Close

Обеспечение безопасности при разработке программного обеспечения в Atlassian


Каким образом обеспечение безопасности встраивается в жизненный цикл разработки программного обеспечения Atlassian?

Agile-процессы обычно не имеют четких фаз SDLC, и это мешает применять к ним принятые ранее традиционные подходы к выпуску релизов через контрольные оценки безопасности.

В это же время рабочие процессы agile позволяют быстро устранять любые уязвимости, особенно в наших облачных сервисах. У нас есть строгая внутренняя политика, регламентирующая сроки устранения любых обнаруженных проблем безопасности.

Какие проверки безопасности проводятся перед выпуском нового кода?

Мы не проводим специальных проверок в контрольных точках проекта, но непрерывно оцениваем безопасность всех наших продуктов.

Разработчики регулярно проверяют код, в некоторых случаях перед выполнением коммита и после него, хотя эти проверки не предназначены специально для обеспечения безопасности. Команда обеспечения безопасности Atlassian проводит регулярные целевые проверки кода, как вручную, так и с помощью различных инструментов. Время от времени мы привлекаем сторонних аудиторов для проведения широкомасштабных проверок безопасности кода по всем нашим продуктам.

Мы также постоянно взаимодействуем с независимой третьей стороной, которая проводит тестирование продуктов Atlassian Cloud и выдает результаты для применения в нашем процессе разработки.

Какие методы используются для защиты от распространенных атак на веб-приложения (межсайтовый скриптинг (XSS), внедрение SQL-кода, межсайтовая подделка запроса (CSRF) и т. д.)?

Это зависит от продукта. Одни возможности должны работать в нескольких продуктах, другие — нет. В статье об обеспечении безопасности плагина, которая входит в состав программы обучения для разработчиков, приводится описание некоторых элементов управления, работающих для разных продуктов.