Применение практики DevOps позволяет разрушить "стены" между отделом разработки и службой оперативной поддержки ИТ-инфраструктуры, объединить их в единую команду с применением единого стека технологий, что позволяет ускорить выпуск готового продукта на рынок.
1
Практика «бесшовного» процесса разработки приложений и сервисов
Применение практики DevSecOps позволяет сделать проверку на безопасность максимально простой, быстрой, прозрачной, тем самым значительно сократив выход в «прод».
2
Методология встраивания практик безопасности в разработку, выявление уязвимостей в коде на раннем этапе
Быстрая доставка программного обеспечения является частью цифровой трансформации бизнеса компаний
Внедрение методологии DevSecOps направлено на общий рост бизнеса и увеличение его прибыльности. Процесс ускорения релизов новых продуктов позволяет повысить конкурентоспособность на рынке, увеличить лояльность текущих клиентов, выйти на новые рынки.
Kaspersky Container Security — специализированное решение для обеспечения безопасности приложений в Kubernetes, OpenShift и на других контейнерных платформах на всех этапах их жизненного цикла: от разработки до эксплуатации. Решение гибко встраивается в процесс разработки и помогает внедрить методологию DevSecOps, а также позволяет соответствовать отраслевым стандартам и нормам безопасности.
Решение Kaspersky Container Security спроектировано с учётом особенностей контейнерных сред и закрывает свойственные им риски информационной безопасности: от уязвимостей в образе контейнера до анализа настроек узлов кластера. Продукт не только обеспечивает высокий уровень защиты, но и обладает важными для российского рынка особенностями, такими как анализ по банку данных угроз безопасности информации (БДУ ФСТЭК) и поддержка отечественных ОС Astra Linux и РЕД ОС.
Kaspersky Container Security, в первую очередь, может заменить решения для защиты контейнеризации таких производителей, как Trend Micro, Palo Alto, Aqua Security.
Основные характеристики продукта:
автоматическое сканирование образа контейнера на наличие уязвимостей и вредоносных программ;
интеграция с конвейерами CI/CD для беспрепятственного тестирования и развертывания безопасности;
защита от сетевых атак и других угроз, а также повышение привилегий.
Преимущества продукта:
защита от угроз и атак на уровне контейнеров, что обеспечивает безопасность приложений и данных;
управление и мониторинг контейнеров, предоставляя полный контроль над окружением;
прозрачная система лицензирования и простой выбор редакций продукта;
возможность интеграции с отечественными решениями и поддержке сканирования по базе ФСТЭК.
ImmuniWeb AI Platform
Платформа ImmuniWeb создана на основе технологии искусственного интеллекта для управления векторами атак, проведения Dark Web мониторинга и тестирования приложений на проникновение с DevSecOps поддержкой.
ImmuniWeb AI Platform включает в себя модули:
ImmuniWeb® Discovery: обнаружение активов, Dark Web и Security мониторинг, оценка рисков и рейтинг безопасности.
ImmuniWeb® On-Demand: тестирование на проникновение веб-приложений.
ImmuniWeb® MobileSuite: комплексное тестирование на проникновение мобильных устройств с DevSecOps поддержкой.
ImmuniWeb® Continuous: отслеживает веб-приложения и API-интерфейсы на изменения или создание нового кода, для обеспечения своевременного тестирования на проникновение.
JFrog Artifactory
Платформа JFrog Artifactory представляет собой набор инструментов, позволяющий хранить различные сборки программного обеспечения с исходным кодом для их дальнейшего использования. Основное предназначение набора инструментов платформы – это управление и развертывание программных модулей (программ и их отдельных функциональных частей). Все это позволяет программному обеспечению оставаться актуальным благодаря так называемому непрерывному обновлению.
Самым главным преимуществом платформы является автоматическая интеграция с различными технологиями, что существенно снижает затраты на обслуживание системы и повышает производительность.
Сама платформа состоит из различных продуктов:
JFrog Pipelines – это инструмент непрерывной интеграции, отвечающий за автоматизацию и организацию движения пакетов ПО через платформу.
JFrog Xray – инструмент, постоянно сканирующий JFrog Artifactory, чтобы выявить потенциальные уязвимости.
JFrog Distribution – инструмент, выполняющий функцию распространения ПО внутри компании.
JFrog Artifactory Edge – инструмент для автоматического обновления (то есть обновляются не все приложения, а частично устаревшие коды внутри приложения).
JFrog Mission Control – это панель управления платформой, которая позволяет настраивать и просматривать различные рабочие процессы.
JFrog Insight – инструмент аналитики, который интегрируется с различными продуктами, осуществляющий дальнейшую обработку и сбор данных для предоставления аналитики для разработчиков.
Aqua Cloud Native Security Platform
Aqua Cloud Native Security Platform выступает в роле технологии, разработанной специально для решения задач, связанных с видимостью, контролем, изоляцией, обнаружением вторжений и их предотвращением в контейнерных средах, позволяя организациям использовать бизнес-преимущества облачных контейнеров без снижения степени безопасности профилей.
Virtuozzo
Virtuozzo — пионер отрасли, разработавший первую коммерчески доступную контейнерную технологию 21 год назад. Представляет собой унифицированную гиперконвергентную инфраструктуру для публичного, частного и гибридного облака.
Virtuozzo Hybrid Infrastructure
Virtuozzo Hybrid Server
Virtuozzo Application Platform
Swordfish Security
Лидер рынка стратегического консалтинга в области цифровой трансформации процессов разработки защищенного ПО и внедрения технологических практик DevSecOps
Компания была основана в 2013 году в Санкт-Петербурге как сервисная компания в области создания защищенных приложений и внедрения процессов разработки защищенных программных продуктов.
