Главная / О компании / Наше мнение

Наше мнение

«Проветрите эту лицензию»: абсурдные, но занимательные тексты лицензий на свободные программные решения
«Проветрите эту лицензию»: абсурдные, но занимательные тексты лицензий на свободные программные решения
Действительно, лицензии бывают разные. По состоянию на сегодня, команда CodeScoring насчитала более 2000 открытых лицензий. Не все они одинаково полезны, да и не все они действительно открытые, если быть честным. К примеру, OSI (Open Source Initiative) не признает тексты лицензий содержащие экспортные ограничения, по причине установления территориальных правил распространения. Более сотни лицензий подчиняются экспортному контролю США и сегодня на это нужно обращать особенное внимание. a6d5a35d25a9592af58a6e41dd032-fit-265x265-0.jpg
 
Что касается «веселых» лицензий, важно напомнить про понятие лицензионной совместимости, которая может здесь сработать не на руку и добавить проблем для последующего использования компонента. Лицензии разных типов, бывают несовместимы с точки зрения предъявляемых требований. К примеру, компонент с лицензией Apache 2.0 не может использовать компонент с лицензией LGPL {2,2.1,3} и иные. Поэтому важно следить и за транзитивными компонентами, которые могут привнести что угодно в ваше ПО.
 
Кроме того, важно помнить, что лицензии устанавливаются авторами сторонних пакетов как в момент выпуска самой первой версии, так и могут быть изменены с выпуском новой. По нашей статистике, 2% пакетов меняют лицензию с течением своей жизни — об этом я рассказывал на докладе «Занимательные лицензии» на DUMP в прошлом году. Помощь в контроле большого объема сторонних компонентов в промышленных масштабах осуществляют инструменты класса SCA (композиционный анализ ПО), примером такого является открытое решение Dependency Track или наш продукт.
 
А приведенный список лицензий в статье хотелось бы дополнить ещё одной полезной ссылкой, где каждый сможет найти для себя своё.
 
0
1446
Несанкционированный доступ к ИТ-системам компании — это потенциальный риск, который может привести к остановке бизнес-процессов, финансовым и репутационным потерям
Несанкционированный доступ к ИТ-системам компании — это потенциальный риск, который может привести к остановке бизнес-процессов, финансовым и репутационным потерям
Отсутствие у компаний инструментов для обеспечения безопасного и контролируемого доступа привилегированных пользователей приводит к несанкционированному проникновению злоумышленников в ИТ-инфраструктуру. Злоумышленниками могут быть как хакеры, целенаправленно работающие над Базелюк Игорь_фото получением административного доступа к ИТ-системам, так и бывшие или действующие сотрудники, а также внешние подрядчики. Последствия их несанкционированных действий могут быть самыми разными: от незначительных инцидентов до полномасштабных кибератак, приводящих к компрометации или потере критичной информации, выводу из строя ИТ-инфраструктуры, остановке бизнес-процессов, а в некоторых случаях - и к полной потере бизнеса. Этот риск, растущий с каждым годом, должны учитывать не только крупные компании, но и компании малого и среднего бизнеса.
Российская компания Web Сontrol является разработчиком системы sPACE — простого и удобного в работе инструмента для обеспечения безопасного и контролируемого технологического доступа к ИТ-системам компании. Решение относится к классу PAM систем (Privileged Access Management) и позволяет защитить бизнес от кибератак с использованием скомпрометированных привилегированных учетных данных. Как работает система и каковы её особенности, рассказал Игорь Базелюк, операционный директор Web Control.
 
0
1540
Слитый пароль трехлетней давности открыл доступ к военным секретам Польши
Слитый пароль трехлетней давности открыл доступ к военным секретам Польши
Ситуацию прокомментировал операционный директор Web Control Игорь Базелюк:
 
Пересылка привилегированных учетных данных, содержащих ключи доступа, через Базелюк Игорь_фото электронную почту — это один из наиболее часто встречающихся примеров того, как не должно быть.
 
Знание пользователями привилегированных учетных данных всегда будет нести риск неправильного использования или компрометации привилегий вследствие их неправильного хранения и использования. Инцидент с ESRI показывает, что это может случиться даже в организациям, имеющих отношение к государственной тайне.
 
