16 Июля 2025 10:00 | 16 Июл 2025 10:00 | |

Поделиться

Сергей Авраменко, Cicada8: Рост числа атак через цепочку поставок требует не реактивного, а проактивного подхода к защите

CNews: Недавно компания Cicada8 вывела на рынок новое решение — продукт класса Dependency Firewall, встраиваемый в процесс безопасной разработки программных решений. Почему вы решили выходить на этот рынок?

Сергей Авраменко: Сейчас очень заметно возрастают риски атак на цепочку поставок, и любым компаниям, разрабатывающим собственное ПО, важно с ними работать. В России есть ряд продуктов, которые так или иначе решают эту задачу, однако их общий недостаток состоит в том, что они применяют сугубо реактивный подход.

Существующие на рынке OSA- и SCA-системы анализируют безопасность внешних артефактов уже после того, как те попадают в инфраструктуру — во внутренний или проксирующий реестр. На практике это означает, что, даже если уязвимый компонент не попадет к разработчикам сейчас, он, тем не менее, будет закэширован в реестре и, например, после переконфигурирования защиты, может быть использован при сборке ПО. Так что этот подход на самом деле не снимает тех рисков, на устранение которых направлен.

Мы сами столкнулись с этой проблемой при создании других продуктов Cicada8. Разработка велась в достаточно активном темпе, и нам важно было быстро определять, какие артефакты можно безопасно использовать, а какие нет. И конечно, мы понимали, что анализ следует проводить до попадания сторонних компонентов в инфраструктуру. Так внутри возникла задача по поиску инструмента, который позволил бы в реальном времени реализовывать практику shift-left. И оказалось, что на рынке нет таких решений, даже опенсорсных. Так что идея продукта выросла из наших собственных потребностей. Мы решили сделать решение, которое иначе, более надежно решает проблему защиты цепочек поставок, и представить его рынку.

CNews: В чем основное отличие подхода Dependency Firewall от классических анализаторов кода или решений для анализа состава ПО?

Сергей Авраменко: Статические и динамические анализаторы кода (SAST и DAST) — это инструменты, решающие несколько иные задачи и внедряемые, как правило, только на отдельных этапах разработки.

Например, статический анализатор не снимает проблему потенциального попадания вредоносных модулей в инфраструктуру компании-разработчика. SAST может проверить только вхождения зависимых компонентов в исходном коде по их названиям. Это не спасает от атак типа Dependency Confusion, когда злоумышленник, получив доступ к легитимному репозиторию, подменяет компоненты на вредоносные — с тем же именем и версией, что и оригинал. Поэтому SAST — это больше про качество и культуру написания кода с точки зрения безопасности. DAST же применяется только на этапе конечной сборки и используется скорее для того, чтобы проверить эксплуатируемость потенциальных уязвимостей в ПО.

Если же компания хочет проверять безопасность опенсорс-компонентов, для этого нужно, как минимум, применять инструменты, которые работают на уровне СI/CD — SCA, OSA. На рынке есть несколько продуктов для композиционного анализа ПО и анализа компонентов в открытым исходным кодом, в том числе достаточно зрелых. Но, возвращаясь к тому, о чем я говорил в начале, решений, которые позволяют на самом раннем этапе анализировать компоненты с точки зрения безопасности и лицензионной чистоты, на рынке пока нет.

CNews: Какие возможности дает разработчикам СICADA8 Dependency Firewall?

Сергей Авраменко: Решение работает как межсетевой экран, в реальном времени анализируя внешние компоненты на уязвимости, чистоту лицензий, наличие секретов и соответствие политикам безопасной разработки, принятым в организации. Разработчики могут настраивать политики анализа и блокировки артефактов на основе различных критериев — типов лицензий, CVE/CWE, возраста артефакта, оценок CVSS. Продукт интегрируется с Kaspersky OSS, БДУ ФСТЭК России, EPSS и другими настраиваемыми источниками данных. Если компонент был заблокирован, Cicada8 Dependency Firewall сформирует подробный отчет о причинах.

