ИТ-компании напишут сами
19 сен 2022 02:40 #111410
от ICT
ICT создал тему: ИТ-компании напишут сами
Инфраструктура крупных ИТ-компаний имеет серьезные отличия от той, которую применяют крупные компании других сфер. Как подчеркнул директор департамента защиты приложений VK Георгий Старостин в выступлении на конференции CyberCamp, ее отличает большое количество (порядка десятков тысяч) взаимодействующих микросервисов, большое количество физического оборудования (только количество серверов измеряется десятками тысяч), высокие нагрузки, повышенные требования по доступности сервисов и высокая цена простоя (в VK час стоит около 13 млн руб., "Яндекса" – более 30 млн руб.), высокая интенсивность потоков данных (300 Гбайт/с). Также около 90% инфраструктуры работает под управлением различных вариантов Linux. С готовыми решениями для защиты такой инфраструктуры и раньше было непросто. Однако в нынешних условиях, когда с российского рынка ушли практически все международные поставщики средств сетевой безопасности, найти готовое решение класса Web Application Firewall высокой производительности невозможно. Это признал, в частности, вице-президент ПАО "Ростелеком" Игорь Ляпунов в своем выступлении на презентации курсов по стратегическому управлению цифровой устойчивости бизнеса. По его оценке, первых по-настоящему работающих решений от российских поставщиков следует ожидать не раньше 2023 года. При этом, как подчеркнул Георгий Старостин, крупные ИТ-компании отличает высокий уровень изменений. По его оценке, у крупных корпораций он в среднем составляет 5% и менее в год, тогда как у ИТ-гигантов такие же изменения происходят за месяц. В таких условиях многие универсальные инструменты функционировать не могут. При этом Web является одним из наиболее широко эксплуатируемых векторов атак. "В 91% приложений могут происходить утечки информации, а две трети ресурсов, исследованных нами, подвержены раскрытию персональных данных. Все это грозит компаниям финансовыми и репутационными потерями, нарушением работы важных для бизнеса систем. Поэтому приложения нужно защищать и не оставлять слабых мест при их разработке и эксплуатации", - отметил руководитель отдела разработки PT BlackBox компании Positive Technologies Евгений Рыжов. В итоге в VK разработали host-based Firewall для внутреннего использования, который работает в кластере с балансировкой нагрузки. \[quote\]
https://www.comnews.ru/content/221899/2022-08-29/2022-w35/dinamicheskiy-analiz-strazhe-bezopasnosti
\[/quote\] Также в VK используют статический сканер исходного кода, созданный самостоятельно. На создание этого продукта ушло около 1,5 лет. Его главной особенностью является поддержка всех используемых разработчиками VK языков программирования. Такое количество, как подчеркнул Георгий Старостин, не поддерживает ни один продукт на рынке, как коммерческий, так и с открытым кодом. Включение поддержки каждого нового языка занимает месяцы, тогда как силами внутренней команды эту задачу можно решить существенно быстрее. Кроме того, использование SAST существенно снизило риски при использовании заимствованных компонентов с открытым кодом в условиях повышения рисков, связанных с тем, что участилось обнаружение как случайных ошибок, в том числе застарелых, так и намеренно внесенных недекларируемых возможностей, часто небезобидных. В итоге, по мнению управляющего директора аппарата правления ПАО "АК Барс Банк" Вячеслава Яшкина, задача выявления ошибок, уязвимостей и закладок стала критически важной для всех, кто применяет компоненты с открытым кодом \[quote\]
https://www.comnews.ru/content/220125/2022-05-06/2022-w18/otkrytyy-kod-trebuet-khlopot
\[/quote\] В VK для повышения безопасности разработки ПО с использованием компонент с открытым кодом используют внутренний репозиторий, куда пакеты помещаются после проверки. Данный подход используется во многих компаниях. К примеру, репозиторий SFERA первоначально создавался в Группе Т1 для решения внутренних задач, но затем данная платформа была предложена рынку и ее активно использует российский банковский сектор. В "Яндексе" используется платформа "Аркадия". Эти продукты были представлены на форуме Russia Open Source IT Summit, который проходил в Казани в мае текущего года\[quote\]
https://www.comnews.ru/content/220109/2022-05-05/2022-w18/kodu-nuzhny-repozitorii
\[/quote\] Аналогично действуют и другие компании. Директор по информационной безопасности "Диасофт" Алексей Полетаев приводит такой пример: "Мы успешно используем внутреннюю разработку – продукт для формирования и проверки усиленной квалифицированной электронной подписи классов КС1, КС2, КС3 и КВ2, СПО "Модуль подписи HSM". Его отличительная особенность – это простота и универсальность встраивания в любые информационные системы, такие как системы электронного документооборота, ЕБС, ФНС УЦ, СМЭВ, ЕСИА, МЭДО, в разрабатываемые облачные системы электронного подписания документов и различные сервисы, работающие по подписке по типу SaaS, PaaS, BaaS. Продукт используется не только для внутренних задач компании. Его уже установил и ряд крупных финансовых организаций – клиентов "Диасофт".
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
В России напишут свой объектно-ориентированный язык программирования | 9.48 | Четверг, 08 февраля 2018 |
В России напишут экспериментальные законы для больших данных, блокчейна и искусственного интеллекта | 9.28 | Пятница, 11 января 2019 |
Планы мирового лидерства России по большим данным, блокчейну, роботам напишут за 109 миллионов | 9.19 | Воскресенье, 03 марта 2019 |
Справки дойдут сами | 8.13 | Вторник, 20 октября 2020 |
В 99% кибервзломов виноваты сами пользователи | 8.04 | Пятница, 26 октября 2018 |
Россияне сами себя лишили Pokemon go | 7.95 | Среда, 20 июля 2016 |
Исследование: 40 % детей сами решают, что будут смотреть по телевизору | 7.78 | Понедельник, 21 октября 2019 |
Поджигателей “вышек-убийц” в Британии пометят сами вышки | 7.78 | Среда, 19 августа 2020 |
Всё образумится: за свои цифровые компетенции россияне заплатят сами | 7.78 | Понедельник, 01 марта 2021 |
Сами с правами: крупный бизнес выступил за саморегулирование экосистем | 7.78 | Вторник, 10 августа 2021 |