Такой инцидент был бы просто невозможен при наличии PAM-системы, основная задача которой — безопасное хранение привилегий и обеспечение их жизненного цикла (включая регулярную ротацию). При этом пользователи не знают привилегированные учетные данные: при запуске сеансов работы с целевыми системами PAM подставляет необходимые привилегии и обеспечивает их недоступность в явном виде на всех этапах работы.
 
Использование PAM позволяет полностью исключить компрометацию привилегированных учетных данных вследствие непреднамеренных (социальная инженерия, заражение рабочих станций троянами и т.д.) или халатных действий пользователей.
 
0
1551
Discord уведомляет пользователей об утечке данных, которая произошла после взлома учетной записи стороннего агента поддержки, передает Securitylab.
Discord уведомляет пользователей об утечке данных, которая произошла после взлома учетной записи стороннего агента поддержки, передает Securitylab.
Ситуацию прокомментировал операционный директор Web Control Игорь Базелюк:
 
Discord  уведомил своих пользователей об утечке данных, которая произошла после взлома учетной записи стороннего агента поддержки. После компрометации этой учетки  Базелюк Игорь_фото злоумышленники получили доступ к системе в которой хранятся:
  • адреса электронной почты пользователей;
  • сообщения и запросы, которыми пользователи обменивались со службой поддержки Discord;
  • вложения, отправленные как часть запросов.
Имеющаяся информация не позволяет судить о глубине проникновения злоумышленников и неозвученных последствиях кибератаки, однако факт несанкционированного доступа к ИТ-системам с чувствительной информацией, а тем более содержащих клиентские данные, несет для компании существенные риски и подрывает доверие пользователей. Данная проблема наиболее актуальна в случае предоставления доступа к ИТ-инфраструктре внешним подрядчикам.
 
Такие риски можно минимизировать посредством использования PAM системная этого у них есть ряд возможностей:
  • Хранение привилегированных учетных данных в PAM-системе и их незнание привилегированными пользователями позволяет защитить доступ к управлению ИТ-системами с нескомпрометированными привилегиями
  • Персонифицированный доступ с использованием совместной учетной записи (разделяемые привилегированные учетные данные) позволяет определить источник атаки
  • Запись сессий привилегированного доступа (запись сеансов, фиксация логов нажатия клавиатуры и мыши) позволяет быстро разобраться в несанкционированных действиях и устранить последствия инцидента
  • Контроль вводимых команд позволяет оперативно контролировать неправомерные действия пользователей
sPACE PAM предоставляет дополнительные возможности, которые снижают риски и последствия несанкционированного доступа:
  • Доступ пользователям предоставляется с использованием принципа «минимальных привилегий». Это означает отсутствие у пользователя избыточных прав и предоставление только тех прав, которые необходимы для решения конкретной задачи
  • Привилегии пользователям предоставляются только для тех ИТ-ресурсов, доступ к которым согласован. Это позволяет минимизировать поверхность атаки и сократить перечень доступных целевых систем
  • Предоставляется не прямой доступ к целевым системам а доступ к RemoteApp сессии, запускаемой в защищенной среде. Это позволяет защитить целевые системы от возможных вредоносных программ, имеющихся на рабочей станции пользователя
0
1570
Практика внедрения решений класса PAM и тренды их развития. Круглый стол
В каком направлении будет развиваться функциональность систем класса PAM? Какие возможности будут востребованы через 2–3 года?
 
Андрей Акинин, Web Control: 685876
По моему мнению, PAM обязаны следовать тенденциям развития ИТ-систем, безопасность управления которыми они обеспечивают. Можно выделить три значимых направления. Во-первых, ИТсистемы становятся все более распределенными и многокомпонентными, набирает все большую популярность использование программных контейнеров и микросервисной архитектуры, поэтому очевиден рост сегмента PAM для межмашинного (не интерактивного) взаимодействия. Второй тенденцией является перенос информационных систем на платформу Linux, следовательно, уже сейчас востребована поддержка управления жизненным циклом привилегий и привилегированным доступом для Linux-систем. Я думаю, что в ближайшие пару лет этот функционал станет обязательным для любой PAMсистемы. Третье направление связано с непрерывным ростом количества элементов ИТ-инфраструктуры, от которых зависит не только успех, но и само существование компании. Это приведет к развитию средств автоматизации.
 
