Сеть «М.Видео», входящая в группу САФМАР Михаила Гуцериева, выбрала PT Application Inspector для анализа исходного кода веб-приложений. Решение встроилось в налаженный процесс непрерывного обновления онлайн-магазина ритейлера, что помогло существенно повысить качество и надежность программного обеспечения в соответствии с требованиями информационной безопасности, а также ускорить выпуск и обновление веб-сервисов «М.Видео».
Для клиентов и партнеров компания «М.Видео» развивает множество веб-сервисов, основной из которых — интернет-магазин техники и электроники с ежемесячной посещаемостью более 11 000 000 пользователей (в 2017 году в месяц в среднем совершалось около 300 000 транзакций). В рамках проекта по выстраиванию процесса безопасной разработки ПО перед специалистами компании встала задача автоматизации проверки кода. Ручной анализ при нарастающих объемах кода стал невозможным: несколько команд разработчиков ежеквартально вносят порядка 140 изменений в разрабатываемое ПО. При таком объеме существовала вероятность появления в коде ошибок, которые могли привести к уязвимостям веб-ресурсов. Компания протестировала несколько решений, и только PT Application Inspector соответствовал предъявленным требованиям по глубине анализа, достоверности результатов и поддержке продукта вендором.
В отличие от других решений PT Application Inspector позволяет анализировать безопасность ПО «М.Видео» на всех этапах его жизненного цикла, в том числе проводить тестирование на самом раннем этапе разработки. Это стало возможным благодаря комбинации в продукте трех методов анализа — статического, динамического и интерактивного. Для проверки найденных уязвимостей PT Application Inspector автоматически определяет условия выполнения возможной атаки, что помогает подтвердить опасность этих уязвимостей.
Дополнительным преимуществом PT Application Inspector стало наличие в анализаторе большого количества фильтров, с помощью которых можно классифицировать найденные уязвимости. Благодаря этому специалисты по информационной безопасности и разработчики «М.Видео» могут работать только с актуальными угрозами, эффективно планируя процесс аудита и исправления уязвимостей.
«Выбор покупателя в пользу того или иного магазина диктуется не только ценами, но и удобством – легко ли выбрать товар, оформить заказ, отследить статус. Лидерство "М.Видео" на рынке бытовой электроники обусловлено, в том числе, постоянным совершенствованием ИТ-систем и онлайн-магазина компании. Мы нуждались в автоматизированном решении, которое предоставляло бы максимально точные результаты проверки и на которое можно было бы полностью положиться в рамках уже налаженного у нас процесса непрерывного обновления сайта. Наглядная визуализация результатов анализа PT Application Inspector позволяет нам оперативно определять риски и принимать нужные меры в рамках обеспечения информационной безопасности. Внедрение также ускорило выпуск и обновление веб-сервисов. Вкупе это повлияло на удобство и надежность интернет-магазина компании — значимого элемента омниканальной модели сети», — рассказал руководитель департамента информационной безопасности "М.Видео" Артем Кроликов.
«В ходе наших исследований уязвимости выявляются практически во всех веб-приложениях — 94% из них позволяют осуществлять атаки на пользователей, а 20% открывают злоумышленникам доступ к персональным данным, — комментирует Pами Мулейс, менеджер по продвижению PT Application Inspector компании Positive Technologies. — PT Application Inspector обеспечил команду "М.Видео" возможностью автоматически выявлять риски ИБ без отрыва от процесса производства ПО. Результатами проекта стали сокращение сроков и трудозатрат при выпуске ПО, улучшение качества исходного кода приложений, повышение осведомленности разработчиков в вопросах ИБ».