Помогаем создавать безопасные приложения
Мы помогаем нашим клиентам выявлять и снижать риски безопасности, а также управлять ими в области инфраструктуры, программного обеспечения и процессов с использованием подходов App Sec
Что такое Application Security
Application Security (безопасная разработка) — это процесс (или комплекс мер) поиска уязвимых мест в исходном коде. Цель, преследуемая в рамках данного процесса — устойчивость ПО к различным угрозам.
Реализация механизмов Application Security Testing осуществляется на разных этапах жизненного цикла приложения: разработки, интеграции, ввода в эксплуатацию и приемки, использования программного обеспечения — с помощью определенного набора технологий, а также средств тестирования безопасности приложений, в том числе универсальных, применяющихся практически на всех этапах.
Реализация механизмов Application Security Testing осуществляется на разных этапах жизненного цикла приложения: разработки, интеграции, ввода в эксплуатацию и приемки, использования программного обеспечения — с помощью определенного набора технологий, а также средств тестирования безопасности приложений, в том числе универсальных, применяющихся практически на всех этапах.
Услуги по внедрению безопасности приложений
4−6 недель
Комплексная оценка процессов разработки, DevSecOps-инфраструктуры и документации с точки зрения зрелости безопасной разработки. Мы изучаем, как организованы процессы, какие средства контроля используются, насколько эффективно работает защита на этапах SDLC.
Используемые стандарты: OWASP ASVS, MASVS, OWASP Top 10, ГОСТ Р 57 580, ГОСТ Р 56 939, ISO/IEC 27 001, приказы ЦБ и пр.
Этапы работ:
Артефакты:
Комплексная оценка процессов разработки, DevSecOps-инфраструктуры и документации с точки зрения зрелости безопасной разработки. Мы изучаем, как организованы процессы, какие средства контроля используются, насколько эффективно работает защита на этапах SDLC.
Используемые стандарты: OWASP ASVS, MASVS, OWASP Top 10, ГОСТ Р 57 580, ГОСТ Р 56 939, ISO/IEC 27 001, приказы ЦБ и пр.
Этапы работ:
- Подготовка: сбор документации, планирование, настройка коммуникаций
- Анализ процессов: интервью, аудит SDLC, IAM, CI/CD, инфраструктуры
- Технический анализ: проверка инструментов безопасности, gap-анализ
- Формирование выводов: Risk Register, рекомендации, презентация результатов
Артефакты:
- Risk Register: список угроз, уязвимостей и оценка их критичности
- Gap-анализ по каждому этапу SDLC
- Процессные рекомендации: как усилить безопасность на каждом этапе
- Дорожная карта внедрения улучшений (разделена на quick wins и долгосрочные меры)
4 недели−24 месяца
Работаем с командами разработки, безопасности и менеджмента над построением зрелого подхода к безопасной разработке. Формируем политику, стандарты, обучающие материалы и внедряем security-first мышление в процессы.
Может выполняться как отдельная услуга, так и в продолжение аудита.
Что делаем:
Артефакты:
Работаем с командами разработки, безопасности и менеджмента над построением зрелого подхода к безопасной разработке. Формируем политику, стандарты, обучающие материалы и внедряем security-first мышление в процессы.
Может выполняться как отдельная услуга, так и в продолжение аудита.
Что делаем:
- Разработка политики безопасной разработки
- Внедряем инструменты безопасной разработки
- Настройка процедур реагирования на инциденты
- Подготовка инструкций и стандартов для команд
- Проведение обучающих сессий и воркшопов
Артефакты:
- Политика безопасности SDLC: роли, ответственность, правила
- Инструкции по безопасному кодингу (cheat-sheets)
- Регламент реагирования на инциденты
- Обучающие презентации и материалы (при необходимости — сессии с командой)
- План внедрения политики в рабочий процесс
2−4 недели
Настраиваем и внедряем средства автоматического анализа безопасности, интегрированные в процесс разработки. От SAST/DAST до секрет-сканеров и dependency-check'ов. Помогаем выбрать инструменты, настроить CI/CD, провести пилот и обучить команду.
