Безопасная разработка — важная составляющая технологического ландшафта любой компании. Особенно актуально это для компаний финансового сектора, требующих повышенного внимания к безопасности финансов и персональных данных своих клиентов. С целью объединения усилий участников финансового и смежных секторов по развитию безопасной разработки и open source решений в 2023 году на площадке Ассоциации ФинТех (АФТ) было создано сообщество FinDevSecOps.

Сегодня на правах одного из основателей сообщества вместе с коллегами из АФТ расскажем вам, как появилось FinDevSecOps, чем оно занимается и чего успело достичь.

2023 год: идея и поиск партнеров

В 2023 году на площадке АФТ состоялось обсуждение проблем применения open source решений и организации безопасной разработки с представителями участников АФТ, в том числе — РСХБ. Оказалось, что компании сталкиваются со схожими вызовами и трудностями, а наработки каждого из них интересны другим участникам рынка. Так появилась идея создания комьюнити, которое бы объединило специалистов в данной области и стало площадкой для обмена опытом и совместной выработки решений. Основными целями формирования сообщества стали: ускорение и упрощение процессов внедрения практик безопасной разработки, повышение уровня защищенности всего жизненного цикла финтех-решений, взаимодействие с регуляторами по вопросам безопасной разработки и внедрения решений на основе открытого кода.

Манифест FinDevSecOps

В ходе формирования и развития сообщества был разработан манифест, подробно описывающий проблематику, миссию и задачи сообщества.

Существующие проблемы при разработке ИТ-решений в компаниях финансового и смежных секторов:

1. Широкое распространение использования open source библиотек со значительным объемом кода, затрудняющим процедуры проверки и верификации данного кода.

2. Неэффективное расходование ресурсов организаций финансового и смежных секторов на проведение разрозненных дублирующих проверок одинаковых open source решений, отсутствие обмена сведениями о результатах этих проверок между организациями.

3. Отсутствие поддержки open source решений, либо поддержка от недоверенной стороны, что приводит к повышению рисков возникновения бэкдоров и уязвимостей.

4. Наличие «серой зоны» в области регулирования использования open source решений в организациях финансовой и смежных отраслей.

5. Высокие требования к скорости выпуска новых версий ИТ-решений, как конкурентное преимущество компании, а также постоянно увеличивающийся объем кода требуют применения новых подходов к проверке и верификации кода, интегрированных в процессы разработки, а также применения нового инструментария для автоматизации данных процедур.

Миссия сообщества FinDevSecOps — достижение синергетического эффекта от объединения усилий сторон, заинтересованных в развитии безопасной разработки ПО и open source решений для финансового и смежных секторов.

Задачи сообщества:

1. Ускорение процессов внедрения и имплементации DevSecOps-практик и open source решений.

2. Повышение уровня защищенности ИТ-решений на всех этапах его жизненного цикла.

3. Донесение позиции финансовой отрасли до регуляторов.

4. Анализ рисков и возможностей применения ИТ-решений на основе открытого исходного кода.

5. Идентификация перспективных ИТ-решений на основе открытого исходного кода.

6. Формирование предложений и рекомендаций по совершенствованию процессов развития и регулирования применения ИТ-решений на основе открытого исходного кода.

7. Формирование предложений и рекомендаций по совершенствованию регулирования процессов безопасной разработки.

8. Проведение совместного тестирования и оценки отдельных технологий и элементов технологического ландшафта с применением ИТ-решений на основе открытого исходного кода.

9. Организация и поддержка совместных проектов участников АФТ по развитию ИТ-решений на основе открытого исходного кода.

Также в манифесте обозначены основные направления деятельности сообщества FinDevSecOps: 

1. Рекомендации по применению практик DevSecOps в финансовой сфере:

   1. Организация процессов безопасной разработки финтех-продуктов: security gates, методология, регулирование;

   2. Мониторинг событий ИБ при эксплуатации финтех-продуктов;

   3. Хранение секретов и конфигураций финтех-продуктов;

   4. Инструменты и платформы DevSecOps.

