Close
Хотите открыть эту страницу на своем языке?
Все языки
Выберите язык
Продукты

Избранное

Jira Software

Отслеживание проектов и задач

Confluence

Совместная работа над контентом

Jira Service Management

Высокоскоростное решение для ITSM

Trello

Визуальное управление проектами

Показать все продукты

Marketplace

Подключайте тысячи приложений и интеграций ко всем своим продуктам Atlassian

Close dropdown
Решения

Избранное

Управление работой

Управляйте проектами и согласовывайте цели всех команд для достижения результатов

Управление ИТ-услугами

Помогите своим командам разработчиков и ИТ-специалистов, а также бизнес-командам предоставлять услуги высокого качества на высокой скорости

Agile и DevOps

Создайте организацию по agile-разработке программного обеспечения, являющуюся передовой во всех аспектах, будь то исследование, поставка или эксплуатация

ПО РАЗМЕРУ КОМАНДЫ

Enterprise

Малый бизнес

Startup

Некоммерческие организации

ПО ПРОФИЛЮ КОМАНДЫ

Разработка программного обеспечения

ИТ

Финансовый отдел

Маркетинг

HR

По отрасли

Розничная торговля

Телекоммуникации

Профессиональные сервисы

Правительственные организации

Close dropdown
Ресурсы

Обучение

Atlassian University

Atlassian Playbook

Документация на продукт

Ресурсы для разработчиков

Поддержка

Сообщество Atlassian

Поддержка Atlassian

Программа миграции Atlassian

Сервисы корпоративного уровня

Поддержка партнеров

Покупка и лицензирование

Интегрируйте

О компании

Вакансии

Блог о работе и жизни

События

Close dropdown
Search
Попробовать
Toggle menu
Close search

Обеспечение безопасности при разработке программного обеспечения в Atlassian

Atlassian обеспечивает безопасность на протяжении всего жизненного цикла разработки, чтобы защитить код, продукты и клиентов. Методы обеспечения безопасности охватывают каждый этап цикла.

  • Разработка ведется при поддержке обучающих программ по безопасности приложений, а также базы знаний, которую регулярно пополняет команда безопасности.
  • Методы на этапе проектирования включают моделирование угроз, оценку проекта, а также реализацию стандартов безопасности из регулярно обновляемой библиотеки. Эти меры обеспечивают соблюдение необходимых требований к безопасности.
  • В ходе разработки проводится обязательная экспертная оценка, которая играет роль проверки безопасности первого уровня. Оценка предполагает автоматический статический анализ (SAST) и ручное тестирование безопасности и выполняется как штатными специалистами, так и сторонними экспертами согласно внутренней процедуре оценки рисков.
  • Оценка формальной готовности к запуску и процессы контроля изменений обеспечивают внедрение только утвержденных изменений. После развертывания регулярно проводится автоматизированное сканирование на предмет уязвимостей, а также используется ведущая в отрасли программа вознаграждения за найденные ошибки, которая обеспечивает непрерывную проверку безопасности наших приложений. Мы постоянно оцениваем состояние безопасности наших продуктов с помощью системы карт оценки.
Джерси

Культура

Вовлечение

Обучение

Стандарты

Планшет со списком

Методы

Контрольные точки

Оценка безопасности

Усиленная безопасность

Внедрение культуры безопасности

Atlassian формирует культуру безопасности, расширяя возможности команд с помощью программы «Чемпионы безопасности» и продуманного обучения.

Программа «Чемпионы безопасности»

Во всех командах по продукту и сервисных командах Atlassian работают руководители по безопасности (чемпионы безопасности), которые следят за постоянной реализацией основных инициатив безопасности в коллективе и поддерживают открытый диалог с центральной командой по обеспечению безопасности. Таким образом, в нашей организации безопасность всегда остается в центре внимания.

Чемпионы безопасности регулярно встречаются, чтобы поделиться инструментами и знаниями о последних проблемах и задачах в области безопасности, с которыми они столкнулись, что полезно для всех наших команд. Эта программа позволила еще сильнее укрепить такой важный принцип культуры Atlassian, как безопасность.

Обучение в области безопасности для разработчиков

Для обучения мы используем как собственные, так и сторонние материалы, чтобы у наших разработчиков были все нужные знания для создания безопасных приложений. Мы отслеживаем актуальность программы обучения и постоянно обновляем ее с учетом меняющейся картины угроз.

