2025 ж. 13 жел.·7 мин

SCA метрикалары қауіпсіз релиздер үшін: CVSS, мерзімдер, шегерімдер

SCA метрикалары арқылы қауіпсіз релиздер: CVSS саясатын қалай құру, түзету мерзімдері (SLA), шегерімдер және ИБ-ға есеп беру мысалдары Mend, Snyk және Sonatype негізінде.

SCA метрикалары қауіпсіз релиздер үшін: CVSS, мерзімдер, шегерімдер

SCA метрикалары қай мәселені шешеді

Қазіргі кезде SCA-сканерлер бәрінің қолында: CI-де, репозиторийде, контейнер образдарында. Бірақ релиздер әлі де тәуекелмен шыға береді, себебі табылған факт өзі «не істеу керек» және «кім жауапты» деген негізгі сұраққа жауап бермейді.

Әдеттегі көрініс: сканер тәуелділіктерде ондаған уязвимділіктер көрсетеді. Олардың бір бөлігі сіздің контексте эксплуатталмайды, бір бөлігі бұрыннан белгілі, ал бір бөлігі — dev-зависимосттер. Соның нәтижесінде команда не есепті елемейді, не бәрін бірден түзетіп, мерзімдерді бұзады.

Қақтығыс жиі бірдей: релиз жылдамдығы мен ИБ талаптарының қақтығысы. Әзірлеушілерге функционалды жеткізу маңызды, ал ИБ критикалық тәуекелді продқа өткізбеуге тырысады. Ортақ ереже болмаса, әңгіме тез сезімтал пікірталасқа айналады: «бұл маңызды» vs «бұл уақыт жетпейді».

SCA метрикалары скандерді түсінікті сандар мен порогтарға аударады. Олар пікір емес, ереже ретінде қолданыла алады. Мұндай метрикалар шудан нақты тәуекелді бөліп, компромистерді алдын ала келісуге және процесті алдын ала болжамды етуге көмектеседі.

Практикалық шешімдер осындай метрикаларға сүйеніп қабылданады: релизді бұғаттау немесе өткізу, қандай табылғандарды бірінші жөндеу керек және қандай мерзімде, қашан шегерім беру және қанша мерзімге, тәуекелдің иесі кім және ИБ-ға қалай есеп беру керек. Қосымша нәтижесі — проблема қай жерде екенін көру: ескі тәуелділіктерде ме, сирек жаңартуларда ма немесе командалар тәртібінде ме.

Қарапайым мысал. Команда релиз дайындап жатыр, сканер белгілі бір кітапханада жоғары баллды CVE табады. Метрикалар болмаса хаос басталады. Метрикалар болса: уязвимділік тек опционал модульді қамтиды, патч бар, ал саясат мұндай табылғандарды 7 күнде түзетуді талап етеді. Онда шешім түсінікті: релизті 1–2 күнге жылжытқан дұрыс немесе уақытша шегерім беріп, аяқталу мерзімі мен өтеу шарасын көрсету (мысалы, модульді өшіру). Мұндай шешімді ИБ алдында қорғауға болады.

Mend, Snyk және Sonatype нені өлшейді

SCA (Software Composition Analysis) — бұл сіздің қосымшаңыз қандай үшінші тарап кітапханалар мен компоненттерден тұратынын тексеру. Құрал тәуелділік нұсқаларын қарап, белгілі уязвимдіктер мен лицензиялық мәселелерді іздейді. Қысқаша айтқанда, ол: «біз продқа өз кодымызбен бірге нені әкеліп жатырмыз?» деген сұраққа жауап береді.

Mend, Snyk және Sonatype негізгі жиынтықта ұқсас нәрселер жасайды: тәуелділіктер тізімін құрастырып, оны уязвимдіктер базасымен салыстырады, приоритет көрсетеді және саясат түрінде ережелер бекітуді оңайлатады. Айырмашылығы жиі олар не көретіні емес, деректер қалай жиналатыны, тәуекел қалай түсіндірілетіні және түзету процесін қалай қолдайтынында.