Инструменты: Semgrep, Trivy, Gitleaks, OWASP Dependency-Check, CodeSight (Solar), PT Application Inspector, PT BlackBox, AppScreener, Application Firewall и другие.
Этапы работ:
Артефакты:
Настраиваем и внедряем средства автоматического анализа безопасности, интегрированные в процесс разработки. От SAST/DAST до секрет-сканеров и dependency-check'ов. Помогаем выбрать инструменты, настроить CI/CD, провести пилот и обучить команду.
Инструменты: Semgrep, Trivy, Gitleaks, OWASP Dependency-Check, CodeSight (Solar), PT Application Inspector, PT BlackBox, AppScreener, Application Firewall и другие.
Этапы работ:
- Аудит текущих процессов
- Выбор подходящих инструментов
- Настройка и интеграция с CI/CD
- Подготовка шаблонов политик и исключений
- Обучение команды работе с инструментами
Артефакты:
- Документация по интеграции и настройке
- Конфигурации CI/CD pipeline с встроенными проверками
- Политики исключений и отчетности
- Инструкции по интерпретации результатов
- План развития инструментальной поддержки безопасности
5−8 недель
Имитация реальных атак на приложение с целью выявления слабых мест, которые могут быть использованы злоумышленниками. Мы проводим комплексное тестирование как с минимальными данными (black-box), так и с частичной информацией (grey-box), включая учетные данные и понимание архитектуры. Фокус — на наиболее критичных точках: авторизация, управление транзакциями, доступ к данным.
Применяем как ручные методы, так и автоматизированные средства анализа, включая: Burp Suite, OWASP ZAP, Frida, Objection, JADX, DevTools, Postman, HTTPie, MITM proxy и др.
Что включает:
Артефакты:
Имитация реальных атак на приложение с целью выявления слабых мест, которые могут быть использованы злоумышленниками. Мы проводим комплексное тестирование как с минимальными данными (black-box), так и с частичной информацией (grey-box), включая учетные данные и понимание архитектуры. Фокус — на наиболее критичных точках: авторизация, управление транзакциями, доступ к данным.
Применяем как ручные методы, так и автоматизированные средства анализа, включая: Burp Suite, OWASP ZAP, Frida, Objection, JADX, DevTools, Postman, HTTPie, MITM proxy и др.
Что включает:
- Анализ авторизации, RBAC, IDOR, обработки транзакций
- Проверка бизнес-логики и сценариев пользовательского потока
- Тестирование хранения данных, защиты API, использования сторонних сервисов
- Проверка клиентской части (WebView, SSL Pinning, Push и др.)
Артефакты:
- Отчет в формате PDF: описание всех уязвимостей, уровень риска (CVSS), PoC, рекомендации
- Таблица рисков и приоритезации находок
- Скриншоты, сниффы, дампы запросов
- Отдельный перечень «быстрых исправлений» (quick fixes)
Наш подход
Этапы внедрения процесса безопасной разработки (AppSec)
Внедрение процесса безопасной разработки всегда начинается с аудита текущих процессов. После проведения аудита становится возможным составление стратегии внедрения процесса безопасной разработки. И затем можно приступать, собственно, к внедрению в конвейер производства. Все этапы занимают от 6 до 24 месяцев.
Наш подход
Этапы внедрения процесса безопасной разработки (AppSec)
Внедрение процесса безопасной разработки всегда начинается с аудита текущих процессов. После проведения аудита становится возможным составление стратегии внедрения процесса безопасной разработки. И затем можно приступать, собственно, к внедрению в конвейер производства. Все этапы занимают от 6 до 24 месяцев.
Блог компании
Хотите посотрудничать?
Напишите в наш Телеграм‑бот, который подскажет, как мы сможем быть полезны друг другу
Или заполните форму
и мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных в соответствии с политикой конфиденциальности.