0
1564
Хакеры взломали домашний ПК сотрудника LastPass и проникли в облачное хранилище компании
Ситуацию прокомментировал операционный директор Web Control Игорь Базелюк:
 
Инцидент с LastPass показывает, что риск компрометации и несанкционированного использования привилегированных учетных записей есть в любой компании. Результатом таких инцидентов являются кибератаки, приводящие к остановке ИТ-систем, компрометации или потере данных. Базелюк Игорь_фото
 
В случае с LastPass к компрометации привилегированных учетных записей и последовавшими за этим кибератаками привели следующие причины: 
  • предоставление избыточных привилегий привилегированным пользователям и неограниченный по времени доступ;
  • нарушение политик ротации паролей привилегированных учетных записей;
  • отсутствие запрета на ввод команд запрещенных для выполняемых задач.
Указанные причины значительно расширяют поверхность возможных кибератак и повышают их вероятность. Когда такие кибератаки произойдут это вопрос лишь времени.
 
Предотвратить эти риски можно стандартными средствами РАМ-систем обеспечивающих принцип нулевых или минимальных привилегий и позволяющих предоставлять гранулированный доступ пользователям, для решения конкретных задач в целевой системе в конкретный период времени. Повысить безопасность работы пользователей с целевыми системами позволит РАМ, который будет предоставлять возможность запуска доверенных инструментов администрирования в защищенной среде непроницаемой для вредоносных программ.
0
1588
ИБ выросла на фоне замещения
Генеральный директор Web Control Андрей Акинин видит главным вызовом сменуcr6_5089_kopiya.png платформы MS Windows с встроенными механизмами защиты информации на Linux с необходимостью выстраивать платформы обеспечения безопасности заново. И это касается не только средств защиты информации, но и средств обеспечения безопасной разработки. Причем, как обратил внимание Павел Коростелев, эту задачу не приходилось пока решать еще никому в мире.
 
У нас освободились огромные продуктовые ниши, и не все они заполнены российскими  решениями. В некоторых нишах отечественных продуктов попросту нет, поэтому в следующем году рост будет, но нужно понимать, что российский потребитель требователен и вендоры, решения которых отвечают реальным потребностям заказчика, получат больший кусок", - такими видит предпосылки для дальнейшего роста рынка Андрей Акинин.
 
0
1557
Open Source – в гражданский оборот
С 1 ноября в России стартовал эксперимент по предоставлению права использования программ на условиях открытой лицензии и созданию условий для применения открытого ПО (Open Source). Ранее правительство РФ приняло соответствующее постановление. Документ, в a6d5a35d25a9592af58a6e41dd032-fit-265x265-0 частности, предусматривает создание национального репозитория ПО с открытым кодом и размещение в нем софта, созданного в том числе за бюджетные средства, для переиспользования в других проектах. RSpectr собрал мнения представителей IT-отрасли об эксперименте и о том, как привлечь команды разработчиков в российский репозиторий.
 
Основатель компании CodeScoring Алексей Смирнов в разговоре с RSpectr также высказал свои опасения: «В противном случае нас ждет мина замедленного действия, когда все наоткрывают свои наработки, а потом аналитики безопасности найдут в них множественные уязвимости, которые придется исправлять довольно срочным темпом, пока под атаку не встали государственные системы, разработанные с применением таких решений».
 
В рамках эксперимента IT-бизнес должен не только воспринять культуру разработки и переиспользования сторонних компонентов, но и должна быть продемонстрирована способность создавать качественные и безопасные открытые компоненты, добавил эксперт.
 
