Close

Обеспечение безопасности при разработке программного обеспечения в Atlassian


Atlassian обеспечивает безопасность на протяжении всего жизненного цикла разработки, чтобы защитить код, продукты и клиентов. Методы обеспечения безопасности охватывают каждый этап цикла.

  • Разработка ведется при поддержке обучающих программ по безопасности приложений, а также базы знаний, которую регулярно пополняет команда безопасности.
  • Методы на этапе проектирования включают моделирование угроз, оценку проекта, а также реализацию стандартов безопасности из регулярно обновляемой библиотеки. Эти меры обеспечивают соблюдение необходимых требований к безопасности.
  • В ходе разработки проводится обязательная экспертная оценка, которая играет роль проверки безопасности первого уровня. Оценка предполагает автоматический статический анализ (SAST) и ручное тестирование безопасности и выполняется как штатными специалистами, так и сторонними экспертами согласно внутренней процедуре оценки рисков.
  • Оценка формальной готовности к запуску и процессы контроля изменений обеспечивают внедрение только утвержденных изменений. После развертывания регулярно проводится автоматизированное сканирование на предмет уязвимостей, а также используется ведущая в отрасли программа вознаграждения за найденные ошибки, которая обеспечивает непрерывную проверку безопасности наших приложений. Мы постоянно оцениваем состояние безопасности наших продуктов с помощью системы карт оценки.
Джерси

Культура

Вовлечение

Обучение

Стандарты

Планшет со списком

Методы

Контрольные точки

Оценка безопасности

Усиленная безопасность

Внедрение культуры безопасности

Atlassian формирует культуру безопасности, расширяя возможности команд с помощью программы «Чемпионы безопасности» и продуманного обучения.

Программа «Чемпионы безопасности»

Atlassian has security leads - or security champions - within all of our product and service teams who assume responsibility for delivering on key security initiatives among their peers on an ongoing basis and keeping communication with our central security team as open as possible. This enables us to keep security front and center across our organization.

Чемпионы безопасности регулярно встречаются, чтобы поделиться инструментами и знаниями о последних проблемах и задачах в области безопасности, с которыми они столкнулись, что полезно для всех наших команд. Эта программа позволила еще сильнее укрепить такой важный принцип культуры Atlassian, как безопасность.

Обучение в области безопасности для разработчиков

Для обучения мы используем как собственные, так и сторонние материалы, чтобы у наших разработчиков были все нужные знания для создания безопасных приложений. Мы отслеживаем актуальность программы обучения и постоянно обновляем ее с учетом меняющейся картины угроз.

Этап проектирования

Методы на этапе проектирования включают моделирование угроз, оценку проекта, а также реализацию стандартов безопасности из регулярно обновляемой библиотеки.

Моделирование угроз

We use threat modeling to better understand security risks when projects face complex threats or change security-critical features. This involves a brainstorming session between our engineers, security engineers, architects, and product managers to identify and prioritize relevant threats. This information feeds into the design process and ensures appropriate controls are implemented. It also supports targeted review and testing in later phases of development.

Процедура моделирования угроз включает следующее.

  • Подход, основанный на анализе риска, чтобы оценить необходимость моделирования угроз
  • Усложненный процесс моделирования угроз с использованием вспомогательных материалов и инструментов
  • Учебные видеоролики и материалы для чтения в помощь командам разработчиков ПО при моделировании угроз

Этап разработки

Мы применяем ряд процессов и методов для обеспечения безопасности кода на протяжении всего процесса разработки.

Оценка безопасности

Команда по безопасности проводит соответствующую оценку, чтобы обеспечить безопасность всех проектов по разработке ПО для Atlassian. Процедура оценки рисков позволяет расставить приоритеты в областях, требующих контроля, а также определить меры по снижению проектных рисков. В зависимости от установленного уровня риска, контроль может сочетать в себе нижеперечисленные меры.

  • Оценка проекта и моделирование угроз
  • Проверка кода и тестирование безопасности
  • Независимый контроль силами сторонних компетентных исследователей или консультантов

Оценка коллег

В ходе разработки весь код проходит процедуру тестирования под названием Проверка коллегами, зеленая сборка (PRGB). В рамках процедуры старшие или ведущие разработчики оценивают все коммиты, прежде чем отправить их в производственную среду. Кроме того, оценка предполагает автоматический статический анализ (SAST) и ручное тестирование безопасности и выполняется как штатными специалистами, так и сторонними экспертами согласно внутренней процедуре оценки рисков. Разработка ведется в том числе при поддержке обучающих программ по безопасности приложений, а также базы знаний, которую регулярно пополняет команда безопасности.

Разделение сред

Мы соблюдаем логическое и физическое разделение сред на производственную и непроизводственную (т. е. среду разработки) в отношении своих важнейших служб. Для раздела проиндексированных файлов существует логическое разделение (но не физическое). Кроме того, он управляется процессами контроля изменений и доступа на уровне производства.

Atlassian also has security policies prohibiting the use of production data in non-production environments. We maintain guidelines on how to either strip or protect restricted data - including personal data - using anonymization, hashing, and tokenization techniques.

Этап технического обслуживания

Перед отправкой кода в производственную среду мы проводим обязательную оценку его формальной готовности к запуску и процедуру контроля изменений.

После развертывания системы мы регулярно проводим автоматизированное сканирование на предмет уязвимостей. Как описано в разделе методов обеспечения безопасности, мы используем ведущую в отрасли программу вознаграждения за найденные ошибки, в рамках которой проверенная группа исследователей по вопросам безопасности, созданная по принципу краудсорсинга, непрерывно контролирует безопасность наших систем.

Система оценки безопасности

Мы создали автоматическую систему оценки безопасности продуктов, представляющую собой карты оценки. Она обеспечивает мониторинг и проверку состояния безопасности всех продуктов Atlassian. В рамках этой системы используется широкий спектр критериев, таких как текущие уязвимости, доля обученных сотрудников, недавние инциденты безопасности и укомплектованность команд чемпионами безопасности. Они позволяют сформировать всестороннюю оценку безопасности отдельного продукта.

В процессе оценки каждая из команд по продукту может получить объективное представление о том, каким вопросам безопасности следует уделить внимание, а также выявить существующие недостатки и определить действия по их устранению. Кроме того, эта процедура системной оценки позволяет команде по обеспечению безопасности Atlassian без труда отслеживать изменения безопасности продуктов во времени, в частности по мере их масштабирования.