0

Связаться с нами

Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных

Как выпускать защищенный продукт без задержки релизов? Кейс Apsafe и Банка Синара

10.07.2026
Когда банки создают финансовые продукты им часто приходится балансировать между функциональностью и информационной безопасностью. Кроме того, для сохранения конкурентоспособности современным финансовым сервисам необходимы регулярные обновления. При этом безопасность должна быть встроена в процесс разработки и не задерживать выпуск новых версий.
Дополнительные сложности связаны с требованиями регуляторов. Сбор данных и подготовка документов, необходимых для подтверждения соответствия законодательным нормам, нередко требуют много времени и замедляют развитие продукта.

Справиться с этими задачами позволяет привлечение ИТ-команд, которые используют собственные инструменты анализа кода и обладают богатым опытом внедрения практик безопасной разработки (DevSecOps) на всех этапах создания ПО. Такой подход выбрала команда разработки Банка Синара: для анализа защищенности своих финансовых сервисов и оценки их соответствия требованиям ЦБ РФ она привлекла экспертов Центра кибербезопасности УЦСБ.

Apsafe как инструмент анализа: ключевые преимущества

Анализ защищенности приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара проводился с помощью облачной платформы Apsafe — это собственный продукт УЦСБ, с помощью которого можно встроить процессы DevSecOps в действующую инфраструктуру разработки без ее изменений и обеспечить соответствие программного обеспечения требованиям закона.

Apsafe объединяет множество автоматизированных инструментов безопасной разработки,
а результаты их проверок вручную проверяются аналитиком, что исключает ложные срабатывания в итоговом анализе кода.

Автоматизация проверок безопасности: интеграция Apsafe без нарушения привычных процессов разработки

Apsafe встроили в уже существующий процесс разработки на базе GitLab, не ломая цикл релизов продукта. Проверка запускается автоматически в стандартном CI/СD-пайплайне Банка Синара и не требует ручных действий разработчиков, поэтому для них это просто еще один этап в привычной цепочке сборки и поставки кода. Разработка ведется в двух ветках: основной, из которой пользователи получают обновления продукта, и в ветке с новыми функциями.

Через Apsafe проходят как новые изменения, так и релизы. Когда разработчики вносят в приложение очередные изменения, то они автоматически попадают в Apsafe, где проверяются на уязвимости и их возможное влияние на другие сервисы Банка Синара. Только после этого обновления переносятся в основную ветку и становятся частью рабочей версии продукта.

Взаимодействие команд: от обнаружения уязвимости до таск-трекера разработчиков

Первичную проверку уязвимостей проводит Appsec-специалист УЦСБ. Он анализирует срабатывания Apsafe, выбирает нужный фрагмент в коде, смотрит, почему сканер указал именно на эту строку, изучает потенциальную уязвимость и возможные точки ее эксплуатации.

Затем специалист оформляет карточку уязвимости: объясняет суть проблемы и прописывает практический сценарий эксплуатации уязвимости. Далее он рекомендует, что нужно сделать, чтобы ее закрыть, и выставляет оценку по метрике CVSS. Она используется для приоритизации в Apsafe — наиболее критичные проблемы поднимаются выше в таск-трекере Заказчика, и разработчики видят их раньше.

Взаимодействие команд строится через систему задач, доступ к которой есть не только у тимлидов, но и у рядовых разработчиков. Они могут задать экспертам УЦСБ вопросы по любой найденной уязвимости или рассказать про уже наложенные средства защиты и другие реализованные решения. Такая совместная работа повышает уровень зрелости ИБ Заказчика.

Оценка безопасности по ОУД4 с использованием Apsafe: два этапа анализа

Наличие уязвимостей в любом продукте, связанном с финансовыми операциями, и его способность противостоять злоумышленнику с базовым потенциалом нападения подтверждаются соответствием требованиям ОУД 4 (оценочный уровень доверия четвертого уровня). Они сформулированы ЦБ РФ в документах 821-П, 851-П, 757-П.

Для проведения таких работ необходимо, чтобы у исполнителя была действующая лицензия ФСТЭК России на деятельность по технической защите информации, предусмотренной подпунктами «б», «д» или «е» пункта 4 «Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства РФ №79».

Банк Синара уже второй раз доверил оценку соответствия требованиям ОУД 4 Центру кибербезопасности УЦСБ. Компетенции команды подтверждаются действующей лицензией ФСТЭК России и большим практическим опытом — Центр реализует более 200 проектов по безопасной разработке в год, а экспертиза УЦСБ в ИБ и ИТ насчитывает более 19 лет.
Анализ на соответствие требованиям ОУД4 разделили на два этапа.

