Close

Обеспечение безопасности при разработке программного обеспечения в Atlassian


Atlassian обеспечивает безопасность на протяжении всего жизненного цикла разработки, чтобы защитить код, продукты и клиентов. Методы обеспечения безопасности охватывают каждый этап цикла.

  • Разработка ведется при поддержке обучающих программ по безопасности приложений, а также базы знаний, которую регулярно пополняет команда безопасности.
  • Методы на этапе проектирования включают моделирование угроз, оценку проекта, а также реализацию стандартов безопасности из регулярно обновляемой библиотеки. Эти меры обеспечивают соблюдение необходимых требований к безопасности.
  • В ходе разработки проводится обязательная экспертная оценка, которая играет роль проверки безопасности первого уровня. Оценка предполагает автоматический статический анализ (SAST) и ручное тестирование безопасности и выполняется как штатными специалистами, так и сторонними экспертами согласно внутренней процедуре оценки рисков.
  • Оценка формальной готовности к запуску и процессы контроля изменений обеспечивают внедрение только утвержденных изменений. После развертывания регулярно проводится автоматизированное сканирование на предмет уязвимостей, а также используется ведущая в отрасли программа вознаграждения за найденные ошибки, которая обеспечивает непрерывную проверку безопасности наших приложений. Мы постоянно оцениваем состояние безопасности наших продуктов с помощью системы карт оценки.
Джерси

Культура

Вовлечение

Обучение

Стандарты

Планшет со списком

Методы

Контрольные точки

Оценка безопасности

Усиленная безопасность

Внедрение культуры безопасности

Atlassian формирует культуру безопасности, расширяя возможности команд с помощью продуманного обучения.

Обучение в области безопасности для разработчиков

Для обучения мы используем как собственные, так и сторонние материалы, чтобы у наших разработчиков были все нужные знания для создания безопасных приложений. Мы отслеживаем актуальность программы обучения и постоянно обновляем ее с учетом меняющейся картины угроз.

Этап проектирования

Методы на этапе проектирования включают моделирование угроз, оценку проекта, а также реализацию стандартов безопасности из регулярно обновляемой библиотеки.

Моделирование угроз

Моделирование угроз позволяет лучше понять, каковы потенциальные риски проекта в случае возникновения сложноорганизованных угроз безопасности или изменения возможностей, безопасность которых критически важна. Моделирование проводится в форме мозгового штурма среди технических специалистов, инженеров по безопасности, разработчиков архитектуры и менеджеров по продукту. По итогам беседы выявляются значимые угрозы безопасности и определяются их приоритеты. Эти выводы используются на этапе проектирования и позволяют внедрить необходимые методы защиты. Кроме того, они пригодятся для адресных проверок и тестирования на конечных этапах разработки.

Процедура моделирования угроз включает следующее.

  • Подход, основанный на анализе риска, чтобы оценить необходимость моделирования угроз
  • Усложненный процесс моделирования угроз с использованием вспомогательных материалов и инструментов
  • Учебные видеоролики и материалы для чтения в помощь командам разработчиков ПО при моделировании угроз

Этап разработки

Мы применяем ряд процессов и методов для обеспечения безопасности кода на протяжении всего процесса разработки.

Оценка безопасности

Команда по безопасности проводит соответствующую оценку, чтобы обеспечить безопасность всех проектов по разработке ПО для Atlassian. Процедура оценки рисков позволяет расставить приоритеты в областях, требующих контроля, а также определить меры по снижению проектных рисков. В зависимости от установленного уровня риска, контроль может сочетать в себе нижеперечисленные меры.

  • Оценка проекта и моделирование угроз
  • Проверка кода и тестирование безопасности
  • Независимый контроль силами сторонних компетентных исследователей или консультантов

Оценка коллег

В ходе разработки весь код проходит процедуру тестирования под названием Проверка коллегами, зеленая сборка (PRGB). В рамках процедуры старшие или ведущие разработчики оценивают все коммиты, прежде чем отправить их в производственную среду. Кроме того, оценка предполагает автоматический статический анализ (SAST) и ручное тестирование безопасности и выполняется как штатными специалистами, так и сторонними экспертами согласно внутренней процедуре оценки рисков. Разработка ведется в том числе при поддержке обучающих программ по безопасности приложений, а также базы знаний, которую регулярно пополняет команда безопасности.

Разделение сред

Мы соблюдаем логическое и физическое разделение сред на производственную и непроизводственную (т. е. среду разработки) в отношении своих важнейших служб. Для раздела проиндексированных файлов существует логическое разделение (но не физическое). Кроме того, он управляется процессами контроля изменений и доступа на уровне производства.

Кроме того, политики безопасности Atlassian запрещают использование рабочих данных за пределами рабочей среды. Мы следуем правилам по исключению и защите данных с ограниченным доступом, в том числе персональных данных, используя для этого методики обезличивания, хеширования и разметки.

Этап технического обслуживания

Перед отправкой кода в производственную среду мы проводим обязательную оценку его формальной готовности к запуску и процедуру контроля изменений.

После развертывания системы мы регулярно проводим автоматизированное сканирование на предмет уязвимостей. Как описано в разделе методов обеспечения безопасности, мы используем ведущую в отрасли программу вознаграждения за найденные ошибки, в рамках которой проверенная группа исследователей по вопросам безопасности, созданная по принципу краудсорсинга, непрерывно контролирует безопасность наших систем.

Система оценки безопасности

Мы создали автоматическую систему оценки безопасности продуктов, представляющую собой карты оценки. Она обеспечивает мониторинг и проверку состояния безопасности всех продуктов Atlassian. В рамках этой системы используется широкий спектр критериев, таких как текущие уязвимости, доля обученных сотрудников и недавние инциденты безопасности. Они позволяют ежедневно формировать всестороннюю оценку безопасности каждого продукта.

В процессе оценки каждая из команд по продукту может получить объективное представление о том, каким вопросам безопасности следует уделить внимание, а также выявить существующие недостатки и определить действия по их устранению. Кроме того, эта процедура системной оценки позволяет команде по обеспечению безопасности Atlassian без труда отслеживать изменения безопасности продуктов во времени, в частности по мере их масштабирования.