Управление рисками в цепочке поставок (SCRM) – ключ к защите вашего бизнеса и обеспечению безопасности на всех этапах поставок.

Безопасность часто начинается в тех местах, которые вы не видите — именно там, где разрабатываются и объединяются приложения и программные компоненты. Именно здесь вступает в силу наше управление рисками цепочки поставок (Supply Chain Risk Management, SCRM). В Protectstar мы контролируем каждый этап цепочки поставок — от разработки и тестирования до доставки. Этот комплексный процесс защищает вас от скрытых рисков и укрепляет наши высокие стандарты мобильной безопасности, что подтверждается нашими текущими сертификатами DEKRA MASA L1 для Antivirus AI, Anti Spy и iShredder Android.
 

Что такое управление рисками цепочки поставок (SCRM)?

SCRM охватывает все меры и процессы, направленные на обеспечение тщательной проверки и мониторинга отдельных компонентов — будь то библиотеки кода, внешние сервисы или сторонние поставщики — перед тем, как они станут частью продукта. В эпоху все более сложных программных сред это критически важно для раннего выявления уязвимостей и предотвращения атак на цепочку поставок, таких как Log4Shell или компрометация репозиториев кода, например, SolarWinds.

Ключевые стандарты в цепочке поставок программного обеспечения

• NIST SP 800-161 (Управление рисками цепочки поставок)
• NIST SP 800-53 r5 (Контроль безопасности)
• ISO/IEC 27036 (Меры информационной безопасности в отношениях с поставщиками)
• SBOM (Software Bill of Materials): Обеспечивает прозрачность относительно того, какие компоненты и библиотеки включены в программное обеспечение.

Соблюдение этих и других лучших практик (например, ISO 28000 для безопасности цепочки поставок) значительно снижает риск потенциальных векторов атак.
 

SCRM — невидимый, но важнейший элемент наших приложений

Возможно, вы задаётесь вопросом, как мы гарантируем, что каждая библиотека и каждый внешний сервис, используемые в наших приложениях, заслуживают доверия. Краткий ответ: благодаря последовательному применению SCRM. Ни один код библиотеки, ни один внешний модуль и ни один сторонний поставщик не интегрируются без нашей проверки следующих аспектов:

• Технические проверки безопасности
  Все компоненты должны быть свободны от известных уязвимостей и бэкдоров.
  Мы опираемся как на внутренние, так и на внешние аудиты, регулярное тестирование на проникновение и ревью кода.
  Открытые уязвимости в компонентах с открытым исходным кодом постоянно отслеживаются и управляются с помощью Software Bill of Materials (SBOM).
• Юридические и комплаенс-ревью
  Мы следуем признанным международным стандартам (например, NIST, ISO, OWASP).
  Это гарантирует, что все процессы — как наши, так и наших партнёров — всегда актуальны.
• Регулярные аудиты и сертификации
  Нас регулярно сертифицируют такие организации, как DEKRA, AV-TEST и другие.
  Для нас важна прозрачность: любые изменения в коде и внешних модулях постоянно документируются и оцениваются.

Для вас это означает бесшовную защиту от первой строки кода до загрузки готового приложения на ваш смартфон.
 

DEKRA MASA L1 — доказательство нашей последовательной стратегии безопасности

Важной вехой в нашем процессе SCRM является сертификация DEKRA MASA L1. Она подтверждает, что наши приложения не только обладают исключительно безопасной архитектурой, но и соответствуют строгим стандартам OWASP, а также проходят тщательную оценку как на уровне кода, так и инфраструктуры.