0
1637
DevSecOps стремится к полному циклу
Рос­сий­ские раз­ра­бот­чи­ки в бли­жай­шей пер­спек­ти­ве пред­ло­жат рын­ку пол­но­цен­ную эко­сис­те­му про­дук­тов DevSecOps. Она при­дет на сме­ну от­дель­ным про­дук­там, ко­торые ре­шают час­тные за­дачи бе­зопас­ной раз­ра­бот­ки. a6d5a35d25a9592af58a6e41dd032-fit-265x265-0
 
По прогнозам ООО "Свордфиш Секьюрити", проникновение технологий DevSecOps по итогам текущего года должно составить около 30%. По данным опроса, проведенного АО "Позитив Текнолоджиз" в сентябре 2021 г., уже тогда 36% принявших в нем участие заявили об  использовании этих инструментов. По данным исследования Центра стратегических разработок, общий объем рынка средств защиты приложений, куда входят инструменты DevSecOps, составил по итогам 2021 г. 11 млрд руб. По прогнозам, к 2026 г. объем данного технологического сегмента вырастет до 49 млрд руб., среднегодовые темпы роста составят 34%.
Основатель ООО "Профископ" (CodeScoring) Алексей Смирнов назвал самой сложной фазой проекта внедрения DevSecOps его начало. Поэтому, по его мнению, для развития рынка необходимо выстроить обмен лучшими практиками. Именно это и формирует рынок.
За текущий год рынок DevSecOps в России существенно перестроился. Это связано с уходом зарубежных вендоров, которые доминировали на нем. Так, из пяти вендоров, которые, по данным исследования Центра стратегических разработок, занимали ведущую роль в технологическом сегменте защиты приложений, куда входят средства DevSecOps и инструменты защиты от DDoS-атак, три - IBM, MicroFocus и F5 были международными компаниями. Другим вызовом стал отток кадров, однако, по мнению Евгения Тодышева, данная проблема сильно преувеличена.
 
0
1625
Российская открытая лицензия получила воплощение
В России начинается эксперимент по созданию национального репозитория открытого кода. При этом постановление правительства, согласно которому данный эксперимент проводится, содержит текст a6d5a35d25a9592af58a6e41dd032-fit-265x265-0 российской открытой лицензии, на условиях которой программное обеспечение будут публиковать государственные органы и корпорации. И в целом одной из задач данного эксперимента является формирование нормативной базы.
 
Вместе с тем, как напоминает генеральный директор АО "ИВК" Григорий Сизоненко, есть прецедент, когда так называемая оберточная лицензия одобрена юристами Free Software Foundation с одной стороны и российскими Минэкономразвития и Минцифры, причем в довольно короткие сроки, - с другой. Суть оберточной лицензии состоит в том, что дистрибутив Alt - это не программа, а сборник, который содержит большое количество компонентов под разными лицензиями, описано, какие именно права на использование и модификацию каждого конкретного компонента предоставлены пользователю, оговариваются условия использования дистрибутива в целом.
 
"Получившаяся открытая лицензия не совсем про свободное программное обеспечение (СПО), а скорее именно про открытое. Поэтому куда важнее будет признание организацией Open Source Initiative (OSI) и включение в общепризнанный перечень лицензий. В первом рассмотрении ГОЛ является совместимой с большей частью лицензий, относящихся к Разрешительной (Permissive) и Копилефтной (Copyleft) группам. Но это поверхностный и ручной анализ. Российскому сообществу сейчас нужна простая таблица по совместимости ГОЛ с основными open-source-лицензиями, такими как Apache 2.0, MIT, MPL 2.0 и др., составленная авторами самой лицензии. Если говорить о проведении полноценной работы по лицензиям, то мы у себя в Лаборатории CodeScoring насчитываем почти 2000 типов открытых лицензий и понимаем, что провести проверку на лицензионную совместимость с ними всеми - это большая работа, которую еще предстоит провести", - предупреждает Алексей Смирнов.
 
0
1608
DevSecOps: как российским компаниям выстроить процессы безопасной разработки
DevSecOps: как российским компаниям выстроить процессы безопасной разработки
Развитие DevSecOps – один из главных трендов в современной ИТ-разработке. Понятие объединяет подходы, инструменты и технологии, позволяющие с первых дней работы над продуктом защитить его от взлома и утечек данных. Журналист портала Cyber Media обсудил с экспертами рынка, как выстраивается DevSecOps и что нужно для быстрого получения результатов.
 
Cyber Media: Как выглядит дорожная карта внедрения DevSecOps?
 