Уязвимділіктер бағалауы бір көзден келмейді. Әдетте бұл NVD, вендор бюллетеньдері, қауымдастық деректері және құрал провайдерінің өз зерттеулерінің үйлесімі. Сондықтан бір CVE-нің әртүрлі бағасы, әртүрлі сипаттамасы немесе «эксплуатталады/эксплуатталмайды» статусы болуы мүмкін. Практикада бұл «қанша критикалық у нас бар» метрикасы таңдалған көздерге және нормализация ережелеріне тәуелді екенін көрсетеді, нақты тәуекелге ғана емес.

Жалған позитивтер мен бос жерлер көбінесе төрт орында пайда болады:

  • транзитивті тәуелділіктер: компонент жанама түрде тартылған, ал команда оның қай жерде қолданылатынын түсінбейді
  • толық емес немесе стандартқа сай емес манифесттер: сборка пакеттерді сканер күткендей емес түрде жүктейді
  • компоненттің қате сәйкестендірілуі: ұқсас атаулар, форктар, қайта оралған артефактілер
  • эксплуатация контексті: уязвимділік бар, бірақ қауіпті функция қолданылмайды немесе компонент конфигурациямен өшірілген

Есте сақтау маңызды: Mend, Snyk және Sonatype қосымшаның қауіпсіздігін түгелдей емес, инвентаризация сапасын және жеткізілім тізбегіндегі белгілі тәуекел деңгейін өлшейді. Өлшем шекараларын адал түсінген сайын, релиздерді қауіпсізрек ететін нақты метрикаларды таңдау оңайырақ болады.

CVSS саясаты: тек балл емес порогтар мен контекст

CVSS жалпы тіл ретінде ыңғайлы, бірақ өзі сіздің өнім үшін тәуекелге тең емес. Бір уязвимділік CVSS 9.8 балымен ашық API-де критикалық болуы мүмкін, ал сырттан қол жетімсіз жабық сервиске қатты әсер етпеуі мүмкін. Сондықтан метрика баллмен бірге компоненттің қайда және қалай қолданылатынын ескеруі тиіс.

Практикалық тәсіл: командаға түсінікті және релизге алдын ала әсер ететін порогтарды бекітіңіз. Архитектура, қатер моделі немесе ИБ талаптары өзгерсе, оларды қайта қараңыз.

Көбінесе жұмыс істейтін порогтар

Көптеген жерлерде қарапайым ережелерден бастайды:

  • CVSS \u003e= 9.0 болғанда релизді блоктау — егер эксплойт расталса немесе уязвимділік сырттан қол жетімді шеңберді (perimeter) зақымдаса
  • 7.0–8.9 аралығында автоматты блоктау жоқ, бірақ міндетті түзету тапсырмасы мен нақты мерзімі болады
  • 4.0–6.9 болғанда релизке рұқсат етуге болады — егер тәуекел қабылданған және жаңарту жоспары бар болса
  • 0–3.9-ды автоматты түрде қауіпсіз деп есептемеу — егер уязвимділік критикалық деректер жолына түссе

Контекст: баллға не қосу керек

Mend, Snyk немесе Sonatype пайдалы сигналдар беруі үшін CVSS-ке қосымша бірнеше тексеріс қосыңыз: фикс бар ма, уязвимді код шын мәнінде қолданыста ма және сол конфигурацияда компонентті қалай шабуылдауға болады.

Мысалы: CVSS 8.1 баллы кітапхана жобаға транзитивті түрде енді делік. Егер ол тек тесттік тәуелділіктерде қалып, продқа кірмесе — релизті тоқтатудың себебі жоқ. Бірақ егер транзитивті тәуелділік runtime-қа түсіп, периметрде (мысалы, веб-серверде) болса, оны толыққанды есептеп, түзетуді немесе тәуекел қабылдауды талап етіңіз.

Транзитивті тәуелділіктерге қарапайым ереже: олар әрқашан ескеріледі, егер продакшн-артефактқа түсіп, runtime-та қолжетімді болса. Тек бұл дәлелденсе және саясатта бекітілсе ғана елемеңіз.

Қамту және инвентаризация сапасына қатысты метрикалар

Ең жақсы SCA сканері де анализге тек бір бөлек кодты көреді немесе тәуелділіктерді «кез-келген түрде» оқиды десеңіз, ол пайдасыз болады. Сондықтан алдымен уязвимдіктерді емес, кіріс деректерінің сапасын өлшеңіз: не анализге түсіп жатыр және компоненттер ведомостығы қаншалықты толық.

