Главная

Отдаете разработку на аутсорс? Можете проиграть в безопасности

Хорошие новости: осведомленность о проблемах безопасности кода растет как в бизнес-среде, так и среди разработчиков. Плохие новости: при разработке приложений проверке кода на уязвимость по-прежнему уделяется мало внимания. 

Сейчас 68% разработчиков считают, что писать безопасный код – это их ответственность, но при этом более половины всех представителей профессии могут быть к этому не готовы, а 44% разработчиков признаются, что не оценивают код с точки зрения его безопасности. 

Руководитель направления развития бизнеса и безопасности приложений компании Positive Technologies Антон Александров объясняет, как заставить подрядчика писать безопасный код.

Почему важно требовать «безопасный код» от подрядчика

По статистике, большинство сайтов уязвимы из-за ошибок в коде. А ведь это едва ли не самый востребованный в наше время источник информации: сложно представить компанию, у которой не было бы веб-приложения. При этом разработка сайтов и мобильных приложений часто отдается компаниями на аутсорс, а заказчик принимает лишь конечный результат. 

Если вы следите за безопасностью, принимая приложение от подрядчика, то должны выяснить следующее: 

  • насколько приложение уязвимо, 
  • будут ли защищены данные, стоящие за этим приложением, 
  • можно ли его вообще выпускать в продакшн?

Готовы ли разработчики писать безопасно?

Разработчиков, которые понимают, как правильно проверять код на наличие уязвимостей, пока меньшинство. К примеру, согласно опросам, SAST- и DAST-анализ (речь о которых пойдет ниже) проводят только 35 и 22 процента компаний-разработчиков соответственно. Большинство же предпочитают обходиться минимальными средствами анализа кода, в которых не всегда есть место для проверки на безопасность.

Решить эту проблему можно, проверив полученное от подрядчика приложение на наличие уязвимостей и далее отдав на доработку. Это потребует времени и денег сверх плана: по данным специалистов, устранить ошибку в готовой системе будет в 30-60 раз дороже, чем на этапе проектирования.