Алексей Смирнов, CodeScoring
 
При правильно выстроенных процессах разработки, добавление звена Sec не должно a6d5a35d25a9592af58a6e41dd032-fit-265x265-0 вызывать критичных проблем, а начать можно с защиты от уязвимостей артефактов, попадающих в контур разработки, в частности, применив SCA-firewall. Далее, можно погружаться в анализ всего исходного кода и обеспечения безопасности сборок целиком.
 
Период раскачки, конечно же, есть, но он разный для разных инструментов, все инструменты на разной глубине погружения в процессы анализа дают требуемые результаты, а самый быстрый бизнес-эффект дает SCA (software composition analysis) для анализа open source.
 
Причины самые банальные – компоненты с открытым кодом составляют подавляющее большинство в программных проектах, уязвимости в них публично известны, а «мамкины хакеры» и боты в первую очередь атакуют по известным уязвимостям, для которых существуют эксплойты и инструкции по эксплуатации в открытом доступе.
 
В целом, грамотно выстроить DevSecOps безусловно трудно, синхронизировать все процессы, отладить политики и инструменты, но главное – сформировать команду и культуру.
 
0
4471
Выгодное приложение: разработчиков ждут льготы в российских магазинах ПО
Выгодное приложение: разработчиков ждут льготы в российских магазинах ПО
Опрошенные «Известиями» специалисты полагают, что отечественным магазинам приложений понадобится некоторое время для привлечения разработчиков.
 
Как заметила эксперт компании Web Control Дарья Орешкина, пока непонятно, как в нынешней ситуацииd.-oreshkina-jorg-953-362x360.png  оценивать успех магазина приложений: по количеству программ, по качеству представленных наиболее популярных продуктов или как-то еще. По ее мнению, в первую очередь стоит сосредоточиться на важных и популярных типах софта и именно в этом сегменте представить наилучшие предложения.
 
— Не так много времени нужно, чтобы успеть создать нечто новое и современное в области программного обеспечения, нужно только всерьез за это взяться, — подчеркнула Дарья Орешкина.
 
 
0
1987
Сквозные технологии реанимируют
Сквозные технологии реанимируют
Пра­витель­ство по­ручи­ло Мин­цифры к 1 июня 2022 г. раз­ра­ботать но­вый под­ход к "сквоз­ным тех­но­логиям". 
 
Эксперт по решениям контроля и управления привилегированным доступом компании Web Control Николай Валаев считает, что срок до 1 июня - недостаточен, чтобы приспособить существующие наработки к сегодняшним реалиям жесткого противостояния. "Если говорить вообще об этих направлениях - очень важно их развивать и обязательно с государственным участием и под государственным контролем, с привлечением в том числе академических институтов и независимых исследовательских организаций. При этом надо внимательно смотреть на опыт американских иВалаев Николай китайских товарищей как с организационной, так и с технологической точки зрения, дабы не повторить разорительную военно-космическую гонку последних лет Советского Союза, когда, считай, вся страна работала на программу "Буран". Просто финансированием такие задачи решить не получится. Невозможно на пустом месте построить работающие технологии, просто потратив денег. Также было бы ошибкой конкурировать технологиями с оставшимся миром. Мы с нашим работоспособным населением чуть более 70 млн человек просто не вытянем такую гонку. Поэтому нужно, несмотря на попытки изолировать нашу страну, развивать горизонтальные связи в наукоемких направлениях, не стесняться и, подобно нашим партнерам, организовывать "переток мозгов" в нашем направлении, оперативным способом заимствовать наработки, не считаясь с авторскими правами", - уверен Николай Валаев.
 
0
1984
Сливы общества: IT-компании заявили об утечке данных бизнес-школы «Сколково»
Сливы общества: IT-компании заявили об утечке данных бизнес-школы «Сколково»
В Сети появилась база данных студентов и сотрудников бизнес-школы «Сколково», сообщили «Известиям» в компании DLBI. По словам специалистов, речь идет о 420 тыс. уникальных записей. Об утечке также знают в компаниях T.Hunter и InfoSecurity a Softline Company. В базе содержатся ФИО обучающихся, номера телефонов, места работы и должности, а также хешированные пароли для входа вВалаев Николай систему, сообщили специалисты. При этом лишь 93 записи содержат сведения о сотрудниках школы. По словам экспертов, средствам россиян ничего не грозит, но злоумышленники могут использовать сведения для обмана граждан и фишинга.
 
