Как работает непрерывный анализ защищенности кода в Apsafe: интеграция, процесс проверки и передача результатов

В компаниях, которые должны соблюдать требования приказа ФСТЭК России № 239, ГОСТ Р 56939 и аналогичные регуляторные акты, часто нужно показывать непрерывный контроль защищенности на всех этапах разработки. Apsafe позволяет решить эту задачу без найма отдельной команды AppSec-специалистов и изменения существующей инфраструктуры разработки.

Процесс начинается с предоставления доступа к репозиторию. Специалисты УЦСБ подключают необходимые инструменты из стека Apsafe и адаптируют правила анализа под стек технологий Заказчика. Платформа нативно встраивается в инфраструктуру разработки и не требует ее изменений.

Перед началом использования Заказчик получает руководство пользователя Apsafe, в котором содержится скрипт для встраивания в жизненный цикл разработки ПО. Этот скрипт позволяет передавать платформе исходный код и его изменения.

Платформе требуется возможность клонировать репозиторий — платформа не требует установки агентов в инфраструктуру Заказчика. После подключения репозиторий с исходным кодом приложения клонируется для дальнейшего сканирования.

Подготовка и первая полная проверка занимают около 10 рабочих дней. Этот срок включает настройку, тестовые прогоны и ручную верификацию результатов. К примеру, альтернативное внедрение инструментов in-house потребовало бы до 100 дней.

Дальше — инкрементальный анализ по договоренности: 1–4 раза в месяц. Проверяются только измененные участки исходного кода.

Для работы Apsafe требуется возможность клонировать репозиторий — это основное техническое условие. Если код хранится в закрытом контуре, возможен альтернативный сценарий развертывания платформы — в контуре Заказчика. В этом случае для сохранения качества анализа, аналогичного облачной версии, потребуется дополнительно закупить коммерческие анализаторы SCA и Container Security.

В систему сборки Заказчика подключается скрипт, который автоматически отправляет код в платформу Apsafe. Такой подход позволяет сохранить привычный процесс разработки — разработчики продолжают работать в знакомом окружении, а проверка безопасности происходит без их дополнительного участия.

В зависимости от задач проекта используются различные виды анализа из экосистемы Apsafe:

Для объединения результатов работы всех сканеров в единой среде и управления процессом устранения уязвимостей используется система оркестрации ASOC. Она позволяет автоматизировать рабочие процессы, оптимизировать тестирование и передачу задач разработчикам.

Помимо основных типов анализа, для некоторых категорий ПО предусмотрены дополнительные проверки. В частности, для продуктов, подпадающих под приказ № 239 ФСТЭК России, обязательным является фаззинг-тестирование — проверка ПО воздействием большого объема неверных входных данных. Это требование также входит в ГОСТ Р 56939-2024 и другие нормативные документы по безопасной разработке. Такая проверка по аналогии с другими проверками  может быть внедрена в рамках работы платформы.

После завершения автоматического сканирования формируется первичный отчет, который передается специалистам для ручной верификации. Именно на этом этапе происходит ключевое отличие Apsafe от чисто автоматических решений.

Автоматическое сканирование — это только первый этап. Оно выдает множество срабатываний, среди которых большая часть — ложные срабатывания или уязвимости, недостигаемые в реальном контексте приложения. Именно поэтому ключевое звено в работе Apsafe — ручная верификация, которая превращает сырой отчет сканеров в прикладной результат для разработчика.

Сканеры дают первичные результаты. Затем специалист по AppSec проводит ручной триаж: оценивает контекст, достижимость уязвимости и реальный риск. Все найденные уязвимости верифицируются вручную, чтобы исключить ложноположительный результат.

Ручная верификация значительно снижает количество ложных срабатываний по сравнению
с чисто автоматическими SAST и SCA. В итоге разработчик получает только подтвержденные уязвимости с приоритетом, описанием риска, способом эксплуатации и рекомендацией по исправлению, а не отчеты, которые нужно разбирать самостоятельно.

Результаты проверок систематизируются на интерактивных дашбордах в личном кабинете Apsafe. Задачи на устранение уязвимостей передаются в Jira, YouTrack, Redmine и другие трекеры задач. При необходимости организуется отправка событий в SOC или создание правил для WAF. А для проектов, которым требуется исполнение регуляторных требований, дополнительно готовятся подписанные бумажные отчеты.

Сроки обработки

• Запуск анализа новых изменений — до 5 дней от момента проверки кода инструментами платформы.
• Ручной разбор — от одного раза в месяц и чаще в соответствии с согласованной периодичностью.

Платформа Apsafe уже используется в российских компаниях для анализа защищенности промышленного и системного ПО. Ниже — примеры из практики.

Разработка промышленного ПО требует особого внимания к безопасности: уязвимость в инструментальной среде может перейти во все системы, созданные с ее помощью. Компания «Атомик Софт» решила эту задачу с помощью Apsafe. В ходе проверок были обнаружены и устранены критические уязвимости, обновлено руководство по безопасной разработке и организована ежемесячная отчетность для регуляторов. Подробнее.

Пользователям SCADA-систем важна не только функциональность, но и защищенность без потери производительности. В кейсе рассказываем, как эксперты Apsafe обеспечили комплексное сопровождение разработки новой SCADA-системы на ключевых фазах ее построения: проектировании, анализе кода и внедрении функций защиты.
Подробнее.

Подключение занимает 10 дней и не требует изменений инфраструктуры разработки. Стоимость базового пакета обходится ниже, чем прием в штат одного AppSec-инженера и приобретение необходимых инструментов. При подключении от двух приложений применяется прогрессивная модель скидок.

В регулярном режиме проверки проводятся с согласованной периодичностью, а подтвержденные задачи поступают разработчикам после ручной верификации экспертами. Платформа позволяет исполнять требования регуляторов: пункт 29.3 приказа ФСТЭК России № 239, ГОСТ Р 56939-2024, PCI DSS и другие.

Заказчик получает не просто отчеты сканеров, а квалифицированную поддержку, обновленную документацию по безопасной разработке и подтверждение соответствия требованиям регуляторов.