Обследование объекта оценки — команда УЦСБ изучила документацию по приложениям и провела интервью с разработчиками и представителями ИБ-службы Заказчика, чтобы понять устройство продукта, реализацию в нем функций безопасности и порядок его развертывания и конфигурирования.

Анализ уязвимостей с помощью Apsafe — на этом этапе использовались несколько инструментов из стека платформы:

  • SAST (Static Application Security Testing) — статический анализ кода, который позволяет находить дефекты в исходном коде продукта в момент его разработки;
  • SCA (Software Composition Analysis) — композиционный анализ состава ПО для обнаружения угроз в подключаемых компонентах и соблюдения политик использования открытого кода;
  • DAST (Dynamic Application Security Testing) — динамический анализ безопасности приложения. Он выявляет уязвимости методом «черного ящика» в работающем ПО, когда тестирование проводится без доступа к исходному коду. Похожим образом действуют злоумышленники.

С помощью SAST и SCA проверили более двух миллионов строк кода. Также Apsafe использовался для сосредоточенного анализа уязвимостей по компоненту доверия AVA_VAN.3*, предусмотренному ГОСТ 15408-3-2013. Помимо этого, был проведен пентест, который моделирует реальные действия хакеров и помогает выявить слабые места в защите продукта.

В результате этих работ эксперты УЦСБ подготовили для Банка Синара промежуточный отчет с перечнем уязвимостей, обязательных к устранению. После их закрытия Заказчик получил положительное заключение на соответствие финансовых сервисов Банка Синара требованиям ОУД4.

*AVA_VAN — семейство требований к анализу уязвимостей в рамках международного стандарта «Общие критерии» (ГОСТ Р ИСО/МЭК 15408). 3 — это уровень глубины анализа. Максимальный уровень — 5. 

Анализ микросервисного ландшафта: какие сложности он может вызвать

Работа с микросервисной архитектурой приложений стала отдельной непростой задачей для команды УЦСБ. Анализ защищенности отдельного микросервиса не вызывает серьезных трудностей. Сложности появляются при анализе взаимодействия сервисов, каждый из которых имеет множество собственных сценариев работы.

Задачу также усложняли большой объем кода для анализа и изменения, регулярно поступавшие от нескольких команд разработки Банка Синара. Эксперты УЦСБ преодолели эти сложности и в рамках проекта проверили более 200 микросервисов приложений.

Адаптация интерфейса под потребности Заказчика: расширенная аналитика и автоматизированная проверка исправленных уязвимостей

Для эффективного и удобного использования платформы Apsafe, команда УЦСБ добавила новые метрики и настроила интерфейс для Заказчика, так чтобы ключевая информация была наглядно представлена.

Добавлено отслеживание количества измененных строк кода — для прозрачного контроля объема работ в рамках договора, показатель вывели в наглядном виде в дефект-трекер. Метрику можно смотреть как за весь период использования Apsafe, так и за определенное время.

Расширена аналитика по уязвимостям — настроили возможность отслеживания наиболее уязвимых сервисов и временной статистики, которая показывает, сколько новых уязвимостей возникает и закрывается, и как меняется баланс этих значений.

Автоматизирована проверка исправления уязвимостей — Apsafe сравнивает список подтвержденных уязвимостей в прошлых версиях кода с текущими отчетами и отслеживает случаи, когда уязвимость была, а затем перестала детектироваться. Такие ситуации автоматически выделяются специальным статусом и передаются на разбор сотруднику, который проверяет, связано ли исчезновение с ошибкой или уязвимость действительно устранена разработчиками.

Реализована новая «плоскость» персональной аналитики — можно объединять несколько сервисов в одно приложение и смотреть показатели уже на его уровне, а не по отдельным сервисам. В этом разрезе учитываются количество наиболее уязвимых сервисов, общий объем найденных и число подтвержденных уязвимостей.

Итоги проекта: внедрение DevSecOps и подтверждение безопасности продукта

Совместная работа Центра кибербезопасности УЦСБ и Банка Синара позволила органично встроить практики DevSecOps в процесс обновления кода — от внесения изменений разработчиком до их появления в продукте.

Важной частью проекта стало выполнение регуляторных требований. При проверке приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара на соответствие требованиям ОУД4 платформу Apsafe применяли как основной инструмент поиска уязвимостей. По итогам работы Заказчик получил положительное заключение и успешно прошел проверку ЦБ РФ.
Apsafe подойдет компаниям, которым необходимо регулярно обновлять продукт, одновременно обеспечивая его безопасность. С его помощью внедрение DevSecOps займет не более 10 дней и обойдется выгоднее найма одного AppSec-инженера и приобретения инструментов анализа защищенности.