🛠 База DevSecOps & AppSec Toolchain
Итак, мы собрались тут за безопасной разработкой и инструментами AppSec. Давай посмотрим в целом на процесс и сами инструменты в нем, думаю, что пора начинать закидывать материалы, которые помогут вникать в сами этапы разработки в части технички от процессов.
DevSecOps как автоматизация производства безопасного ПО для:
- Выполнения требований регулятора,
- Снижения рисков ИБ (утечка, киберпреступления и тд) и угроз недопустимых событий
- Поддержки Time-to-Market TTM
- Контроль внешних библиотек и используемых компонент
- Повышения репутационного уровня и развития конкурентноспособности, в связи с нынешней ситуацией на рынке РФ
- Оптимизации решений по Secure SDLC
- Выполнение требований к проектам, минимизации потерь при разработке
Основная цель
Использование лучших практик по организации защиты информации и периметра, выстраивание процессного подхода и повышения Servise Relationships Management. Делаем потому что может дать снижение ФОТ на устранение сработок, а также сократить показатели прерывания процессов на тестирования ИБ до 20%.
Сейчас происходит пролонгирование сроков для выполнения требований регуляторов, стандартов и процессов внедрения DevSecOps. Поэтому наша цель повысить уровень обеспечения ИБ со стороны бизнеса, а именно:
- TTM разработанного функционала
- Повышения уровня осведомленности сотрудников
- Развитие гильдии Security Champions
- Повышения взаимодействия внутри команд разработки и ИБ
- Внедрение контроля разработки на всех стадиях жизненного цикла
- Оптимизация операционно-технических процессов
- Расследование инцидентов и проведение проверок по устранению последствий
- Выработка мер реагирования и стандартизации процесса (DMAIC)
- Повышение уровня зрелости DASA DevOps практик
- Application Security Testing Orchestration
- Shift-Left-подход и Secure-by-Design
Итого: это может дать возможность роста и развития направления по DevSecOps, что позволит повысить уровень риск-менеджмента и нивелирования возможных инцидентов со стороны разработки ПО, как in-house, так и от вендоров. Аналогично может дать возможность повышения уровня TTM в безопасном исполнении. Может позволить контролировать SDLC и далее обеспечить Secure SDLC
Это позволит в условиях текущей ситуации на рынке обеспечить с ростом вовлечения в процесс безопасность выпускаемых функциональных и не функциональных features. Это позволит контролировать средствами AppSec как триггеров выпускаемых features в PROD и автоматизации процессов ИБ.
Примапил инфо по своему видению и карте процесса с тулами, которые считаю наиболее комфортными и оптимальными для жизнеспособности продуктов. Почекай и думаю тебе будет по кайфу, а мы дальше будем разбирать все эти прикольные инструменты и подходы 🙏
#devsecops #appsec #toolchain #pmi #specialty #riskanalys #techsolution