Продукты НР могут заинтересовать разработчиков ПО

Бренд НР, чаще всего, ассоциируется с аппаратными средствами, но не следует забывать, что компания является также крупным поставщиком ПО. В этом могли убедиться участники конференции HP & Developers Day, организатором которой выступила компания Supportio.

После краткого приветствия, СЕО компании Supportio Владимир Люлька передал слово Андрею Матвиенко, главе Группы Quality Assurance, HP, который сделал обзор продукта HP Application Lifecycle Management (ALM). Решение предназначено для управления полным жизненным циклом приложений, с момента возникновения идеи и до вывода из эксплуатации.

Андрей Матвиенко: «HP ALM дает возможность объединить разрозненные рабочие процессы, относящиеся к планированию проектов, определению требований и управлению ими, разработке и тестированию, отслеживанию дефектов и подготовке приложений к выпуску»

Прежде чем перейти к описанию продукта, докладчик остановился на вызовах, которые встречаются во время разработки. Как правило, в разработке крупного проекта участвуют разнообразные команды, отделы, и зачастую они в той или иной степени были изолированы друг от друга в прямом и в переносном смысле. Обеспечить их взаимодействие бывает достаточно сложно. У них могут быть разные процессы, в лучшем случае — это один общий процесс с некоторыми модификациями для каждой команды. Этот процесс нужно контролировать и поддерживать. Для решения задач, возникающих при разработке продукта, нужно использовать много инструментов, а их приобретение, лицензирование и внедрение доставляет много хлопот.

Согласно одному из соучредителей НР Дэвиду Паккарду, разработка включает такие этапы, как построение, тестирование и исправление того, что работает неправильно. Этот процесс необходимо повторять до тех пор, пока не будет достигнута необходимая надежность. И другого пути нет. Для всего этого и была разработана единая интегрированная платформа HP ALM, которая обеспечивает связь между всеми группами разработки, вовлеченными в процесс. HP ALM дает возможность объединить разрозненные рабочие процессы, относящиеся к планированию проектов, определению требований и управлению ими, разработке и тестированию, отслеживание дефектов и подготовке приложений к выпуску. Затем докладчик кратко рассмотрел основные этапы разработки продукта.

Все начинается с планирования. На этом этапе возможны разные релизы, циклы и даже промежуточные продукты. После привязки планируемых результатов к временным точкам, можно обеспечить связь между релизами и циклами с требованиями и отслеживать их на каждом шаге создания приложения и процесса тестирования. Модуль HP Requirements Management позволяет отслеживать реализацию требований и связанных с ними дефектов в реальном времени. Модуль, в частности, предлагает готовые типы требований — от технических спецификаций до сценариев использования; позволяет стандартизировать шаблоны и документооборот для облегчения сбора требований в упорядоченную структуру; позволяет управлять воздействием изменений, а также предоставляет ряд других возможностей.

На этапе кодирования, одном из важнейших в проекте, персонал нуждается в возможности отслеживать все артефакты и системы, используемые командами разработчиков для построения приложений. Это выполняется с помощью инструмента Application Lifecycle Intelligence (ALI). Технология встроена в HP ALM, позволяет агрегировать информацию из множества инструментов разработки приложений и обеспечивает полную трассируемость ALM.

В процесс тестирования входят такие подпроцессы, как проверка функциональности, производительности и безопасности. Ключевым шагом в тестировании любого приложения является разработка ясного и точного плана тестирования. Хороший тест-план позволяет команде оценить качество тестируемого приложения в любой точке жизненного цикла его разработки. План тестирования можно создать с помощью модуля Test Plan. Он позволяет создать мануальные или автоматические тесты и хранить их в виде репозитория, а также обеспечить связь между тестами и требованиями. Тесты могут быть собраны в сценарий посредством модуля Test Lab, который предписывает кто, когда, где и как они должны выполняться. Для управления процессом тестирования и создания необходимой среды (Application Under Test Environment) служит модуль HP ALM Lab Management.

Ярослав Попов: «О необходимости защиты приложений говорит тот факт, что наибольшее количество проникновений совершается на 7 уровне модели OSI, то есть, на прикладном»

Важным моментом является исправление ошибок в том случае, если ожидаемые результаты не совпадают с актуальными. На этом этапе используется модуль Bug Fixing. При нахождении ошибок автоматически рассылаются письма заинтересованным лицам.

