Безопасность продуктов, сервисов и DevOps

Безопасность программных продуктов и ИТ-сервисов

Для обеспечения безопасности разрабатываемых приложений и сервисов, включая SaaS, мы выполняем следующие задачи:

  1. Выявление и уточнение требований безопасности.
  2. Моделирование угроз и анализ рисков.
  3. Разработка архитектуры безопасности ИТ-системы или решения.
  4. Внедрение безопасного кодирования. Помогаем внедрить плагины безопасности DevSkim, JFrog Eclipse, Snyk и другие.
  5. Определение, разработка и внедрение мер и систем безопасности для всех этапов жизненного цикла программного обеспечения или фаз CI/CD. Мы помогаем реализовать анализ состава источников, внедрить хуки безопасности, такие как git-hound, git-secrets и repo-supervisor, а также средства управления секретами.
  6. Проверка безопасности исходного кода автоматически и вручную, включая статическое, динамическое и интерактивное тестирование безопасности приложений (SAST, DAST и IAST), а также самозащиту рабочего приложения (RASP).
  7. Проверка безопасности сборки, передачи, развёртывания, использования и вывода из эксплуатации системы. Мы поможем вам реализовать безопасную инфраструктуру как код (Secure Infrastructure as Code), а также внедрить брандмауэр веб-приложений (WAF), инструменты мониторинга, Chaos engineering и инструменты управления уязвимостями.

По каждой задаче создаётся отдельный набор результатов (документы, записи и другие артефакты).

Безопасность DevOps (DevSecOps)

Если вы особенно обеспокоены качеством и безопасностью релизов и операций вашего программного обеспечения на этапе эксплуатации, вам следует использовать наши сервисы Безопасности DevOps (также называемые DevSecOps), которые обеспечивают гораздо более высокую безопасность, чем редкие тесты на проникновение, и которые можно заказать по ежемесячной подписке:

Шлюз качества и безопасности
Это упрощенный сервис Security DevOps, особенно подходящий, если у вас несколько продуктов. Проверки безопасности могут выполняться, например, для ежемесячных релизов каждого продукта. Чтобы дать нам возможность оценить трудоёмкость этого сервиса, начните с отправки нам информации о технологиях, которые вы используете, и о количестве строк исходного кода.
Расширенный сервис Security DevOps
Этот сервис предназначен для глубокого всестороннего тестирования безопасности и мониторинга ваших продуктов. Особенно, если они сталкиваются с изменениями часто, даже ежедневно. Чтобы дать нам возможность оценить трудоёмкость этого сервиса, начните с отправки нам информации о технологиях, которые вы используете, о количестве строк исходного кода и о количестве еженедельных или ежемесячных изменений. Смотрите также Эксперты как сервис.
Экспресс Центр Безопасности
Услуга SOC (Security Operations Center) включает в себя реализацию и/или сопровождение процессов и средств управления по отслеживанию событий информационной безопасности и реагирования на инциденты. Мы интегрируем сканеры уязвимостей безопасности и исходного кода в вашу инфраструктуру, настраиваем круглосуточное сканирование, мониторинг и процедуры реагирования на инциденты безопасности. По запросу мы настраиваем систему управления информацией и событиями безопасности (Security Information and Event Management, SIEM) для вашей среды. У нас есть положительный опыт быстрого внедрения и эффективных результатов индивидуальных решений, основанных на Syslog-ng, Graylog, Wazuh, OSSEC, ElasticSearch, Logstash и Kibana. Чтобы дать нам возможность оценить трудоёмкость этого сервиса, начните с отправки нам информации об инфраструктуре вашего решения, сервисов, API и службы поддержки. Узнайте больше о сервисе SOC и сервисе внедрения SOC.

Прочитайте также о наших сервисах защиты веб-сайтов.

Чтобы гарантировать наилучшие результаты, H-X строго придерживается международных стандартов, правил и передовых практик. Например, мы применяем стандарты ISO 27034, ISO 15408, NIST 800-64, ISF SoGP, OWASP, BSIMM, жизненный цикл разработки безопасности Microsoft, стандарты безопасности данных платежных приложений и другие.

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа услуг безопасности продуктов, сервисов или DevOps. Получите бесплатную консультацию.

Бизнес-кейсы проектов, выполненых нами

Анализ безопасности исходных кодов программного обеспечения
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)