Скан қаптамасы: нақты не анализге түседі

Қамтуды тек бір «сканируем/сканируем емес» ғана емес, бірнеше үлес арқылы санаған дұрыс — олар соқыр аймақтарды көрсетеді. Мысалы: қанша репозиторий CI-де сканалады (қолмен емес), нақты қандай тармақтар тексеріледі (main және релиз тармақтары), қандай артефакт түрлері (контейнерлер, пакеттер, образдар) SCA-ға түседі және конфигурация қателері салдарынан скан қаншалықты жиі өткізіліп кетеді.

Инвентаризация сапасы: тәуелділіктер тізіміне сенуге бола ма

Екінші топтағы метрикалар компоненттер тізімінің қаншалықты дәл екенін көрсетеді. Мұнда дұрыс манифесттері бар жобалардың үлесін санаған пайдалы (package-lock, pom.xml, requirements.txt). Егер манифесттер жоқ немесе нұсқалар бекітілмеген болса, бір жоба әртүрлі скан нәтижелерін береді және тәуекел туралы дауластырулар үздіксіз болады.

Қосымша ретінде «белгісіз тәуелділіктерді» өлшеңіз: қайсы компоненттерге түсінікті источник, нұсқа немесе иесі жоқ. Практикалық маркер — табылғандар қаншасы репозиторийге, пакетке немесе командаға мағынамен тез байланбайды.

Және бөлек пайдалы метрика — тәуелділіктердің «жаңалығы»: N мажорлық нұсқадан артта қалған компоненттердің үлесі. Кейде релизде критикалық CVE жоқ, бірақ кітапханалардың жартысы үш мажорлық нұсқадан артта. Бұл келесі жаңарту циклінің ауыр болатынын көрсетеді, сондықтан алдын ала уақыт бөлген дұрыс.

Түзету мерзімдері: SLA, MTTR және уязвимдіктердің жасы

Релиздер қауіпсіз болсын десеңіз, «қанша уязвимдіктер табылды» жеткіліксіз. Маңыздысы — команда тәуекелді қаншалықты жылдам жапқан және түзету кезіндегі кезектілік шексіз құйрыққа айналмауы.

Уязвимдіктерге арналған SLA-ны жалпы емес, критичтілік деңгейі мен артефакт типі (қосымша, контейнер, кітапхана) бойынша қою керек. Бастау үшін келесі каркас жеткілікті болуы мүмкін:

  • Critical: 7 күн ішінде түзету немесе өтеу шарасы
  • High: 30 күн ішінде
  • Medium: 90 күн ішінде
  • Low: жоспар бойынша, бірақ қарыздың өсуіне жол бермеу

Жылдамдықты не арқылы өлшеу керек деген сұрақ пайда болады. MTTR (орташа түзету уақыты) есеп үшін ыңғайлы, бірақ сирек ұзақ тапсырмалар оны «бұрмалауы» мүмкін. Сондықтан медиананы да бірге ұстаңыз: ол командаға тән типтік жылдамдықты адал көрсетеді. Егер MTTR 40 күн, ал медиана 12 болса — көпшілік түзетулер тез аяқталып, бірақ бірнеше қалып қойған ұзақ проблемалар бар және олар тәуекел тудырады.

SLA жұмыс істеуі үшін үшінші метрика міндетті — уязвимдіктердің жасы (age of vulns): қанша табылғандар рұқсат етілген мерзімнен ескірген. Тек санды көрсету ғана емес, оны қайда жатқаны: репозиторий, сервис немесе команда бойынша көрсету маңызды. Сонда әңгіме нақты болады: «біздің 200 High бар» емес, «төлем сервисінде 14 High бар, олар 30 күннен асады».

Сондай-ақ бэклог динамикасын бақылаңыз. Мысалы: аптасына сканер 20 жаңа High табады, ал жабатындар 10 ғана. Формально жұмыс жүріп жатыр, бірақ қарыз өседі. Жақсы есеп 4–8 апта трендін көрсетеді: сіз кезекті тазалап жатырсыз ба әлде жинап жатырсыз ба, және қай категориялар (мысалы, транзитивті тәуелділіктер) негізгі өсу береді.

Релиз дайындығына қатысты метрикалар: не шын мәнінде жеткізуді тежейді

CI/CD-дегі SCA аудиті
Сканирование қамтылуын, инвентаризация сапасын және пайплайндағы тар құйрықтарды тексереміз.
Аудит сұрау

SCA CI/CD-ге қосылғанда релиздер көбіне уязвимдіктен гөрі шешім қабылдаудың қалай орындалатынынан тұрып қалады: блоктау, қазір түзету немесе шегерім беру. Сондықтан релиз дайындығы метрикалары процессідегі тар нүктелерді жарыққа шығаруы тиіс.

Пайдалы бастапқы нүкте — саясат бойынша сборкалардың блокталуы. Mend, Snyk және Sonatype әдетте қай ережелер іске қосылғанын көрсетеді (CVSS, эксплойт бар-жоғы, тәуелділік типі, лицензия). Егер бір ереже көп сборкаларды тоқтатса, бұл сигнал: ереже ағымдағы шындыққа тым қатты немесе командада тәуелділікті тез жаңартатын жол жоқ.

Неліктен жеткізу тежеулігін түсіну үшін әдетте мына көрсеткіштер жеткілікті:

  • саясат бойынша блокталған сборкалар пайызы, себептері бойынша жіктелген
  • шегерімсіз өткен релиздер үлесі
  • критикалық табылғанға дейінгі шешім уақыты (пайплайнда пайда болудан бастап: фикс, өтеу шарасы немесе шегерім деген шешімге дейін)
  • триаж сапасы: нерелевант деп танылған табылғандардың үлесі (қате матч, қолданылмайтын компонент, қол жетпейтін код)

Жақсы бағдарлама: егер «шешім уақыты» фикс жасаудан ұзақ болса, мәселе әзірлеуде емес, келісулер мен нақты жауапты тағайындауда жатыр. Мысалы, мемлекеттік немесе банк жобасында релиз бір CVE бойынша ИБ-пен апта бойы хат алмасуға тұрып қалуы мүмкін — эксплойт бар ма, сіздің конфигурацияңызды зақымдай ма, тәуекелді кім қабылдайды — сияқты сұрақтар анық емес болса.

Сонымен қатар «нерелевантты» табылғандардың өсуіне назар аударыңыз. Оның жоғары пайызы саясаттың дәл бапталмағанын, пайдаланудың контексті жоқтығын немесе команданың құралмен талас-қимылда уақыт жоғалтатынын білдіреді. Бұл тікелей жеткізу жылдамдығын және SCA-ға сенімділікті жейді.

Шегерімдерді тәртіп сақтау: ережелер, мерзімдер және тәуекел қабылдауды бақылау

SCA-да шегерімдер керек, бірақ дәл солар процессін көбінесе бардакқа айналдырады: уязвимділік «уақытша» рұқсат етілді, кейін ұмытылды. Метрикалар жұмыс істеуі үшін шегерім басқарылатын шешім болуы тиіс: иесі, мерзімі және тексеруі бар.

Әдетте шегерім үш жағдайда қолайлы: тәуелділікті түзейтін патч жоқ (немесе жаңарту үйлесімдікті бұзады), табылған жалған (CVE пакетті қате байланыстырады), немесе компенсациялық шаралар тәуекелді қабылдауға жеткілікті түрде төмендетеді (мысалы, сервис сырттан қолжетімді емес, WAF ережелері қосылған, осал функция өшірілген).

Шегерімдерге минималды талаптар

Жақсы минимум келесідей:

  • мерзімі: шегерім шектеулі мерзімге беріледі (мысалы, 30–90 күн) және автоматты түрде қайта қарауға түседі
  • иесі: әр шегерімнің өнім жағынан жауаптысы бар, ол қайта қарауды қадағалайды
  • негіздеу: қысқаша себеп пен тәуекелді төмендету шаралары жазылады
  • бекіту: тәуекелді қабылдау тағайындалған тәуекел иесі тарапынан қол қойылады (өнім жетекшісі немесе ИБ, критичтілікке қарай)
  • тексеру: әр релизде шегерімнің мерзімі өтіп кеткен жоқ па және фикс шыққан жоқ па тексеріледі

Мысал: команда мемлекеттік ұйымға жүйе шығарып жатыр. SCA транзитивті кітапханада критикалық уязвимділік табады, бірақ жаңарту сыртқы модульмен интеграцияны бұзады. Шешім: 45 күнге шегерім беру, осалды компонентке сырттан қол жетімділікті жабу және мониторинг қосу. Егер патч ертерек шықса, шегерім дереу алынады.

Шегерімдерге арналған метрикалар

Күрделендірмеңіз. Көптеген жерлерге төрт көрсеткіш жеткілікті: активті шегерімдер саны, шегерімдердің орташа жасы, мерзімі өтіп кеткен шегерімдердің үлесі, шегерімдердің себептері бойынша үлесі (патч жоқ, жалған табылу, компенсациялық шаралар). Бұл көрсеткіштер тез көрсетеді қай жерде тәуекел үнсіз жиналып жатқанын, тіпті Mend, Snyk немесе Sonatype есептері «жасыл» көрінсе де.

ИБ мен басшылыққа есеп: оқылатын формат

SCA-метрикаларын сізге бейімдеу
SCA-ның қай метрикалары мен порогтары нақты релиздерді дауларсыз өткізуге көмектесерін талқылаймыз.
Өтініш қалдыру

SCA есебі Mend, Snyk немесе Sonatype-тен шыққан 40 беттік шығарма болмауы керек. ИБ мен басшылыққа маңызды сұрақтар: тәуекел қайда өсіп жатыр, қай жерде мерзімдер бұзылып жатыр және дәл қазір релизді не бөгеп тұр. Егер есеп 5 минутта шешім қабылдауға көмектессе, оны оқиды.

ИБ әдетте нені көргісі келеді

ИБ динамика мен тәртіпті қарайды, бір реттік «суретті» емес. Жақсы есеп аймақтағы трендтерді, SLA өтілмегендерін және нақты продқа қалатын критикалық ашық тәуекелдерді көрсетеді. Сондай-ақ шегерімдерді бөлек көрсету маңызды: кім келісім берді, қашанға дейін жарамды және түзетудің орнына не істелетінін көрсету.

Көрер көз жүктемесін азайту үшін көрсеткіштер жиынтығын қысқа ұстаңыз. Мысалы, KPI-ды мыналарға дейін қысқартуға болады:

  • релиздік тармақта ашық тұрған Critical/High уязвимдіктер саны және кезең ішіндегі өзгерісі
  • SLA ішінде түзетілген уязвимдіктердің үлесі
  • High уязвимдіктер бойынша MTTR
  • ең ерте ашық қалған High-тардың жасы (күндермен)
  • активті шегерімдер саны және мерзімі өтіп кеткендерінің үлесі

Скан қамтуы мен патч жоқ уязвимдіктер үлесін көбінесе анықтамалық көрсеткіш ретінде ұстайды.

Басқаруға көмектесетін қырлар

Сол KPI-дың бірнеше қырынан көрсету пайдалы: өнім немесе сервис бойынша, команда бойынша, жеткізуші бойынша (қандай кітапханалар қарыз тудырады), артефакт түрі бойынша (контейнерлер, қосымшалар, образдар). Сонда нақты қай жерде мәселе өнімде екенін, ал қай жерде процессінде екенін көруге болады.

Аудит үшін алдын ала дәлелдерді жинаңыз: бекітілген порог саясаты (не релизді блоктайды), мерзімдері бар шегерім журналы, түзетулер тарихы (тикеттер, merge даталары, релиз даталары). Сол кезде тексеру тәуекелді бақылау туралы болады, цифр төңірегінде дау емес.

Қадам бойынша: SCA метрикаларын релиз процесіне енгізу

Метрикалар жұмыс істеуі үшін олар шешімге байлануы керек: релиз шығарыла ма, жоқ па. Қарапайымнан бастаңыз: бір мақсат (жеткізу қауіпін азайту), үш тарап және рөлдер (әзірлеу, DevOps, ИБ) және релиз блокталса эскалация ережесі анық болу.

Содан кейін шағын метрикалар мен порогтар жиынтығын таңдаңыз. Метрикалар тым көп болса, олар қолданылмай қалады. Кәдімгі түрде 5–7 шынайы релизге әсер ететін метрикалар жеткілікті.

Енгізудің минималды жоспары

  • иелерді бекітіңіз: кім есептерді қарайды, кім тәуекел қабылдайды, пайплайнды кім өзгертеді
  • блоктау порогтарын анықтаңыз: мысалы, жоспар немесе расталған тәуекел қабылдаусыз 0 критикалық уязвимдіктер
  • триажды орнатыңыз: табылғанның шын екенін және продқа қатысты екенін кім және қаншалықты тез растайды
  • шегерімдерді басқарылатын жазбалар түрінде жасаңыз: себеп, шешім иесі, аяқталу күні, өтеу шаралары
  • CI/CD-де автоматтандыруды орнатыңыз және ИБ мен релиз-менеджерге тұрақты есеп қосыңыз

Іске қосқаннан кейін ритмді бекітіңіз. Аптасына бір рет SLA просрочкаларын, уязвимдіктердің қартаюын және мерзімі келіп қалған шегерімдерді қараңыз. Саясатты аз-аздан түзетіңіз: егер релиздер бір типті тәуелділіктен үнемі блокталса, мәселе көбінесе жаңарту ережелерінде немесе компонент иесінің жоқтығында.

Мысал: релиз алдындағы командада CVSS 9.8 транзитивті кітапханада көрінеді. Шешім «кейінге қалдыру» емес, екі нұсқадан біреу: шұғыл жаңарту мен нақты аяқталу күні немесе 14 күнге шегерім және миграция тапсырмасы.

Сценарий мысалы: бір релиз, үш табылған және тәуекел бойынша шешім

Команда екі аптада бір релиз шығарады. Жоба ондаған кітапханаларға тәуелді, SCA сканы пайплайнда сборка алдында жүреді. Осы жолы құрал (Mend, Snyk немесе Sonatype маңызды емес) тәуелділіктерде үш мәселе тапты.

Саясат қарапайым: егер продакшнда CVSS 9.0+ уязвимділігі бар және расталған эксплойт немесе уязвимді код шынымен қолданыста болса, релизді блоктаймыз. CVSS 7.0–8.9 автоматты түрде блоктамайды, бірақ түзету жоспары қажет. Төменгісі бэклогқа түседі, егер ерекше жағдай болмаса.

Релизде табылғандар:

  • Кітапханада CVSS 9.8: тікелей тәуелділік, эксплойт бар, жаңарту қолжетімді
  • Транзитивті кітапханада CVSS 8.1: эксплойт жоқ, жаңарту мажорлық ауысымды талап етеді
  • CVSS 6.5, бірақ кітапхана тек dev-тесттерде қолданылады

Даулы жағдайларды триаж арқылы шешеді: иеленуші тағайындалады (әдетте тимлид немесе сервис иесі), мерзім белгіленеді, қажет жағдайда шегерім аяқталу мерзімімен рәсімделеді. Мерзімі жоқ шегерімдер қабылданбайды.

Релизге қатысты шешім үш метрикаға әсер етеді:

  • контекске қарай (эксплойт, орта, қолжетімділік) CVSS саясаты бойынша блоктау уязвимдіктерінің үлесі
  • ұқсас табылғандар бойынша уязвимдіктің жасы және MTTR
  • активті шегерімдер саны және олардың қаншасы мерзімі өтіп кеткен

Нәтижесінде бірінші уязвимдікті релизге дейін жөндейді (тәуелділікті жаңарту), екіншісін 14 күндік тәуекел қабылдауымен шығарады және миграция тапсырмасын қояды, үшіншісі продқа әсер етпейтіндігін белгілеп, команданың уақытын сарптамайды.

Жылдам чек-лист: сіздің метрика бағдарламасы дайын ба

Метрикалар бағдарламасын тез іске қосу
2–4 аптаға арналған қысқа жоспар құрамыз: метрикалар, рөлдер, триаж және тұрақты ритм.
Жоспар алу

SCA метрикалары жұмыс істегенде олар бір анық жауап береді: релиз шығаруға болады ма және нақты не кедергі келтіруде. Төмендегі элементтер болмаса, цифрлар тез шуды тудырады.

