Журнал "Information Security/ Информационная безопасность" #3, 2023

Дмитрий Евдокимов, Luntry: Если вы ранее данным вопросом глу- боко не занимались, не изучали рынок и у вас нет подобного опыта, то увидеть за продуктом технологию и отделить действительно полезные инструменты будет крайне проблематично. Для этого нужна соответствующая экспертиза. Не имея опыта, можно смотреть на дополнительные признаки: например, есть ли у компании-разработчика собст- венные исследования, выступления, специализация в данной области. Так сказать, насколько они "дышат" данной темой. Валерий Богдашов, R-Vision: Некоторые решения на рынке (даже успешные и признанные) порой показы- вают удручающие результаты в сравне- нии с другими продуктами и практиками. Поэтому каждую технологию, практику или инструмент следует тщательно тестировать применительно к разраба- тываемому продукту. Кроме этого, важно проводить анализ полученных резуль- татов в разрезе процессов разработки в компании. Екатерина Вайц, МГТУ им. Н.Э. Баумана: Продукт неотделим от технологии, на которой построен, поэтому единственный действенный способ оценить полезность инструмента или методики – это прак- тическое применение на широкой выборке различных случаев и проведе- ние сравнительного анализа результа- тов. Алексей Смирнов, CodeScoring: Технология есть там, где есть компе- тенция. А компетенция есть там, где есть команда и заказчики. Без активных пользователей тяжело сделать действи- тельно рабочий и полезный инструмент. Проще всего разглядеть технологии в инструментах, которые можно взять и попробовать. Там, где производитель открыт для своих пользователей в обще- нии и публично делится материалами по теме, от документации и докладов до научных трудов и открытия версий Open Source. Владимир Пономарев, Гарда Технологии: Очевидный способ – использовать проверенные и известные в SDL-сообще- стве решения. Их не так уж и много. Мы используем комбинации известных ком- мерческих инструментов и Open Source: SVACE, NATCH для статического анализа и определения поверхности атаки, AFL для фаззинга, Dependency Track для компонентного анализа, DefectDojo для трекинга и организации процесса, ска- неры уязвимостей. У нас также есть своя команда специалистов для пенте- ста. Сейчас мы с интересом смотрим на отечественные SCA-решения. Лука Сафонов, Синклит: Достаточно попробовать продукт в рамках тестового периода, и все сразу становится понятно, действительно ли стоящий продукт или же под капотом просто перерисованные под собствен- ный бренд опенсорсные утилиты, собранные вместе без учета архитек- турных особенностей и особенностей реализации. Марк Коренберг, Айдеко: В рамках открытых и крупных сообществ идет активная коммуникация, и именно там эксперты приходят к выво- ду, какие технологии и методики счи- таются "правильными". Это касается и выбора технологий и подходов, и оценки их значимости. Технология – это при- знанный многими экспертами стандарт. Если некто изобрел что-то новое, он может поделиться идеей с сообществом. И если идея получает положительную оценку, она станет стандартом. Но, разу- меется, только после тщательного ана- лиза, возможной переработки и доведе- ния до рабочего варианта. Роман Карпов, Axiom JDK: Для этого необходимы техническая экспертиза и опыт. Специалист, вовле- ченный в использование или разработку таких инструментов, знает набор метрик и необходимых характеристик для инструмента того или иного типа. В неко- торых случаях для испытания инстру- мента можно создать небольшой объект оценки с заложенными в него ошибками, уязвимостями, нарушениями и "натра- вить" инструмент на этот объект, то есть провести проверку, обнаружит ли он все ошибки. Сергей Деев, МТС RED: Важно определить цели и задачи в области безопасной разработки, кото- рые нужно достичь именно в вашей компании. Исходя из этого и следует рассматривать все имеющиеся на рынке решения. При этом не надо верить мар- кетинговым заявлениям разработчиков, испытывающим искушение продать "серебряную пулю": тестируйте инстру- менты сами и выбирайте оптимальные для решения своих задач. Сергей Трандин, Базальт СПО: Во-первых, необходим опыт. Во-вто- рых, важно глубокое участие в между- народных проектах разработки и пони- мание, того что там происходит. Через это и появляется экспертиза, которая остается в компании. Александр Дубинин, YADRO: Хороший способ – начать пилотиро- вание инструмента в "песочнице" и при- гласить на пилот разработчиков. К сожалению, на это часто не хватает рук, так как у разработчиков много своих задач. Оксана Новослугина, СПб ИАЦ: В ходе решения такой сложной задачи неизбежно сталкиваешься с набором проблем, которые лучше решать посте- пенно. С точки зрения процессов лучше обратить внимание на несколько важных вещей. 1. При внедрении SDL в первую оче- редь сфокусируйтесь на критичной с точки зрения безопасности функцио- нальности. 2. Работайте со своими разработчи- ками, менеджерами, тестировщиками: ваш продукт создают люди, от их навы- ков и знаний зависит качество итогового продукта, а также объем работы про- дуктовых безопасников в рамках про- цессов SDL. 3. Актуализируйте свою модель угроз, обращайте внимание как на базовые проблемы, описанные в популярных руководствах и метриках, так и на нестандартные. Иван Панченко, Постгрес Профессиональный: Критерий прост: дает ли продукт результат? Мы используем только про- дукты, для которых ответ положитель- ный. Валерий Черепенников, Nizhny Novgorod Research Center: Стоит, наверное, как и везде, пола- гаться на инженерное понимание, хотя оно зачастую в дефиците. При этом я бы не сказал, что этот вопрос имеет первостепенную важность. Хорошо все то, что работает здесь и сейчас. К тому же для продуктов работает принцип естественного отбора: подел- ки низкого качества со временем вытесняются. Роман Борзов, Андрей Кузнецов, Фобос-НТ: Поиск специалистов – важнейшая, но непростая задача, так как подразумевает выборку из ограниченного числа высо- коквалифицированных специалистов. Поэтому не стоит бояться брать молодых специалистов без опыта и обучать их под себя. Один из способов решения данного вопроса – обратить внимание на "студенческую скамью" в поисках горящих глаз. Борис Позин, ЕС-лизинг: Найти специалистов сейчас негде, нужно самим их готовить. Вот мы этим и занимаемся. какой уровень образования требуется для того, чтобы реализовывать процессы SDL, и где вы ищете кадры? • 51 Безопасная разраБотка www.itsec.ru