До 90% взломов происходит при использовании учетных записей администраторов или других сотрудников с привилегиями. Поэтому стоит обращать особое внимание на сложность и на частоту смены паролей, предупредил эксперт по решениям контроля и управления привилегированным доступом компании Web Control Николай Валаев.
 
0
2001
Защити себя сам: бизнесу придётся увеличить траты на безопасность
Защити себя сам: бизнесу придётся увеличить траты на безопасность
Российский бизнес, потеряв доступ к иностранному софту, вынужден пересматривать подход кd.-oreshkina-jorg-953-362x360.png информационной безопасности.
 
Тем не менее многие эксперты настроены достаточно оптимистично. 
 
Директор по развитию бизнеса Web Control Дарья Орешкина согласна, что потенциал для создания успешных систем ИБ у российских компаний есть. Но предупреждает, что вопрос стоит не о нескольких десятках средств защиты, а о гораздо больших объёмах и о коротких сроках выпуска. Смогут ли отечественные разработчики с этим справиться, мы скоро увидим.
 
0
1977
Отечественный софт стонет под окнами
Отечественный софт стонет под окнами
Три чет­верти рос­сий­ских прог­рам­мных про­дук­тов из Реес­тра оте­чес­твен­но­го ПО до сих пор ра­ботают толь­ко под опе­рацион­ной сис­те­мой (ОС) Windows. При этом из-за ухо­да с рос­сий­ско­го рын­ка клю­чевых за­рубеж­ных ИТ-вен­до­ров спрос на ин­тегра­цию рос­сий­ско­го ПО с оте­чес­твен­ны­ми ОС рез­ко вы­рос.
 
Эксперт по решениям контроля и управления привилегированным доступом компании Web Control Валаев Николай Николай Валаев сообщил, что в карте развития продукта компании уже стояли меры по получению технологической независимости от импортного программного обеспечения. "Наша система организации и контроля привилегированного доступа к критическим активам является одним из ключевых инструментов администрирования. Оснастка и инструменты администраторов должны соответствовать экосистеме ландшафта заказчика и быть в том числе совместимыми с технологиями также и Windows. Однако после массированного ухода иностранных вендоров приоритет по уходу от ОС Microsoft был поднят до высшего, и зависимость от технологий Microsoft мы надеемся преодолеть в ближайшее время", - заявил он.
 
0
1983
Новая ИБ-реальность
Новая ИБ-реальность
Какие изменения претерпела отрасль ИБ из-за ухода зарубежных игроков: нарушения цепочек поставок и прочие проблемы?
 
Орешкина Дарья, Директор по развитию бизнеса, Web Control:
 
d.-oreshkina-jorg-953-362x360.png «С уходом зарубежных вендоров, их решения перестали стоять на страже безопасности российских компаний. Какое-то ПО уже есть на замену на рынке, но многое заказчики предпочитают писать самостоятельно или делать на заказ. И тут возникает дилемма – с одной стороны, не хочется опять зависеть от сторонних производителей, в том числе открытого кода, с другой стороны, хочется сократить издержки и ускорить релиз, использовать уже готовый открытый код, но с большой осторожностью. Мы сейчас наблюдаем высокую активность, связанную с построением DevSecOps в компаниях, в том числе для разработки собственных безопасных решений для информационной безопасности».
 
0
1976
Код в доступе: на российских заводах массово игнорируют кибербезопасность
Код в доступе: на российских заводах массово игнорируют кибербезопасность
Около 78% российских промышленных и топливно-энергетических компаний не уделяют должного внимания установке надежных паролей в своих компьютерных сетях, в том числе отвечающих непосредственно за производство. Такие данные «Известиям» предоставили в компании Positive Technologies по итогам мониторинга систем компьютерной безопасности на ведущих промышленных предприятиях страны.
 
