Астрофизики знают: видимая часть Вселенной - лишь 5% от её массы. В разработке программного обеспечения ситуация зеркальная, но куда более критичная: от 80 до 90% современного кода - это заимствованные библиотеки и готовые контейнеры, которые специалисты по ИБ часто видят слишком поздно. Гонка за Time-to-market и миф о том, что кибератаки случаются только с «большими» проектами, превращают управление зависимостями в настоящую «тёмную материю» кода. На CISO FORUM 2024 архитектор ИБ UserGate Дмитрий Овчинников рассказал Р-Конф, как сделать сборку ПО прозрачной, автоматизировать проверки на этапе компиляции и почему безопасность сегодня - дело каждого разработчика, независимо от размера команды.— Ваш доклад на CISO FORUM называется «Темная материя вашего кода». Почему выбрана именно такая метафора?
Астрофизики утверждают, что видимая часть вселенной составляет только 5 процентов от общей массы. Все остальное, сокрытое от наших глаз – это темная материя и темная энергия. То, чего мы не видим, но то что есть в мире. В современном программном коде от 80 до 90 процентов – это все заимствованные библиотеки, готовые контейнеры и многое другое. В настоящее время программный код стал композицией, которую мастерски собирают из разных готовых частей. И вот все эти заимствования и уже готовые элементы для разработчиков как раз и являются «темной материей». Задача специалистов по информационной безопасности – сократить число таких невидимых связей и максимально подсветить их, делая сборку ПО управляемой и прозрачной.
— Почему проблема управления зависимостями до сих пор остается в тени, даже там, где вроде бы выстроены процессы?
Проблема управления зависимостями во многом остается в тени, так как тщательная проверка всех компонентов занимает время, а разработчиков всегда подстегивают со сроками релиза. Параметр Time-to-market никто не отменял. Команду из ИБ часто запускают на проект уже в самом конце, когда практически невозможно изменить архитектуру продукта или принять какие-то решения, которые кардинально поменяют технологический стек. Именно поэтому важно максимально автоматизировать проверку зависимостей на этапе сборки и принять ряд мер по защите информации, чтобы максимально исключить возможность компрометации кода.
Также стоит отметить тот факт, что многие разработчики до сих пор думают, что киберпреступление — это очень затратно и что именно их проект это не коснется. Однако сейчас, благодаря автоматизации, использованию ИИ и распространению знаний, злоумышленники стали расширять список целей для своих атак. Поэтому безопасность в XXI веке – это дело каждого. Вне зависимости от размера команды разработки и статусности заказчиков.
— Кого вы видите своей основной аудиторией на выступлении и какой главный инсайт должен унести с собой CISO?
В качестве своей основной аудитории я вижу CISO, которые задаются вопросами безопасности в части разработки ПО, но еще не до конца погрузились в эту тематику. Также оно поможет тем CISO, у кого есть подрядные организации, которые занимаются заказной разработкой. Оно должно помочь сформировать базовое представление о минимальных требованиях в части соблюдения мер безопасности.
— Вы выступаете на CISO Форум впервые? Почему решили участвовать именно сейчас?
Несмотря на то, что у меня уже есть богатый опыт выступления на разного рода мероприятиях в области инфобеза, на CISO Форум я буду выступать впервые. Для меня это будет новый и интересный опыт работы с новой аудиторией, требовательной к тематике и актуальности докладов.
CISO FORUM уникален тем, что он не является чисто маркетинговым мероприятием, посвящённым вендору или узкому кругу продуктовых решений, но при этом не является и чисто техническим мероприятием. Его основная аудитория — это руководители ИТ и ИБ, которые обычно имеют богатый технический бэкграунд, но уже обладают ресурсами и властью в рамках своих рабочих обязанностей. Обычно они требовательны в части техники и не покупаются на маркетинговые уловки. Поэтому данное мероприятие мне и интересно.
— Как вам как представителю вендора удается соблюдать баланс, чтобы доклад не превращался в презентацию продукта?
В рамках компании UserGate я выполняю роль CISO, а сама компания является разработчиком и производителем класса решений NGFW, поэтому вопросы безопасной разработки и проблематика атаки на цепочку поставок является одной из важных задач. Именно поэтому мой доклад не является презентацией продукта, а гармонично вписывается в трек «Подрядчики и партнерский периметр».
— Что лично вы ждете от CISO FORUM 2026 помимо своего выступления?
Для меня как для специалиста по информационной безопасности в этом году все треки интересные и полезные в повседневной работе. Однако я бы выбрал в приоритет трек А, который больше сосредоточен на архитектуре ИБ. Кроме того, на этом мероприятии будет много моих коллег, знакомых, а также представители вендоров, чьими техническими решениями я интересуюсь. Поэтому я постараюсь максимально плотно и полезно провести время: расширить свои знания, узнать об актуальных проблемах в кибербезе и наладить новые контакты и связи в профессиональном сообществе.
Справка: