Российская компания «Антифишинг» запустила Start EDU — продукт для обучения навыкам безопасного кода. Платформа учитывает специфику проекта, автоматически подбирает тренировочные модули, исходя из задач и уровня знаний разработчиков в ИБ.
Продукты экосистемы уже используют в Райффайзенбанк, QIWI, Банк Санкт-Петербург, МВидео-Эльдорадо, Промомед, Объединенная Зерновая Компания и других компаниях в России и СНГ.
Внутреннее или внешнее обучение разработчиков новым подходам по предупреждению угроз обычно не структурировано, отнимает много ресурсов и не приносит ожидаемого эффекта.
Start EDU входит в продуктовую экосистему Start X, уникальность платформы состоит в проверке навыков разработчиков и автоматическом подборе обучающих модулей под конкретный проект и уровень знаний по ИБ. В платформе руководитель продуктовой команды назначает программу обучения на основе характеристик создаваемого ПО и распределяет разработчиков по командам. Еще одна особенность — построение карты компетенций по каждому сотруднику.
Start EDU предлагает интерактивный и прикладной формат обучения. Продуктовые команды развивают навыки безопасной разработки на актуальных кейсах и примерах реального кода. Например, кодирование и экранирование при работе с браузерами (XSS), Manipulation (манипуляции именами файлов и каталогов) и безопасную настройку Kubernetes. Платформа содержит подробные задания на поиск уязвимостей в приложениях, где нужно выбрать правильные варианты реализации защиты, и даже квизы с проверочными вопросами для закрепления знаний.
«Многие продуктовые команды понимают важность требований по безопасности и преимущества подхода Shift-Left Security, но забывают о самом важном — людях и компетенциях команды по написанию безопасного кода. Грамотные разработчики видят потенциальные уязвимости и предотвращают их еще на этапе проектирования продукта. И эти компетенции важно развивать без отрыва от реальных задач команды», — рассказывает Сергей Волдохин, директор по продуктам экосистемы Start X.
Ранее компания представила систему для управления требованиями по безопасности Start REQ, она помогает продуктовым командам создавать защищенные программные продукты в рамках процессов DevSecOps.