Портал электронных торгов «Фабрикант» автоматизировал приемку кода c помощью PT Application Inspector

Электронная торговая площадка «Фабрикант» создала систему защиты своих приложений на базе технологий Positive Technologies ― PT Application Inspector и PT Application Firewall. Внедрение анализатора исходного кода PT Application Inspector в процесс непрерывной интеграции (Continuous Integration, CI) позволило выстроить регулярный процесс приемки кода и безопасной разработки, а связка анализатора с межсетевым экраном уровня веб-приложений — обеспечить защиту от эксплуатации обнаруженных уязвимостей на время их исправления.

На торговой площадке производят электронные закупки крупнейшие российские и зарубежные компании. У «Фабриканта» собственная команда разработчиков, в задачи которой входит улучшение сервиса и добавление новой функциональности. Специалисты по информационной безопасности регулярно проводили ручной анализ защищенности веб-приложения. Однако при таком подходе результаты быстро теряли актуальность из-за регулярных обновлений портала. В связи с этим появилась необходимость максимально автоматизировать проверку кода и внедрить ее в процесс разработки ПО.

«Доступность и безопасность площадки, которую ежедневно посещают тысячи людей, является для нас приоритетом. Злоумышленники постоянно совершенствуют свои методы, поэтому мы искали такие инструменты, которые не только помогут нам оперативно анализировать исходный код приложения, но и обеспечат защиту от атак на время исправления ошибок, — рассказывает Илья Мальцев, руководитель отдела информационной безопасности торгового портала "Фабрикант". — Интеграция PT Application Inspector и PT Application Firewall в production-окружение позволила нам минимизировать влияние процессов ИБ на скорость разработки новой функциональности и обеспечить защиту портала от современных киберугроз».

PT Application Inspector сочетает методы статического (SAST), динамического (DAST) и интерактивного (IAST) анализа, что значительно снижает количество ложных срабатываний. Это дает возможность специалистам по безопасности и команде разработки работать только с актуальными угрозами. Для проверки найденных уязвимостей PT Application Inspector формирует тестовые запросы, которые помогают подтвердить возможность эксплуатации этих уязвимостей злоумышленником, а также определить условия выполнения атаки. 

Площадка «Фабрикант» построена на базе микросервисной архитектуры, состоящей из более чем 100 независимых внутренних сервисов. Учитывая столь большое число регулярно обновляемых сервисов, для автоматизации процесса тестирования исходного кода PT Application Inspector был внедрен в сам процесс сборки приложений путем объединения с системой непрерывной интеграции. Это позволило максимально упростить поиск уязвимостей и сократить время на их верификацию, исправление или патчинг, что в конечном итоге ускорило процесс разработки и развертывания приложений. Кроме того, интеграция PT Application Inspector с межсетевым экраном уровня веб-приложений PT Application Firewall обеспечивает защиту приложений на то время, пока разработчики устраняют уязвимости в коде. 

«Электронные торговые площадки привлекают не только участников торгов, но и киберпреступников — наибольшее распространение получили атаки с использованием уязвимостей веб-приложений. Как показывают наши ежегодные исследования, практически все приложения содержат уязвимости разной степени критичности. По данным за 2016 год, в 94% случаев они позволяли атаковать пользователей приложений, в 20% случаев — получить доступ к базам данных. При успешной атаке злоумышленники могут получить полный контроль над приложением и его исходным кодом, а также доступ к персональным данным и другой конфиденциальной информации, — комментирует Александр Прошкин, ведущий менеджер по работе с ключевыми клиентами компании Positive Technologies. Связка решений PT Application Inspector и PT Application Firewall помогла электронной торговой площадке "Фабрикант", не нарушая процессов разработки, соответствовать требованиям по информационной безопасности, быть устойчивой к кибератакам и гарантировать сохранность данных».

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Интернет, Интеграция, ПО, Финансы, Web

наверх
 
 
     
Оставить комментарий
Имя:
E-mail:
Комментарий (не более 2000 знаков):



ИЛИ
     
 

MSKIT.RU: последние новости Москвы и Центра

21.09.2018 Рынок ПК ждет оживление

11.09.2018 Мобильные приложения СЭД: шаг к унификации

10.09.2018 Будущее медицины: бионанороботы, Big Data и СЭД

06.09.2018 Налоги и таможню ждет цифровое будущее

05.09.2018 Временная неудача VR

05.09.2018 Как MaaS изменит города

29.08.2018 Локомотив для цифровизации

28.08.2018 Неограниченный август. Сотовый рынок возвращается к безлимиту

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга