Статья содержит описание рисков информационной безопасности бизнес-приложений при популярном гибком (agile) подходе к разработке. Автор описывает риски традиционного подхода к безопасности приложений в agile-процессах, который заключается в том, что приложение сначала разрабатывается, затем исследуется на уязвимости, после чего даются рекомендации по его защите. При agile-разработке такой подход перестает работать, поскольку время исследования безопасности приложений становится больше времени внесения изменений. Автор предлагает способ адаптации процессов защиты приложений к новым формам разработки, заключающийся во встраивании процессов анализа защищенности в процесс разработки, интеграции систем анализа защищенности с системами защиты приложений (на примере WAF и anti-DDoS) и полной автоматизации процесса изменения настроек таких систем.
< ... >
The article describes application security ricks in case of using so called «agile» development process. Author describes risks of traditional security approach — application development first, then vulnerability scanning and then tuning of application security system. This approach does not work properly in case of agile development process because in this case features changing period is less then period of vulnerabilities scanning. Author offers some ways of application security process adaptation — building-in of vulnerabilities scanning in development process, integration of vulnerabilities scanning with active application security systems like anti-DDoS and WAF and full-automation of application security system tuning
Keywords:
changing the paradigm, agile, application security, continuous security, WAF, DDoS
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
