Как использование IDP-платформы гарантирует соответствие ГОСТам

Автоматизация применения ГОСТов

На текущий момент существует естественная если не трудность, то как минимум большой пласт работы — как подружить идеальную картину, описанную в ГОСТе и реальность, в которой мы все находимся. Под безопасной разработкой мы понимаем историю про то, что разработчик заранее думает, с какими потенциальными атаками может столкнуться его ПО, какие уязвимости есть в используемых библиотеках и компонентах, насколько они безопасны.

Мы в HD Tech разрабатываем большое количество софта, которым пользуемся сами и которое продаем. Естественно, для нас вопрос обеспечения безопасной разработки стоит остро. Мы в своей работе используем IDP-платформу Marlin, которая помогает нам автоматизировать процесс разработки программного обеспечения. По сути мы подключили автомат, который помогает нам большинство этапов разработки закрывать быстрее, качественнее и дешевле. И вот в этих автоматизированных этапах мы используем преднастроенные в соответствии с ГОСТами точки контроля, на которых работают конкретные инструменты и проверяют безопасность разрабатываемой сущности. Если платформа дает зеленый свет, значит у нас все в порядке, можно двигаться дальше. Безусловно, эти точки настраиваются людьми, и можно лишь формально настроить проверку безопасности. Этот момент остается на совести ответственных лиц конкретного бизнеса, мы к производству относимся с большим вниманием.

Еще один момент в пользу платформы, с которым мы столкнулись — при использовании IDP-платформы мы получили одну точку внесения изменений. То есть если раньше при изменении регуляторных требований, внутрикорпоративных правил необходимо было эти изменения прописать в различных документах, внедрить их в производственные процессы и проконтролировать исполнение, то теперь нам нужно внести изменение в одно действие, и все команды автоматически подпадут под обновленные правила.

То есть мы для себя стремимся выстроить методологию, когда использование IDP-платформы гарантирует базовое соответствие наших процессов ГОСТам.

Базис безопасной разработки

При этом наша IDP-платформа не является конкурентом крупным игрокам рынка в части построения безопасного конвейера. Мы скорее стремились создать для себя более простой и в каком-то виде преднастроенный инструмент, который позволяет решать четко обрисованный перечень задач и проблем. И в тот момент, когда мы поймем, что уже выходим за пределы встроенных возможностей IDP-платформы в сегменте безопасной разработки, то уже обратимся к крупным вендорам за масштабным, полновесным решением. То есть мы смогли закрыть базис, а за дополнительными функциями, тюнингом мы конечно же обратимся к специалистам. И встроим его в ту же самую IDP-платформу, где для этого заранее обеспечены штатные гнезда.

В какой момент мы поймем, что нам требуется переход на специальное профильное решение? Когда перешагнем рубеж в 2 000 разработчиков и необходимость поддержки 150 продуктов с еженедельными релизами. Это, на мой взгляд, тот порог, за которым специализированные решения уже необходимы. До этого рубежа мы сможем обходиться возможностями нашей IDP-платформы.

На рынке сегодня отсутствует понимание, чем должна быть IDP-платформа, что она должна уметь. Первое, о чем есть точное понимание — это должен быть конвейер разработки, которые автоматизирует рутину. Мы предлагаем еще один блок — любая IDP-платформа должна обеспечивать безопасность процессов разработки программного обеспечения.

Я считаю, что нам в HD Tech удалось создать сильное решение, и в этом году готовим к выпуску публичной IDP-платформы Marlin Community Edition. Мы предложим бесплатный или совсем недорогой продукт, причем не просто демоверсия, а полноценное решение, которое сможет закрыть существенную часть потребностей разработки и уже в дальнейшем принимать решение, покупать ли большой Marlin. А для компаний с небольшой разработкой эта версия и вовсе будет достаточной навсегда.

Автор: Степан Дудник, технический директор HD Tech.