На наш взгляд, важное преимущество решения состоит в том, оно обеспечивает наблюдаемость цепочки поставок на всем этапе жизненного цикла компонентов. Мы даем возможность проводить все проверки зависимостей без интеграции в СI/CD и связывать загруженные компоненты с выходными артефактами сборки. Благодаря модулю firewall решение определяет, какие компоненты являются входными, а какие — выходными, и устанавливает взаимосвязь между ними. В результате команда разработки точно понимает, из чего состоит их ПО, и полностью контролирует использование сторонних артефактов. Кроме нас, никто другой на рынке этого не делает.

Еще одна важная задача, решаемая СICADA8 Dependency Firewall, — это инвентаризация компонентов ПО (генерация SBOM) «на лету». Во многих компаниях этот процесс устроен так: разработчики собирают приложение, упаковывают его в docker-контейнер и на этом этапе пытаются генерировать SBOM. В результате получается список, включающий только системные компоненты и непосредственно бинарный файл приложения — без детализации, из каких элементов он состоит.

У нас другой подход: мы связываем входные артефакты с выходными, в реальном времени генерируем SBOM и интегрируем эти данные в итоговый список компонентов.. Это детализированная информацию, которая дает полное представление о том, из каких элементов состоит конкретная сборка. И для этого разработчикам не требуется прилагать какие-то дополнительные усилия, продукт все сделает автоматически.

CNews: С какими СI/CD-платформами совместимо решение?

Сергей Авраменко: Со всеми популярными CI/CD-платформами — GitLab, Harbor, Kubernetes и другими. Мы старались сделать продукт максимально универсальным, он также поддерживает 12 экосистем языков программирования, контейнеры, бинарные файлы, пакеты ОС и скрипты.

CNews: У вас уже есть заказчики? Возможно, пилотные внедрения?

Сергей Авраменко: Да, уже есть пилотные внедрения, стартовавшие еще на предрелизном этапе. Хотя изначально продукт возник из наших внутренних потребностей, понятно, что для коммерческого успеха он должен соответствовать ожиданиям и требованиям широкого рынка. Поэтому для нас стало большой удачей то, что уже на раннем этапе мы имели возможность протестировать его в крупных компаниях, в реальных высоконагруженных средах с разными языковыми стеками. Вся обратная связь от продуктовых команд заказчиков была учтена, и доработки на ее основе либо уже реализованы в текущей версии, либо заложены в роудмап этого года.

Еще когда решение было на этапе proof of concept, мы встречались с потенциальными заказчиками — DevOps-/DevSecOps-лидами, техническими и ИБ-директорами — и обсуждали с ними концепцию и ключевые фичи. Нас интересовало, какие стеки используются в различных компаниях, как выстроены процессы разработки, есть ли какие-то особенности в ее инфраструктуре. Важно было, во-первых, удостовериться, что у рынка есть запрос на наш продукт, во-вторых — проверить, что в плане архитектуры и функциональности мы движемся в нужном направлении.

Мы исследовали и лучшие практики западных вендоров, различные фреймворки по построению безопасности конвейеров разработки, безопасности цепочки поставок. Ряд подходов внедрили и в нашем продукте, хотя основным критерием для вхождения в роудмап все же был запрос российского рынка.

CNews: Кто сегодня основные потребители решений для безопасной разработки?

Сергей Авраменко: Это компании из самых разных отраслей — от ритейла до страхования. По сути, их объединяет только то, что все они ведут внутреннюю разработку, будь то клиентские приложения, внутренние сервисы или системы автоматизации. Для них вопрос безопасности данных пользователей, сотрудников и самой компании стоит достаточно остро. Поэтому они очень беспокоятся о безопасности сторонних компонентов, которые, конечно, используются повсеместно.

Обычно в таких компаниях уже есть какие-то базовые инструменты типа SAST, они уже начинают харденить инфраструктуру разработки, изучать лучшие практики. Так что наша аудитория — это организации, которые заинтересованы в безопасности своей цепочки поставок.

CNews: Ваше решение ориентировано в основном на big tech или и на небольшие компании, например, оказывающие услуги заказной разработки?