Компания оказывает консалтинговые услуги по запуску практик безопасной разработки ПО и внедрению решений класса DevSecOps.
С первых дней существования миссией компании стала задача сделать окружающую человека цифровую среду безопасной путем изменения всей экосистемы разработки программного обеспечения.
В 2019 году Swordfish Security представила на российский рынок собственное решение AppSec.Hub — платформу оркестрации DevSecOps-процессов.
C 2020 года входит в Группу Компаний Swordfish.
PT Application Inspector
PT Application Inspector - удобный инструмент для обнаружения в приложениях уязвимостей, недостатков кода и конфигурации, признаков недокументированных возможностей. PT AI помогает специалистам по ИБ выявлять уязвимости и своевременно принимать меры безопасности, а разработчикам — ускорить исправление дефектов на ранних стадиях разработки, не меняя привычного распорядка дня.
Code Scoring
Система CodeScoring от компании Profiscope представляет собой решение для композиционного анализа программного обеспечения, предназначенное для автообнаружения зависимостей, поиска уязвимостей в Open Source, выявления совместимости Open Source лицензий и обзора качества разрабатываемых систем в разрезе команд исполнителей.
Ключевые возможности Инструмент CodeScoring обеспечивает ключевую функциональность OSA/SCA в области безопасности приложений (AppSec), а также решает задачи разведывания качества с применением современных методов статического анализа исходного кода:
инвентаризация кодовой базы — обнаружение и анализ зависимостей;
уязвимости — поиск, инструменты анализа и работы для устранения уязвимостей;
open source лицензии — выявление и оценка совместимости лицензий;
оценка разработчиков — профили, история участия, технологии, схожесть авторов;
quality intelligence — поиск заимствований (дубликатов), оценка сложности разработки;
политики реагирования — гибкое управление политиками оповещений и блокировки.
Luntry
Luntry – security observability-решение для K8s, разработанное на основе eBPF. Более 50% компаний, работающих с микросервисами, используют Kubernetes. Решение Luntry позволяет повысить эффективность работы различных департаментов, взаимодействующих с Kubernetes.
Отличие от других решений на рынке
Observability для построения Security
Понимание что защищаем и защищать, не ломая, то что работает
Декларативный подход к безопасности и надежности : Security/Policy-as-Code, Everything-as-Code
Прозрачность происходящего в инфраструктуре на всех уровнях для всех команд
Отсутствие модификаций окружения и микросервисов клиентов
Отсутствие дополнительных накладных расходов и возможных сбоев в работе инфраструктуры
Уход от правил и других предопределенных человеком правил
ZeroTrust - защита и от неизвестных угроз: 0day, backdoors, APT и т.д.
Дружелюбность к сторонним проектам
Зонтик для любых Kubernetes решений
Простота в использовании для Dev, QA, Sec, Ops, SRE департаментов
Внутреннее сопротивление в компании, страх изменений
45%
Отсутствие стратегии
42%
Нехватка квалифицированных кадров
41%
Риски получить низкий возврат инвестиций
40%
Недостаток финансирования
37%
Нехватка поддержки руководства
29%
Отсутствие необходимой инфраструктуры
26%
"
"
ПРОЦЕСС РАЗРАБОТКИ КОММЕРЧЕСКИХ ПРИЛОЖЕНИЙ
Dev
Sec
Ops
DevSecOps
ДО
ПОСЛЕ
Developer: «Сроки сжатые, ресурсов не хватает, долгий отклик от Ops»
Operation: «Готовы предоставить инфраструктуру, сроки будут скорректированы в зависимости от объема и сложности»
Security: «Необходимо соответствие требованиям безопасности – вот мануал на 100500 страниц»
Developer: «Берем в работу». Формирует требования, согласовывает с DevOps-командой и бизнесом»
Operation: Cогласовывает заявки от Dev
Security: Среды разработки разворачиваются уже с учетом требований и согласования с ИБ
СРОКИ
Позитивный вариант: 18+8 недель Прагматичный: 24+8 недель Негативный: 45+8 недель + Не соответствует требованиям ИБ + Заказчику надо уже что-то немного другое
СРОКИ
Позитивный вариант - 12+8 недель Прагматичный - 18+8 недель Негативный - 22+8 недель
Kомпаний в мире обеспокоены безопасностью данных своей среды DevOps
98%
Компаний в мире уделяют внимание безопасности приложений, включая инструменты для поддержки безопасной разработки ПО/DevSecOps, сканирование уязвимостей
34%
Data Bridge Market Research, 2021
*
30%
Компаний в России планируют внедрять методологию DevSecOps в ближайший год
Сбор информации
Этапы внедрения методологии DevSecOps
1
2
Прохождение аудита и выбор технологий
3
Трансформация команды
4
Проведение пилотирования
5
Подготовка экономического обоснования внедрения методологии
6
Внедрение технологий и старт работы по практике
Axoft является центром компетенций по внедрению методологии DevSecOps
Проекты, в которых мы принимали участие
Совместно с ведущими интеграторами Axoft аккумулирует лучший опыт и практики внедрения: помогаем с подбором решений для DevSecOps, проводим технический аудит инфраструктуры, проводим пилотирование и помогаем с внедрением, основываясь на всех особенностях текущей системной архитектуры.
Мы помогаем с решением таких вопросов:
Как внедрить DevSecOps для разработки корпоративных приложений?
Какой технологический стек эффективен для работы команд?
Как соответствовать современным стандартам и международным практикам в организации процессов разработки?
Как обеспечить взаимную интеграцию процессов разработки приложений и информационной безопасности?