есть определенный потенциал для роста.