Завершающийся 2020 год был труднейшим в адаптивном плане, многие сервисы были вынуждены быстро перестраиваться. Это отразилось на массовом создании средств автоматизации и коллаборации, активной разработке сервисов. Согласно крупнейшему репозиторию GitHub и его ежегодному отчету The 2020 State of the Octoverse, в этом году было создано более 60 млн новых репозиториев, что на 35% больше, чем в прошлом году. Комьюнити разработчиков на GitHub составляет уже более 56 млн человек по всему миру.
«В первую очередь, данная ситуация связана с тем, что разработка сервисов вышла за пределы IT-бизнеса и распространяется на новые, нетипичные сегменты. Растет рынок IoT, финтеха, интеграций сервисов, аналитики данных, появляются инновационные подходы автоматизации бизнес-процессов. Это приводит к тому, что даже в небольших организациях над разными проектами по созданию сервисов и интеграции трудятся несколько команд, и каждая команда для своего проекта использует отдельный репозиторий. С точки зрения информационной безопасности эта ситуация несет в себе серьезные риски», – комментирует Руслан Косарим, руководитель отдела прикладных систем группы компаний Angara.
Большинство проектов на GitHub использует в той или иной мере ПО с открытым кодом, свидетельствует анализ общедоступных репозиториев с открытым кодом в период с 1 октября 2019 года по 30 сентября 2020 года.
Рис. 1 – Процент активных репозиториев, использующих Open Source ПО
Отслеживание и обновление ПО с открытым кодом является крайне важным в процессе организации ИБ сервисов и продуктов. В части уязвимостей Open Source ПО эксперты GitHub выявили, что 83% из них являются результатом ошибки разработчиков и только 17% явно вредоносные. В связи с этим важным становится параметр – время устранения ошибки (Time to remediate). И средние оценки по реданному параметру следующие:
- 4,4 недели уходит на исправление кода и релиз исправления после обнаружения уязвимости,
- 1 неделя уходит у пользователей на установку обновления безопасности,
- до 4 лет уходит на детектирование уязвимости в коде,
- репозитории с механизмом автоматического создания pull request для обновлений фиксят ПО в 1,4 раза быстрее, чем репозитории без данного механизма.
«В текущих реалиях, когда используются облачные и гибридные среды запуска приложений, а сами приложения, все чаще, приобретают микросервисную или SOA-архитектуру с передачей «чувствительных» данных между различными компонентами отдельных бизнес-логик, очень важно уделять внимание безопасности разработки. Особенно, если весь бизнес строится на работе сервиса. Недостаток внимания уязвимостям частей кода или отсутствие функциональных требований по безопасности на этапе разработки рано или поздно приведут к эксплуатации этих «дыр» злоумышленниками, что негативно повлияет на весь бизнес», – поясняет Руслан Косарим.
Инфраструктура микросервисной разработки требует отдельного анализа рисков, средств и процессов обеспечения ИБ. Так, для защиты платформ контейнеризации существуют свои подходы и отдельные классы решений. А повысить защищенность продукта внешней или внутренней разработки более эффективно на системном уровне, внедрив процессы управления безопасностью в процессы производства.
Эксперты группы компаний Angara имеют опыт работы с различными технологиями защиты контейнерной среды и предлагают услуги разного уровня в данном направлении ИБ: от защиты контейнерной инфраструктуры и микросервисов до создания безопасного процесса жизненного цикла разработки ПО (SSDLC).