Валаев Николай
Можно скрывать пароли доступа целевых устройств от администраторов. Для этого существует класс решений контроля привилегированного доступа — PAM (Privilege Access Management). Он берет на себя соблюдение политики безопасности — генерирует сложные уникальные пароли, меняет их, хранит, не показывая пользователю, резюмировал эксперт по решениям контроля и управления привилегированным доступом компании Web Control Николай Валаев.
 
0
2040
Продуктоцентричный
Продуктоцентричный
КАКИЕ IT-РЕШЕНИЯ БУДУТ НАИБОЛЕЕ ВОСТРЕБОВАННЫМИ В 2022 ГОДУ?
685876 Андрей Акинин, основатель и генеральный директор Web Control:
 
Следующие пару лет пройдут под флагом Agile-трансформации, перехода от стихийного Agile к профессиональному, перехода от цифрового бизнеса к Business Agility, распространения гибких динамичных подходов современной разработки на весь бизнес.
 
У каждого свой путь: кто-то будет пытаться это делать, как раньше, используя простейшие инструменты (таблицы, online-доски, планировщики задач), кто-то будет автоматизировать отдельные направления разработки (Jira с плагинами, Agile planning, инструменты DevOps), а кто-то автоматизировать весь процесс создания продукта от идеи до развертывания и поддержки, используя инструменты сквозного управления разработкой — VSM, Value Stream Management. Все зависит от зрелости IT и смелости команд.
 
0
2092
Проактивный поиск уязвимостей в исходном коде
Дарья Орешкина, директор по развитию бизнеса компании Web Control
 
Написать приложение, которое будет работать в момент сдачи релиза, и наладить d.-oreshkina-jorg-953-362x360.png производство программного обеспечения, которое будет надежно эксплуатироваться в запланированные сроки, – две существенно разные задачи. Повышение качества кода и всевозможные его проверки требуют финансовых ресурсов, затрат времени, наличия компетенций, а также налаженного взаимодействия между командами разработки, информационной безопасности, юристами и, конечно, бизнесом.
 
Не получится навязать разработчикам неудобный инструмент, он быстро окажется на свалке, несмотря на свою важность для задач других заинтересованных подразделений. Если же новый инструмент будет помогать достигать ключевых показателей производства продукта, то разработчики станут союзниками.
Безопасники заинтересованы в том, чтобы инструменты защиты реально использовались и при этом были достаточно точны, чтобы из-за ложных срабатываний не сдвигались сроки релизов.
 
Юристам приходится отслеживать лицензионную чистоту продукта как в части применяемых компонентов Open Source, так и в части внутреннего заимствования кода внутри группы компаний и между различными проектами. Юристам крайне необходима автоматизация ручных операций по отслеживанию лицензионных соглашений компонентов и выявлению случаев неправомерного заимствования исходных кодов.
 
Бизнес-подразделениям, в свою очередь, важно достигать стратегических целей и иметь полную информацию о текущем состоянии разработки для своевременной реакции в условиях быстро меняющейся ситуации. Важно, чтобы внедряемый инструмент помогал каждой вовлеченной в процесс команде достигать своих ключевых показателей, не мешал и не тормозил работу, удобно встраивался в конвейер разработки и автоматизировал рутину.
 
0
1523
Удаленная работа: организационные и технические решения
Андрей Акинин, генеральный директор Web Control, поделился мнением о ситуации в области решений ИБ на фоне пандемии. Сложно сказать, вырос на них спрос или нет, считает он. 685876 Очевидно лишь одно – изменился подход к информационной безопасности. До пандемии удаленная работа считалась нежелательной в связи с ее уязвимостью, и требования информационной безопасности вынуждали всех работать в периметре компании.
 
В новых условиях удаленная работа стала неизбежной, поэтому от ИБ требуется обеспечение ее безопасности. Те, кто в том или ином виде реализовал режим удаленной работы части сотрудников, обеспечили непрерывности бизнеса в этих условиях с наименьшими потерями. Это подтверждают примеры таких компаний как «Мегафон», «Билайн», «Ростелеком», «Ингосстрах», да и многих других. По сути, компании, которые задумывались о обеспечении безопасности бизнес-процессов и защиты рабочих станций, вне зависимости от места работы сотрудников, были вполне подготовлены к такому повороту, - говорит Андрей Акинин.
 
0
1522