Сергей Авраменко: Я бы сказал, все опирается не на тип или размер компании, а на то, как часто она выпускает релизы своего ПО. На этапе общения с потенциальными заказчиками мы выявили заметный спрос на наше решения, в том числе, со стороны среднего и крупного бизнеса.

Здесь скорее работает принцип, что: если компания выпускает по одному релизу ПО в год, у разработчиков есть время на то, чтобы проверять все руками. Если же релизы выходят чаще, встает вопрос, как вести разработку и безопасно, и быстро. С этим и помогает наш продукт.

CNews: Как применение Cicada8 Dependency Firewall влияет на time-to-market программных решений?

Сергей Авраменко: Это действительно важный вопрос — и во многом «больной» для вендоров продуктов для безопасной разработки. Большинство решений, которые обеспечивают защиту цепочки поставок, при внедрении требуют реализации дополнительных этапов — например, установки CI/CD-агентов. Это, конечно, негативно влияет на сроки релизов.

Cicada8 Dependency Firewall в этом смысле стоит особняком: за счет того, что продукт не интегрируется в СI/CD, для старта его использования не требуется дополнительных шагов. Кроме того, мы очень внимательно отнеслись к таким аспектам, как скорость анализа и эффективность работы с памятью, чтобы не увеличивать время загрузки артефактов.

И за счет того. что продукт реализует концепцию shift-left, он на самом деле обеспечивает более быстрый time-to-market. Анализ сторонних компонентов в реальном времени и автоматизация помогают сократить среднее время обнаружения угроз, и при этом влияние на рабочие процессы разработчиков остается минимальным.

CNews: Как вы оцениваете перспективы рынка безопасной разработки в России? Будет ли он расти и за счет чего?

Сергей Авраменко: Вообще рынок безопасной разработки в России — относительно молодой, ему не больше 10 лет. Сейчас он достаточно активно развивается, импортозамещение подтолкнуло многих отечественных вендоров к созданию собственных SDLC-продуктов. Хотя многие из них пока сыроваты, в сфере безопасности контейнеризации уже есть достаточно зрелые решения. Это связано с тем, что большинство заказчиков уже присмотрелись к различным методам оркестрации контейнеров и переходят с виртуализацию на контейнеризацию.

Что касается спроса на решения для безопасной разработки, я думаю, их необходимость сейчас постепенно осознают все, особенно в контексте роста числа атак. Кроме того, регуляторы активно занимаются вопросами SDLC, существуют рекомендации по выстраиванию конвейеров безопасной разработки, и они уже начинают сертифицироваться.

Важный фактор роста спроса состоит в том, что в России очень хорошо развиты различные интернет-сервисы — доставка, онлайн-шоппинг, мобильный банкинг, каршеринг и так далее. И с точки зрения пользователей, качество этих сервисов во многом определяется их защищенностью. Людям больше не безразличны утечки их данных, и такой инцидент может нанести огромный ущерб бизнесу. Мне кажется, даже небольшие магазины или кафе на каком-то этапе начинают про это думать.

Рынок понимает, что необходимо применять серьезные меры для защиты программных продуктов. Компании-разработчики начинают постепенно углубляться в этот вопрос, коммьюнити безопасной разработки в последние годы активно растет, расширяется спектр практик и инструментов.

CNews: Каковы ваши дальнейшие планы по развитию продукта?

Сергей Авраменко: Мы планируем реализовать анализ зависимостей в runtime и обеспечивать подпись артефактов «на лету», а также развивать интеграции — в том числе с Sigstore от Google. Эта технология позволяет сохранять в неизменяемый лог событий информацию о том, кем и когда был создан, подписан или изменён артефакт. Sigstore работает по принципу блокчейна: хэш каждого нового события зависит от предыдущих, что обеспечивает целостность истории изменений.

Мы идем к тому, чтобы максимально контролировать безопасность артефактов на всех этапах и обеспечивать полную наблюдаемость цепочки поставок.

Поделиться

Короткая ссылка