Этап проектирования

Методы на этапе проектирования включают моделирование угроз, оценку проекта, а также реализацию стандартов безопасности из регулярно обновляемой библиотеки.

Моделирование угроз

Моделирование угроз позволяет лучше понять, каковы потенциальные риски проекта в случае возникновения сложноорганизованных угроз безопасности или изменения возможностей, безопасность которых критически важна. Моделирование проводится в форме мозгового штурма среди технических специалистов, инженеров по безопасности, разработчиков архитектуры и менеджеров по продукту. По итогам беседы выявляются значимые угрозы безопасности и определяются их приоритеты. Эти выводы используются на этапе проектирования и позволяют внедрить необходимые методы защиты. Кроме того, они пригодятся для адресных проверок и тестирования на конечных этапах разработки.

Процедура моделирования угроз включает следующее.

  • Подход, основанный на анализе риска, чтобы оценить необходимость моделирования угроз
  • Усложненный процесс моделирования угроз с использованием вспомогательных материалов и инструментов
  • Учебные видеоролики и материалы для чтения в помощь командам разработчиков ПО при моделировании угроз

Этап разработки

Мы применяем ряд процессов и методов для обеспечения безопасности кода на протяжении всего процесса разработки.

Оценка безопасности

Команда по безопасности проводит соответствующую оценку, чтобы обеспечить безопасность всех проектов по разработке ПО для Atlassian. Процедура оценки рисков позволяет расставить приоритеты в областях, требующих контроля, а также определить меры по снижению проектных рисков. В зависимости от установленного уровня риска, контроль может сочетать в себе нижеперечисленные меры.

  • Оценка проекта и моделирование угроз
  • Проверка кода и тестирование безопасности
  • Независимый контроль силами сторонних компетентных исследователей или консультантов

Оценка коллег

В ходе разработки весь код проходит процедуру тестирования под названием Проверка коллегами, зеленая сборка (PRGB). В рамках процедуры старшие или ведущие разработчики оценивают все коммиты, прежде чем отправить их в производственную среду. Кроме того, оценка предполагает автоматический статический анализ (SAST) и ручное тестирование безопасности и выполняется как штатными специалистами, так и сторонними экспертами согласно внутренней процедуре оценки рисков. Разработка ведется в том числе при поддержке обучающих программ по безопасности приложений, а также базы знаний, которую регулярно пополняет команда безопасности.

Разделение сред

Мы соблюдаем логическое и физическое разделение сред на производственную и непроизводственную (т. е. среду разработки) в отношении своих важнейших служб. Для раздела проиндексированных файлов существует логическое разделение (но не физическое). Кроме того, он управляется процессами контроля изменений и доступа на уровне производства.

Кроме того, политики безопасности Atlassian запрещают использование рабочих данных за пределами рабочей среды. Мы следуем правилам по исключению и защите данных с ограниченным доступом, в том числе персональных данных, используя для этого методики обезличивания, хеширования и разметки.

Этап технического обслуживания

Перед отправкой кода в производственную среду мы проводим обязательную оценку его формальной готовности к запуску и процедуру контроля изменений.

После развертывания системы мы регулярно проводим автоматизированное сканирование на предмет уязвимостей. Как описано в разделе методов обеспечения безопасности, мы используем ведущую в отрасли программу вознаграждения за найденные ошибки, в рамках которой проверенная группа исследователей по вопросам безопасности, созданная по принципу краудсорсинга, непрерывно контролирует безопасность наших систем.

Система оценки безопасности

Мы создали автоматическую систему оценки безопасности продуктов, представляющую собой карты оценки. Она обеспечивает мониторинг и проверку состояния безопасности всех продуктов Atlassian. В рамках этой системы используется широкий спектр критериев, таких как текущие уязвимости, доля обученных сотрудников, недавние инциденты безопасности и укомплектованность команд чемпионами безопасности. Они позволяют сформировать всестороннюю оценку безопасности отдельного продукта.

В процессе оценки каждая из команд по продукту может получить объективное представление о том, каким вопросам безопасности следует уделить внимание, а также выявить существующие недостатки и определить действия по их устранению. Кроме того, эта процедура системной оценки позволяет команде по обеспечению безопасности Atlassian без труда отслеживать изменения безопасности продуктов во времени, в частности по мере их масштабирования.