Итоговая информация о проделанной работе формируется с помощью модуля Analysis.

Современные подходы к контролю безопасности прикладных программ на базе решений HP Fortify изложил архитектор решений по безопасности ПО Ярослав Попов. Актуальность темы защиты приложений подтверждают приведенные выступающим данные компании Bloomberg по Северной Америке и Западной Европе. Так, средняя стоимость успешной атаки на одну крупную компанию в 2013 г. составила более 11 млн. долл.; количество успешных атак в неделю на одну компанию — 122, а среднее время восстановления после инцидента — 32 дня. Хотя для Украины эти цифры в разы меньше, тем не менее, важность проблемы не уменьшается.

Почему же речь идет о приложениях, а не о периметре? Дело в том, что наибольшее количество проникновений совершается на 7 уровне модели OSI, то есть, на прикладном. Хотя больше половины уязвимостей — Cross Site Scripting, SQL Injection, XML Injection и т. п., — при разработке программ повторяются одни и те же ошибки. В то же время обеспечить безопасность на этапе эксплуатации в 30 раз дороже, чем при разработке.

Цель решения HP Fortify — не анализировать риски в конце проекта. Продукт дает возможность начинать работать над вопросами безопасности приложений с самого начала. Формальный анализ безопасности приложений вносится в жизненный цикл разработки. Далее, предлагается модель построения пороговых проверок безопасности перед вводом продукта в эксплуатацию, и затем выполняется мониторинг безопасности ПО в период эксплуатации.

Предлагаются две модели использования решений Fortify. Это инсталляция в собственной среде или сервис по запросу. Правда, можно использовать и гибридную модель.

В общем, при проверке безопасности кода используются два классических подхода: «черный ящик» и «белый ящик». В первом случае выполняется динамическое тестирование посредством имитации атак. Здесь можно воспользоваться инструментом HP WebInspect. Во втором случае проводится статическое тестирование посредством сканирования исходного кода. Модуль поддерживает 21 язык программирования и учитывает 563 категории недостатков.

Оба подхода дополняют друг друга и должны использоваться совместно. Результатом проверок будут рекомендации по устранению уязвимостей.

Комплексное решение HP Fortify включает Source Code Analysis, Security Scope WebInspect и Run-Time Protection.

В заключение Ярослав Попов привел пример включения контроля безопасности в жизненный цикл разработки.

Семинар завершился выступлением консультанта по вопросам информационной безопасности Алексея Ольшанецкого, Supportio, в котором он привел рекомендации разработчикам по журналированию событий ИБ.

Прежде всего, докладчик отметил, что с обработкой событий ИБ не все так просто. Для мониторинга таких событий используется специализированное ПО, называемое Security Information and Event Management (SIEM). Оно позволяет хранить данные и проводить их автоматизированный анализ. Данные поступают из журналов других систем, что позволяет гарантировать надлежащий уровень анализа.

В этой области НР предлагает SIEM-систему Arcsight. Она позволяет собирать, хранить и анализировать данные из многих источников и выявлять аномалии и инциденты ИБ.

Для сбора и анализа соответствующих записей предусмотрен стандарт ISO 27001. Он обязателен для банков (в версии НБУ) и получает все большее распространение в крупном и среднем бизнесе. Стандарт описывает организацию менеджмента и комплексный подход к вопросам ИБ. Однако, по мнению выступающего, он имеет ряд недостатков, в числе которых большой объем документа и неоднозначность его трактовки. В то же время, набор необходимых данных и событий, подлежащих контролю, может быть взят из более практичного стандарта ISO 27002. К примеру, может быть взят формат ведения и информационное наполнение контрольного журнала, методика обеспечения безопасности электронного документооборота, безопасности онлайновых сделок, форматы хранения лог-файлов.

В HP Arcsight форматом хранения и передачи записей является CEF. Он единый для всех систем, что упрощает подключение новых систем к существующей архитектуре, прост и не требует специального кодирования или реализации сложных алгоритмов, поддерживается всеми ведущими компаниями, работающими в сфере ИБ.