Жауап керек 5 сұрақ

  • уязвимдіктердің ауырлығы бойынша формалды порогтар бар ма (мысалы CVSS) және релиз қашан блокталады, қашан тәуекел қабылданады деген ережелер бекітілген бе
  • критичтілік деңгейлері бойынша түзету мерзімдері бар ма және әр өнім мен команда бойынша просрочкалар көрініп тұрады ма
  • шегерімдер себеппен, шешім иесімен, аяқталу мерзімімен тіркеледі ме
  • ИБ тұрақты бір форматтағы есеп ала ма: кезең бойынша трендтер және продта қалған ашық критикалық тәуекелдер тізімі
  • кідірістер себептері талданады ма: патч жоқ, нұсқа қақтығысы, жалған табылу, тәуелділік қолданылмайды, үйлесімділік бұзылады

Бұл формальдылық емес екенін қалай түсінуге болады

Жақсы белгі: апталық қорытындыда сіз 2–3 нақты кедергіні және олардың иелерін айта аласыз. Жаман белгі: талқылау «жоғары/орта» сияқты ұғымдарға түсіп, ешкім мерзімге жауап бермейді.

Қарапайым тест: релиз жоспарда бір критикалық табылғанды алып, команданы 10 минут ішінде шешім карточкасын толтыруға шақырыңыз: блоктаймыз немесе тәуекел қабылдаймыз, қанша күнге, әрі не істейміз. Егер бұл бірнеше сағатқа созылып, тек хат алмасу болса — метрика бағдарламасы релиздерді басқаруға әлі дайын емес.

Келесі қадамдар: сканнан басқарылатын релиздерге көшу

SCA скандары шуды тоқтатсын десеңіз, кішігірімден бастаңыз және нәтижелерді релиз шешімінің міндетті бөлігіне айналдырыңыз. Қате — бірден бірнеше құрал қосып, әр түрлі цифрлар алып, команданың сенімін жоғалту.

Жұмыс істейтін бастапқы схема: бір өнім (Mend, Snyk немесе Sonatype) таңдап, ағымдағы күй бойынша базалық метрикалар сызығын бекіту. 2–4 аптадан кейін шынайы картинаны көресіз: қанша уязвимділік шын мәнінде релизді бөгейді, қанша айлар бойы тұрып жатыр және қай жерде шегерім көп.

Жылдам әсер әкелетін минималды іс-әрекеттер жиынтығы:

  • CVSS бойынша 2–3 порог пен контекстті бекіту (мысалы, эксплойт бар уязвимдіктерге бөлек ереже)
  • Critical және High үшін түзету SLA енгізу және иелерін тағайындау
  • шегерімдерді мерзімімен шектеу (мысалы, 30–90 күн) және себеп пен өтеу шарасын талап ету
  • ИБ мен басқарма үшін бір анық есеп келісу: тренд, қарыз, шегерімдер, релиз статусы

Даму мен ИБ арасындағы саясатты келісу «тамаша қауіпсіздік» туралы абстрактілі пікірталас емес, нақты өнім тәуекелдері төңірегінде болғаны дұрыс. Мысалы, SCA High тапса да, компонент runtime-та қолданылмаса релизді блоктаудың қажеті жоқ. Бірақ бұл шешімді тіркеу (мерзімімен) және оны мәңгі «кейін» деп қалдырмау маңызды.

Интеграторды тарту орынды, егер сіз тек сканды қосып қоймай, процессті бекіту керек болса: CI/CD ережелері, тәуекел қабылдау шаблондары, рөлдер, тұрақты есептер және командаларға оқыту.

Егер сіз мемлекеттік секторда немесе формал есеп пен мерзімді бақылау маңызды ірі ұйымдарда жұмыс істесеңіз, GSE.kz (gse.kz) SCA-ны жүйелік интеграцияның бөлігі ретінде таңдап, саясаттар мен есептер баптауда, пайплайнға интеграцияда және 24/7 қолдауда көмектесе алады.