Как внедрить процессы безопасной разработки: кейс СИГМЫ

Информационная безопасность всегда была в центре нашего внимания, и 2,5 года назад мы решили перейти на новый уровень, внедрив процесс безопасной разработки. Самое время подводить первые итоги.

Разработки СИГМЫ внедряются в крупных предприятиях, поэтому для нас очень важно развивать культуру DevSecOps на основе отечественных решений. Сейчас в проектах по цифровизации энергетической отрасли наша компания использует решение Solar appScreener. По итогам внедрения процесса безопасной разработки срок обновления ПО и разработки новых программных продуктов значительно сократился.

Реализация проекта

На старте проекта у нас не было никаких регламентов и инструментов, а это означало лишь одно — внедрять процессы безопасной разработки придется с нуля. Для этой задачи мы сформировали большую команду специалистов, провели консалтинг, составили регламенты. И только после всех подготовительных работ проектная команда приступила к тестированию и сравнению различных решений.

Сначала был составлен перечень необходимых инструментов, который был разделен на категории, а в каждой категории определен наиболее подходящий продукт. Первым инструментом, который мы внедрили, стал модуль SAST продукта Solar appScreener. Поскольку спектр разрабатываемого ПО в СИГМЕ достаточно обширен, ключевым фактором при выборе решения для нас стала поддержка модулем 36 языков программирования. Также важным аспектом была и возможность анализировать код 1С, так как СИГМА активно использует эту платформу в своих решениях.

Наша команда сравнивала продукт с open source и другими платными решениями. Solar appScreener оказался лучшим по выделенным критериям. Мы интегрировали продукт с GitLab, начав с одного-двух проектов. Затем настроили интеграцию с Jira, но в итоге