2. Совместная проверка и разработка сообществом open source решений:

   1. Развитие кода сообществом на доверенной площадке;

   2. Доверенный репозиторий исходных кодов, образов, библиотек, артефактов сборок, а также сведений о результатах тестирования и верификации open source решений.

3. Культура и команды. Обучение сотрудников и распространение компетенций DevSecOps:

   1. Анализ и разъяснение нормативной базы, затрагивающей применение DevSecOps в финансовых организациях;

   2. Обучающие курсы;

   3. Тестирование и анкетирование специалистов.

Митапы сообщества

Встречи членов сообщества проводятся в онлайн- и оффлайн- форматах. На данный момент было проведено два митапа сообщества FinDevSecOps. Первый состоялся в октябре 2023 года, и он же формально стал отправной точкой в истории FinDevSecOps.

На нем обсуждались такие темы, как:

• Организация процессов безопасной разработки финтех-продуктов: регулирование и методология;

• Проверка и анализ решений на базе открытого кода;

• Мониторинг событий ИБ при эксплуатации финтех-продуктов;

• Хранение секретов и конфигураций финтех-продуктов;

• Инструменты и платформы DevSecOps;

• Культура и команды. Обучение сотрудников и распространение компетенций DevSecOps.

Второй митап прошел 25 апреля 2024 года. В этот раз центральными темами стали: взаимное влияние DevSecOps и стратегии развития ИБ финансовой организации, а также кадровый голод в DevSecOps-специалистах. Участники обсудили влияние DevSecOps на стратегию развития ИБ в финансовой организации, новые технологии (ИИ, облака, т.п.) и новые виды угроз ИБ, регулирование DevSecOps, импортозамещение в DevSecOps, роли и компетенции для внедрения DevSecOps-практик.

Кроме того, в рамках митапа прошло два воркшопа:

• Воркшоп «Практика проведения проверок на продуктах ИСП РАН и CodeScoring»;

• Воркшоп «Pre-commit проверки безопасности: плагин в IDE разработчика».

В рамках воркшопов участники могли протестировать применение таких продуктов, как Svace, Natch, Crusher, Sydr-fuzz, PT Application Inspector, самостоятельно запустить проверки и обработать выдаваемые продуктами отчеты.

Итоги и планы

На третьем митапе организаторы подвели итоги деятельности сообщества с момента основания в октябре прошлого года и поделились планами на 2024 год.

Среди планов развития сообщества: организация тематических групп, продолжение работы над новыми нормативными документами по безопасной разработке ИТ-решений в финансовых организациях, планирование практических мероприятий в формате воркшопов и хакатонов.

Собственный репозиторий

На площадке АФТ создан собственный доверенный репозиторий исходных кодов, образов, библиотек, артефактов сборок, а также сведений о результатах тестирования и верификации open source решений. Благодаря этому уже работает:

1. Загрузка исходного кода, артефактов ИТ-решений в GitLab, Yandex Container Registry;

2. Сквозная авторизация для доступа к размещенному исходному коду ИТ-решений в Yandex Managed Service for GitLab;

3. Подпись исходного кода ИТ-решений (генерация хэша, создание подписи по алгоритмам SHA 256, RSA);

4. Проверка исходного кода и артефактов ИТ-решений антивирусом (Касперский), статическим анализатором (Sonar), сканером docker образов сервиса (Yandex Container Registry), анализатором зависимостей (OWASP Dependency Check).

В 2024 году будет реализовано:

1. Совместная работа c исходным кодом ИТ-решений;

2. CI/CD конвейер;

3. Интеграция с внешними репозиториями исходного кода и артефактов ИТ-решений;

4. Анализ уязвимостей ИТ-решений по базе ФСТЭК;

5. Проверка исходного кода, артефактов ИТ-решений по актуальным базам данных уязвимостей и сигнатур;

6. Реализация автоматического сканирования и проверки исходного кода ИТ-решений.