29 ноября 2024 года представители MISA поделились практическим опытом построения культуры SecDevOps для повышения информационной безопасности организаций на семинаре «Понимание DevSecOps – технологии и решения для контроля безопасности», организованном страховой компанией BIDV Insurance – BIC.
В семинаре приняли участие ведущие эксперты в области информационных технологий и информационной безопасности. MISA представляли г-н Нгуен Куанг Хоанг – директор по информационной безопасности, и г-н Буй Дык Чыонг – руководитель отдела информационной безопасности.
В рамках семинара г-н Буй Дык Труонг, руководитель отдела информационной безопасности компании MISA, представил модель SecDevOps и поделился своим опытом применения SecDevOps к продуктам, помогая организациям повышать осведомленность об информационной безопасности.
Согласно индексу Common Vulnerabilities and Exposures (CVE) от Paloalto Network за период с ноября 2022 года по январь 2023 года, уязвимости в приложениях часто возникают из-за небезопасного программирования. Поэтому организациям необходимо интегрировать безопасность во весь процесс разработки программного обеспечения. В частности, применение модели SecDevOps к разработке программного обеспечения может ускорить процесс и снизить количество уязвимостей в исходном коде на 40-50%, как утверждает Джеймс Рутт, директор по информационным технологиям компании Insight.
SecDevOps — это модель разработки, которая объединяет безопасность, разработку и эксплуатацию, подобно DevSecOps. Однако ключевое отличие заключается в том, что SecDevOps ставит безопасность во главу угла в мышлении каждого человека и на каждом этапе процесса разработки программного обеспечения. Кроме того, эта модель подчеркивает принцип «Единой команды» и культуру работы, способствуя тесному сотрудничеству для обеспечения того, чтобы безопасность оставалась приоритетом на протяжении всего процесса.
Для эффективного внедрения модели SecDevOps организациям необходимо строго придерживаться трех ключевых элементов: люди, процессы и технологии. Что касается людей, организациям необходимо повышать квалификацию своих команд информационной безопасности, интегрировать команду безопасности с командой DevOps и обеспечивать обучение безопасному программированию и развертыванию. Что касается процессов, организации могут применять модель жизненного цикла безопасной разработки программного обеспечения (SSDLC) для разработки безопасного программного обеспечения. Что касается технологий, организации могут использовать следующие методы и инструменты безопасности для обнаружения и устранения уязвимостей: статический анализ (SAST); динамический анализ (DAST); интерактивный анализ (IAST); и анализ композиции программного обеспечения (SCA).
По словам г-на Труонга, программисты должны быть обучены основам информационной безопасности и безопасному программированию, чтобы предотвратить появление уязвимостей на более поздних этапах процесса разработки программного обеспечения.
Компания MISA, являясь ведущей компанией во Вьетнаме в сфере программного обеспечения как услуги (SAS) и инициатором альянса CYSEEX, стремится к сотрудничеству с организациями во внедрении передовых решений в области безопасности для защиты данных и информационных систем от кибератак.
Источник: https://www.misa.vn/149771/ung-dung-mo-hinh-secdevops-giai-phap-an-toan-thong-tin-cho-cac-to-chuc/
Комментарий (0)