Журнал "Information Security/ Информационная безопасность" #5, 2021

Сопровождение реестра алгоритмов и программ В ходе разработки или приемки кода от подрядчиков необходимо знать, отку- да поступил код, каков он, где и как был переиспользован. CodeScoring обнару- живает заимствования кода как внутри одного проекта, так и между проектами, ведет историю, кто у кого скопировал, анализирует качество по ряду парамет- ров, включая цикломатическую слож- ность, которая является объективным критерием сложности поддержки и оцен- ки близости рефакторинга. CodeScoring для приемки кода от внешних подрядчиков Привлечение внешних подрядчиков может принести в проект не только экс- пертизу, но и ряд проблем, связанных с юридической и информационной безопас- ностью. И вопрос не только в используе- мых лицензиях и уязвимостях, особого внимания при приемке требует оценка цикломатической сложности – количество вложенных ветвлений и циклов. От этой характеристики напрямую зависит трудо- емкость поддержки или даже наличие принципиальной возможности доработки и исправлений. Исследования показывают, что если цикломатическая сложность при- ближается к 50, то вероятность внесения ошибки в программный код при его изме- нении стремится к единице. А это значит, что если этот код важен с точки зрения работы с данными, сетью, то его можно считать неподдерживаемым. Проекты от подрядчиков зачастую представляют из себя черный ящик, и CodeScoring помогает разобраться с ним и "просветить" его. Безопасная разработка CodeScoring идентифицирует лицен- зионные нарушения и заимствования кода, предупреждает об известных уязвимостях в используемых Open Source компонентах с учетом транзи- тивных зависимостей (когда зависимые компоненты, в свою очередь, зависят от других компонентов). В дополнение к этому решение ана- лизирует работу команд, показывает, кто приносит наибольшую пользу при развитии проекта, кто и какие артефакты вносит в проект (для поиска исполните- лей при дальнейших работах с ними), оценивает основные критерии техниче- ского долга, помогает определить тру- доемкость устранения дефектов и бли- зость рефакторинга продукта. Обеспечение юридической чистоты Еще несколько лет назад вопросы юри- дической чистоты в разработке ограничи- вались в основном договорной работой с подрядчиками. Однако в последние три года кроме судебных тяжб за закрытыми дверями появились и громкие судебные дела, связанные с авторскими правами: "Лаборатория Касперского" против "Киберсекьюрити Солюшнс", иск разра- ботчика к Veeam Software AG, иск Рамб- лера к Nginx. При этом суды часто встают на сторону авторов изобретений. Важно понимать, насколько ваш продукт при- надлежит вам. CodeScoring может в этом значительно помочь. Решение обнару- живает заимствования и направление копирования, кто у кого скопировал код. И конечно же, будучи SCA-решением, CodeScoring автоматически распознает используемые в проекте Open Source лицензии, их совместимость и пригод- ность для применения в коммерческом продукте. CodeScoring для HR HR-подразделения в ИТ-компаниях выполняют огромный объем работ в самых разных областях, куда входит и рекрутинг (внешний и внутренний), и мотивация, и трудовое право, и разви- тие персонала, и эффективность работы команд, при этом инструментов на рынке для них не так много, как, скажем, для разработчиков. CodeScoring позволяет частично авто- матизировать внутренний рекрутинг, ана- лизируя схожесть экспертизы разработ- чиков в команде, предлагая подходящих кандидатов на замену уходящим на основании следующих факторов, под- тверждающих компетенцию: опыт в про- екте, в освоенных технологиях, совмест- ная работа в проектах, схожесть техни- ческой базы, подходов к разработке и качеству исполнения. CodeScoring также отслеживает код разработчиков и пре- доставляет аналитику по следующим показателям: длительность работы, активность авторов, применяемые тех- нологии, отслеживание проектов, базо- вые параметры качества, техническая схожесть разработчиков. Заключение Переиспользование кода – стратеги- чески важная задача для коммерческих и государственных предприятий. Учет и адекватная информация об имеющихся кодах и артефактах дает возможность взрывного роста скорости безопасной и эффективной разработки информа- ционных систем. Недостаточно просто присвоить классификационный номер исходникам проекта, необходимо четко понимать, где какой код переиспользо- ван и в какой степени. Вручную это отследить невозможно ввиду огромных размеров кодовой базы даже на неболь- шом предприятии. CodeScoring – это ядро классификатора кодов в фонде алгоритмов и программ со всеми сопут- ствующими функциями SCA. l • 51 БЕЗОПАСНАЯ РАЗРАБОТКА www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама