Sa platform ng Unified Frontal System (UFS), ang mga frontal na proseso ay binuo para sa Sberbank Online system (mobile application at web version), pati na rin para sa mga empleyado ng sangay at mga first-level direct sales specialist. Ang programa para sa pagbuo ng sistemang ito ay isa sa mga susi at estratehikong programa para sa Sberbank.
2018: Mga resulta ng pag-unlad para sa taon
Noong 2018, ang arkitektura ng UFS, mga proseso para sa pagbuo at pagpapalabas ng pag-andar sa kapaligirang pang-industriya ay napabuti, iniulat ng Sberbank sa isang ulat sa mga aktibidad nito para sa ika-2 quarter ng 2019. Ang posibilidad ng multi-bersyon ay ipinakilala din, salamat sa kung aling mga teknolohikal na serbisyo at functionality ng kliyente ang maaaring bumuo nang independyente at paulit-ulit sa kanilang sariling mga ikot ng paglabas.
Lumilikha ang programa ng EFS ng pinag-isang lohika ng serbisyo sa lahat ng channel, batay sa prinsipyo ng omnichannel (larawan - svpressa.ru)
Bilang bahagi ng pag-unlad ng Unified Financial System noong 2018, ipinatupad ng Sberbank ang functionality ng remote banking services para sa mga dokumentaryo na transaksyon (mga titik ng kredito, mga koleksyon) sa pamamagitan ng Sberbank Business Online, na nagpapahintulot sa kliyente na magpadala ng mga aplikasyon/kahilingan/sulat sa bangko sa elektronikong paraan, subaybayan ang kanilang mga katayuan online at tingnan ang pagrehistro ng kanilang mga transaksyon.
Ang serbisyong ito ay nagbibigay-daan sa iyo na bawasan ang oras na kinakailangan upang maghatid ng mga kliyente sa mga liham ng kredito at pagkolekta at dagdagan ang kasiyahan ng customer, sabi ng Sberbank.
Tinatawag ng Sberbank ang isa pang pangunahing kaganapan sa larangan ng EFS bilang simula ng yugto ng mass circulation ng system sa lahat ng mga kliyente sa tatlong mga channel ng mga remote na serbisyo sa pagbabangko noong 2018.
2017: Bagong bersyon ng ESF
Noong 2017, isang bagong bersyon ng platform ng EFS 7.0 ang binuo na may mas mataas na antas ng pagiging maaasahan at pagganap sa pamamagitan ng pagsuporta sa deployment mode sa isang multi-block na arkitektura at ang Stand-In mode, na nagbibigay ng mas mataas na fault tolerance at walang putol na pag-update ng functional. mga subsystem ng platform. Ang malawakang pagpapatupad ng isang bagong target na proseso para sa pagbuo ng EFS gamit ang "mga tool sa pag-unlad" ay sinimulan din. Ipinaliwanag ng Sberbank na ito ay magpapahintulot sa isang koponan na magpatupad ng mga solusyon para sa lahat ng mga channel, muling gumamit ng mga naipatupad na bagay at serbisyo hangga't maaari, bawasan ang bilang ng mga error dahil sa awtomatikong pagbuo ng mga karaniwang functional block, at bawasan din ang oras ng pagsasanay para sa bago. mga empleyado.
Ang inaasahang epekto mula sa pagpapatupad ng naka-target na proseso ng pagbuo ng EFS ay upang bawasan ng kalahati ang dami ng manu-manong pagpapaunlad.
Bilang karagdagan, noong 2017, tinukoy ng bangko ang pamantayan ng kalidad para sa platform ng ESF. Ang pagpapatupad nito ay sinusubaybayan gamit ang 12 sukatan. Ang paggamit ng pamantayan ay hinaba ang bilang ng mga error sa yugto ng pagsubok at naging posible upang matiyak na 50% ng mga error ay naalis sa loob ng 8 oras.
2016: Nakilala ang mga nag-develop ng Unified Frontal System ng Sberbank
Ang pangkalahatang kontratista ng Sberbank para sa paglikha ng Unified Frontal System ay ang kumpanyang Sberbank Technologies.
Ang mga kumpanyang may karanasan sa pagpapatupad ng hindi bababa sa tatlong proyekto upang bumuo ng mga front-end system mula noong 2013 ay inanyayahan na lumahok sa pagkuha (ang user audience ng proyekto ay dapat na hindi bababa sa 10,000 user). Ang mga kalahok sa kompetisyon ay dapat magkaroon ng hindi bababa sa 40 developer na may kaalaman sa Java programming language, 20 system analyst, 20 developer na may kaalaman sa JavaScript, css, html programming language at 5 architect. Ang mga espesyalista ng pangkat ng proyekto ng kalahok ay dapat mayroong Java Senior Specialist (hindi bababa sa 10 espesyalista) at Oracle Professional (kahit 1) na sertipiko.
Hiwalay, itinakda ng dokumentasyon ang pinakamataas na rate para sa mga espesyalista:
Ang pangkalahatang pagtatasa ng aplikasyon ng mga kalahok ay nakadepende sa 50% sa iminungkahing gastos sa pagsasagawa ng trabaho at 50% sa kalidad ng gawain sa pagsusulit.
Mga layunin ng system
Ang sistema ay gumagamit ng mga empleyado ng mga sangay ng bangko at mga call center, mga kliyente ng mga mobile application at online banking (mga legal na entity at indibidwal), at mga kasosyo sa pagbebenta ng mga produkto ng bangko. Idinisenyo din ang system na ito para kontrolin ang mga ATM at mga self-service terminal.
Ang pagpapatupad ng system ay titiyakin ang isang pinag-isang karanasan ng customer sa pamamagitan ng paglikha ng isang solong customer base para sa lahat ng mga channel ng serbisyo. Posibleng simulan ang pakikipag-ugnayan sa pamamagitan ng call center ng bangko, at magpatuloy, halimbawa, sa Internet bank o sa isang sangay mula sa sandaling naantala ang operasyon.
Ang isa pang layunin ng ESF ay upang mapabilis ang pagpapakilala ng mga bagong produkto ng bangko sa merkado. Sa kasalukuyang mga kondisyon, kapag ang iba't ibang mga aplikasyon ay may pananagutan sa pamamahala ng online at mobile banking, pagproseso, mga ATM, at mga terminal, ang pag-update ng mga serbisyo at produkto ng Sberbank (halimbawa, pagbabago ng rate ng deposito) sa buong bansa ay maaaring tumagal ng ilang linggo. Ang layunin ay bawasan ang time frame sa isang araw.
Gayundin, tulad ng inaasahan, babawasan ng EFS ang oras ng mga operasyon, pasimplehin ang interface ng mga empleyado ng sangay, pabilisin ang pagbagay sa trabaho ng mga bagong dating, at bawasan ang bilang ng mga error.
Pamamahala ng programa ng ESF
Sa pagtatapos ng 2018, si Alexey Poddubny ay naging pinuno ng programa ng United Frontal System. Ayon kay TAdviser, itinalaga siya sa posisyon na ito pagkatapos na umalis sa Sberbank si Elena Baturova, na dating pinamunuan ang proyekto ng ESF, pati na rin si Vadim Sharobaev, na sa ilalim ng kanyang pamumuno ay responsable para sa proyektong ito sa Sbertech. Magbasa pa.
Lumilikha ang Sberbank ng isang bagong nababaluktot na platform na magpapabago sa bangko sa isang kumpanya ng teknolohiya. Plano ng bangko na buksan ang access sa mga elemento ng platform nito sa pamamagitan ng API, pati na rin ang bahagyang pag-publish ng code ng mga pagpapaunlad nito, sinabi ni Sergei Ryabov, senior managing director at punong IT architect ng Sberbank, sa forum ng FinCore 2017. Nagbibigay ang FutureBanking ng mga sipi mula sa talumpating ito.
Ang kasabihan ni Charles Darwin ay nagsasaad na hindi ang pinakamalakas sa mga species ang nabubuhay, o ang pinaka matalino, ngunit ang isa na pinakamahusay na tumutugon sa pagbabago. Itinakda namin ang kakayahang magbago nang mabilis bilang pangunahing layunin ng aming diskarte sa teknolohiya at bilang pangunahing kinakailangan para sa pagbuo ng bagong platform.
Ang pangkalahatang diskarte sa pagbuo ng isang platform ay maaaring madaling ilarawan sa pamamagitan ng tatlong titik na "R": Rationalize- rasyonalisasyon at pag-optimize ng kasalukuyang arkitektura, Muling arkitekto- paglikha ng isang bagong platform, Pag-isipang muli- Muling pag-iisip sa sukat at paglikha ng isang ecosystem. Kami ay isang bangko, ngunit sa parehong oras ay tumitingin kami sa ibang mga merkado. Sa diskarte, sinabi namin na papasok kami ng mga bagong merkado, tulad ng pangangalaga sa kalusugan, merkado ng kotse, nagtatrabaho na kami sa merkado ng real estate at hindi lamang sa mga tuntunin ng mga mortgage.
Ano ang mga pangunahing kinakailangan para sa pagbuo ng aming bagong platform?
1. Ang pagiging sentro ng customer. Karamihan sa mga serbisyo at isang bagong diskarte sa serbisyo sa customer ay nangangailangan na alam namin hangga't maaari tungkol sa kliyente. Ito ay hindi lamang kung ano ang nasa aming mga pangunahing sistema, ito rin ay kung ano ang nasa paligid.
2. Pinag-isang espasyo ng impormasyon. Ito ay isang diskarte kung saan ang impormasyon ay magagamit sa aming mga sistema ng paggawa ng desisyon sa real time.
3. Mga nababaluktot na mekanismo para sa pag-set up ng mga kumplikadong produkto at proseso ng STP. Nagsusumikap kaming alisin ang pinakamaraming pakikipag-ugnayan ng tao hangga't maaari hangga't maaari; gumamit ng mga mekanismo tulad ng pagsubaybay sa aming mga proseso at awtomatikong pamamahala ng mga maling sitwasyon.
4. Ang isang napakahalagang bloke ay ang bukas na API. Alinsunod dito, ang mga API ay tumatagos sa lahat ng bahagi ng platform. Nagbubukas kami ng panlabas na API para sa aming mga kasosyo at kontratista.
5. Machine learning mechanism. Sinusubukan naming isama ito sa aming mga bahagi ng platform, at unti-unti namin itong ginagawa sa aming sistema ng paggawa ng desisyon.
6. Pinakamataas na pagiging maaasahan 24x7. Kami ay isang malaking sistemang mahalagang bangko, ang pagiging maaasahan ay ang aming lahat. Samakatuwid, gumugugol kami ng maraming pagsisikap upang matiyak na ang sistema ng impormasyon ay maaasahan hangga't maaari.
7. Pahalang na pag-scale sa low-end na kagamitan. Ang aming kasalukuyang mga sistema ng impormasyon ay matatag, makapangyarihan at malaki, ngunit nagtatrabaho kami sa malalaking high-end. Hindi na ipinagpatuloy ng maraming vendor ang ilan sa kanilang mga linya na naglalayon sa pinakamataas na high-end at lumilipat sa mid range at sa iba pang mga arkitektura. Sinusubukan din naming lumayo mula dito, upang mabawasan ang halaga ng pagmamay-ari.
8. Paggamit ng mga open source na teknolohiya. Oo, kami ay isang malaking bangko, mayroon kaming sariling karanasan, alam namin kung paano magtrabaho kasama ang mga tradisyonal na arkitektura, ngunit nagsimula kaming unti-unting lumipat sa open source.
9. Imbakan at pagproseso ng data sa memorya. Nagkaroon kami ng malalaking talakayan tungkol sa kung gagamitin ang teknolohiyang ito o hindi. Sa isang banda, ito ay malaking panganib, sa kabilang banda - ang pinakamalaking pagkakataon para sa bilis ng pagproseso ng data. Sa pinakahuling kumperensya ng Gartner Symposium sa Barcelona, nagsagawa ng mga talakayan kasama ang mga arkitekto at nangungunang analyst tungkol sa kung paano dapat itayo ang mga sistema ng impormasyon, kung anong mga pagkakataon at limitasyon ang mayroon.
Ano ang plataporma at kung paano namin ito inihaharap
Una, binuo namin ang core ng platform at bahagi ng mga pangunahing serbisyo na inuuri namin bilang business hub (sistema sa paggawa ng desisyon, pinag-isang profile ng customer, catalog ng produkto). Pero ngayon kami ay gumagalaw sa iba't ibang direksyon, kasama na dahil malaki kami, mas mahirap para sa amin na mag-swing.
Ang platform ay binubuo ng ilang mga layer ng arkitektura. Nasa ibaba ang teknolohikal na core.
Maaari mong tipunin ang ilan sa iba pang mga layer mula sa mga bloke ng Lego. Ang mga ito ay talagang magagamit muli na mga bahagi,
na ginagamit sa iba pang antas.
Ang puso ng bagong platform ay ang business hub. Ito ay mga bloke tulad ng Unified Client Profile,
katalogo ng produkto, sistema ng paggawa ng desisyon. Ito ang mga bagong solusyon na ginagawa namin ngayon,
na nagbibigay-daan sa kakayahang umangkop na pag-customize ng mga proseso at produkto.
Sa tuktok mayroon kaming Unified Frontal System. Mahalagang magbigay ng karanasan sa omnichannel para sa aming mga customer.
Ang malaking bloke ay mga pabrika ng pagkain. Kabilang dito ang mga pautang, deposito, at iba pang tradisyonal na produkto. Ngunit sa parehong oras, gumagawa kami ng mga bagong kumplikadong produkto, halimbawa, isang kumbinasyon ng mga produkto ng seguro at kredito.
Maaari kang lumikha ng anumang negosyo sa mga bahagi ng platform
Ang aming layunin ay gawing flexible at nako-customize ang platform para makabuo kami ng mga bagong bahagi dito. Napag-usapan na natin ang tungkol sa API at componentization, isang diskarte sa serbisyo sa lahat ng antas ng platform. Ito ay napakahalaga. Ang platform ay nagbibigay ng kakayahang magsama at mag-customize sa lahat ng antas.
Anong mga pangunahing teknolohiya ang ginagamit natin?
Narito ang ilan lamang sa kanila:
1. Imbakan at pagproseso ng data sa memorya. Nakikipagtulungan kami sa kumpanya ng GridGain, dumaan kami sa isang medyo mahirap na landas, dahil ang kabilang panig ng bilis ng trabaho ay ang pagiging maaasahan ng system. Talagang ipinapatupad namin ang ilan sa mga elemento na nawawala sa produktong ito mula sa simula. Ito ay mahirap, ang mga deadline ay inililipat sa isang lugar, ngunit sinusunod namin ang landas na ito dahil ang epekto ay mahusay na mga pagkakataon sa pag-scale.
2. Pahalang na pag-scale sa mga low-end na server. Ang aming buong pagpupulong ay x86 machine.
3. Open source. Medyo masakit din ito. Nagsimula kaming lumipat sa open source ilang taon na ang nakararaan at natuto. Sa layer ng integration gumagamit kami ng mga solusyon tulad ng Kafka, ZeroMQ. Ginagamit namin ang open-source na Activiti solution bilang isang BPM solution. Ginagamit namin ang WildFly bilang aming server ng application.
Kung nakikipag-usap ka sa malalaking kumpanya, karamihan sa kanila ay naglalathala ng lahat ng kanilang mga solusyon. Halimbawa, pinag-aralan namin ang karanasan ng Alibaba. Kasama rin ito sa aming diskarte. Ngunit ito ay nangangailangan ng isang tiyak na kapanahunan sa atin bilang isang organisasyon. Nasa simula na tayo ng ating paglalakbay, ngunit tiyak na ilalathala natin ito, dahil magbibigay ito ng ganap na magkakaibang mga pagkakataon.
Pinag-usapan ko ang tungkol sa sistema ng paggawa ng desisyon - ang core at puso ng aming platform. Ang bahaging ito ay masakit buksan sa simula pa lamang. Bubuksan namin ang mga bahagi, simula sa mga hindi kritikal na bahagi ng misyon. Ang aming gawain ay mabuksan ang code ng isang partikular na bahagi upang mapino ito ng komunidad. Ang aming diskarte ngayon ay medyo maingat.
Ano ang Unified Frontal System at kung paano namin ito binuo
Ang pangunahing kinakailangan ay ang pagpapatupad ng mga omnichannel na front-end na senaryo. Ang pagiging kumplikado dito ay hindi gaanong teknikal at mas organisasyon. Sigurado ako na sa maraming mga bangko ang istraktura ng organisasyon ay tulad na ang isang tao ay responsable para sa mga malalayong channel, ang isa pang tao ay responsable para sa mga sangay at sangay, at ang isang pangatlo ay responsable para sa call center at network. At, siyempre, kapag pinag-uusapan natin ang tungkol sa isang omnichannel customer service scenario, dapat itong ilapat sa maximum na posible sa lahat ng channel. Upang matiyak ito, mahalagang magkaroon ng kasunduan sa antas ng lahat ng mga responsable.
Mayroon kaming isang malaking hanay ng mga tool. Aktibo na kaming gumagamit ng teknolohiya ng React ngayon. Mayroon ding Angular. Ito ay dalawang alternatibo. Nag-ayos kami sa React.
Ang integration layer ay lumilikha ng paghihiwalay ng front-end system mula sa back office at sa aming iba pang sistema ng impormasyon. Ang pangunahing hamon ay upang matiyak na ang mga customer ay palagiang nagsisilbi sa mga channel. Ito ang aming target na diskarte. Sinimulan namin ang programa dalawang taon na ang nakakaraan at ngayon ay pumapasok na sa yugto ng pagtitiklop. Mayroong functionality para sa mga sangay at contact center. Ang susunod na taon ay medyo aktibong nakatuon sa mga malalayong channel.
Hub ng negosyo
Sa kasaysayan, ang bawat kliyente ng Sberbank ay nanirahan sa kanyang sariling awtomatiko
sistema ng pagbabangko. Ngayon ay lumalayo na kami sa diskarteng ito, lumipat sa online hangga't maaari.
profile ng kliyente, sa master system.
Ang iba pang mahahalagang bahagi ng business hub ay isang katalogo ng produkto; sistema ng paggawa ng desisyon;
pagpapatupad ng mga end-to-end na proseso; at isang integration layer na binuo sa Kafka at ZeroMQ.
Ang mga serbisyo ng accounting ay pinaghihiwalay gamit ang accounting engine paradigm, iyon ay, accounting ng produkto
hiwalay sa accounting.
Pabrika ng Data
Ito ay isang bagong estratehikong programa. Gumawa kami ng malaking taya sa Hadoop at mga kaugnay na teknolohiya. Mayroong ilang mga limitasyon, ngunit sinusubukan naming malampasan ang mga ito. Gumagamit kami ng mga klasikong solusyon. Nagpapatupad din kami ng mga solusyon mula sa Teradata.
Ang mahalaga para sa platform ay dapat nating matutunang itulak ang data mula sa antas ng mga pabrika ng pagkain sa antas ng analitikal na lubos na mahusay upang makagawa ng napakakomplikadong analytics na hindi natin magagawa online.
Nagtatrabaho sa pangkat
Ang isang malaking vector ng mga pagbabago sa bangko ay nauugnay sa pagbuo ng malapit na pakikipag-ugnayan sa pagitan ng negosyo at IT bilang bahagi ng pagpapatupad ng Agile. Tinatawag namin itong Sbergile. Sa isang banda, naririnig namin ang isa't isa, sa kabilang banda, ang diskarte na ito ay nagpapakilala ng higit na heterogeneity, dahil ang mga koponan ay tumatakbo nang magkatulad, kailangan nilang ma-synchronize kahit papaano. Sa kasong ito, ang kontrol sa arkitektura ay napakahalaga. Ngunit kung walang karaniwang pagtuon sa pagbuo ng isang bagong platform, hindi kami lilipat kahit saan. Ang pagkakaroon ng isang bagong layunin, dapat tayong tumugma dito.
Ang platform ay ang batayan para sa pagbuo ng isang ecosystem
Ang isang malaking direksyon sa aming diskarte ay nauugnay sa pag-unlad ng mga ecosystem. Ito ang mga serbisyo ng aming mga subsidiary at aming mga kasosyo na kailangan naming paunlarin. Ang pangkalahatang ideya ay upang bigyan ng mabilis na pagsisimula ang mga site na iyon na magiging bahagi ng ecosystem ng Sberbank.
Ang core ng platform ay maaari ding magbigay ng mabilis na pagsisimula, dahil ang ilan sa mga elemento ay maaaring magamit muli. Pinag-uusapan natin ang tungkol sa mga serbisyo tulad ng pagkakakilanlan, pagpapalitan ng data, API. Ito ang mga bloke na kakailanganin ng lahat. Sa kabilang banda, kung ito ay isang bagong negosyo, kung gayon ang mga elemento ng platform ay makakatulong na lumikha ng isang solusyon nang mas mabilis.
Gusto kong magtapos sa isang quote mula kay Mahatma Gandhi na "ang hinaharap ay nakasalalay sa kung ano ang iyong ginagawa ngayon." Kaya gawin natin. Dito kami pupunta.
Alisa Melnikova, Pangkalahatang Direktor ng SberTech, sa halip kaswal na sinabi na "ang kumpanyang pinamumunuan niya sa pagtatapos ng taon ay naging pinakamalaking developer ng software sa Russian Federation na may kita na 15.2 bilyong rubles (isang pagtaas ng 46%) at isang kawani ng 6515 katao laban sa 5300 tao noong 2014."
Napukaw ng SberTech ang merkado ng IT
Ang SberTech ay isang subsidiary ng Sberbank at nakikibahagi sa pagbuo at pagpapatupad ng software para sa bangkong ito. Maraming mga kumpanya ng IT sa Russia ang matagal nang hindi nagustuhan ang vendor na ito. Mayroong ilang mga dahilan para dito. Una, ang mga pangunahing integrator tulad ng CROC o Lanit ngayon ay nagbibigay lamang sa Sberbank ng mga solusyon sa hardware at mahigpit na hindi kasama sa software.
Pangalawa, ang SberTech ay parang vacuum cleaner na humihila sa mga programmer palabas ng merkado, na nag-aalok sa kanila ng mas mahusay na mga kondisyon sa pagtatrabaho. Walang isang kumpanya ng IT sa Russian Federation o Belarus na hindi mawawalan ng mga empleyado dahil sa kanya. Walang isang bangko kung saan hindi umalis ang mga nangungunang tagapamahala ng IT block.
Pangatlo, matapos maisagawa ang proyektong "English Channel" sa pagtatapos ng 2015 (isang walang papel na gitnang opisina sa platform ng Pega PRPC para sa 40 libong mga gumagamit), ang HP, Canon, Xerox at iba pang mga supplier ng printer ay nagsimulang magkaroon ng malaking problema sa sila. Kung dati isang beses sa isang linggo ang isang buong trak na may kargang papel ay inihatid lamang sa sentral na tanggapan ng bangko sa Moscow, ngayon kahit isang Gazelle ay sapat na. At pagkatapos ay para lamang sa pagpirma ng mga kontrata sa mga kliyente.
Ang open-source at in-house na pag-unlad ay isang priyoridad
At sa wakas, kung ano ang kawili-wili para sa mga developer ng software, ang SberTech ay ganap na lumipat sa open-source at sarili nitong pag-unlad. Sa tulong ng hanay ng mga tool na ito, sa malapit na hinaharap kinakailangan upang malutas ang tatlong pangunahing mga gawain: ang paglikha ng isang pinag-isang front-end system (UFS) para sa pagbuo ng mga channel ng serbisyo sa customer, isang platform ng suporta sa pagpapaunlad ng negosyo at ang paglulunsad ng isang data factory batay sa mga teknolohiya ng BigData.
Ang kumperensya noong Pebrero 6 ay nakatuon sa isang mas detalyadong pagsusuri ng proyekto ng ESF. Bakit kailangang isagawa ito ng Sberbank? Bakit dapat magsalita ang mga matataas na opisyal ng bangko sa harap ng mga programmer? Ang sagot ay ibinigay ng nangungunang tagapamahala ng Sberbank Vadim Kulik, na nangangasiwa sa IT at pamamahala sa peligro ng bangko.
Ayon sa kanya, matagal nang guinea pig ng Oracle Corporation ang bangko. Wala silang ganoong kalaking pag-install ng database ng vendor na ito na may ganoong load sa front office kahit saan pa. Sa ganoong karga at sukat, "napakaraming ipis" ang gumagapang palabas ng database na ito na hindi malinaw kung sino ang dapat magbayad kung kanino para sa mga lisensya.
Bilang tugon dito at sa maraming iba pang hamon, nagsimula ang SberTech na bumuo ng sarili nitong mga kakayahan. Kabilang dito ang sarili nating mga development at ang pagbili ng mga startup. Halimbawa, ito ay GridGain, na dalubhasa sa pagbuo ng software para sa pagproseso ng malalaking halaga ng data sa RAM sa real time (In-Memory Computing, IMC technology).
Kasabay nito, ang GridGain ay bumubuo ng isang open source distributed computing platform sa Java, na ipinamahagi sa ilalim ng LGPL at Apache 2.0 na mga lisensya. Ang katotohanang ito, gaya ng sinasabi nila, ay ginagawang posible na "mag-import-substitute", halimbawa, tulad ng isang pagmamay-ari na solusyong Aleman bilang SAP HANA na may tagumpay at kaunting pamumuhunan sa pananalapi. Kaya, kung may maipapakita ang mga fintech startup, kailangan nilang agad na hanapin kung saan matatagpuan ang Sberbank.
Tulad ng para sa harap, ang landas ng pag-iisa at sentralisasyon ng lahat ng maraming mga produkto sa isa ay pinili para sa aming sariling mga operator at para sa mga kliyente na may isang maginhawang interface para sa lahat ng mga aparato. Sa sukat ng Sberbank, ito ay talagang isang napakalaking trabaho. Hanggang kamakailan lamang, ang pagbabago, halimbawa, ang rate ng diskwento ng Central Bank ng Russian Federation sa lahat ng mga sistema ay tumagal ng hanggang 3 buwan. Sa rate na ito, madali kang matalo sa kumpetisyon sa parehong Tinkoff Bank.
Ang Sberbank ay katumbas ng Amazon o Google
Ang layunin ay upang makamit ang halos online na paglulunsad ng mga produkto sa merkado salamat sa EFS at ang parehong online na tugon sa mga pagbabago sa merkado salamat sa BI at BigData batay sa SOA integration bus, kumpara sa tradisyonal na banking core banking system at ERP. Ito, ayon sa nangungunang pamamahala, ay naglalagay ng Sberbank sa isang par hindi sa mga institusyong pinansyal, ngunit sa mga higante ng teknolohiya tulad ng Amazon o Google. Hindi bababa sa Russia. Kasabay nito, hindi natin dapat kalimutan na ang bangko ay mahina sa mga parusa sa Kanluran - samakatuwid, ang diin ay sa sarili nitong pag-unlad. At iyon ang dahilan kung bakit ang mga diskarte ng Tinkoff Bank ay hindi angkop sa kanya.
Pinipilit ng katotohanang ito ang SberTech na i-on ang vacuum cleaner sa isang bagong paraan at hanapin ang mga programmer na nasa isip ang mga hamong ito. Gaya ng sinabi ng mga tagapagsalita, ang mga IT specialist na nagtatrabaho sa mga bangko ay kumikislap at ayaw ng mga hindi kinakailangang pagbabago. Samakatuwid, ang mga mata ng mga recruiter ay bumaling sa Yandex at iba pa.
Ngunit hindi rin sila estranghero, handa silang mapanatili ang mga espesyalista sa anumang gastos. Samakatuwid, handa ang SberTech na isaalang-alang ang mga kandidato para sa "mga junior" at nagbubukas ng sarili nitong paaralan para sa pagsasanay ng mga programmer sa Java at JavaScript (walang isang salita ang sinabi tungkol sa PHP). Nagkaroon ng maraming pag-uusap sa mga round table tungkol sa mga developer ng interface at mga taga-disenyo ng layout. Ito ay lumabas na sa Russian Federation halos walang mahusay na mga espesyalista sa larangan na ito sa merkado, lalo na sa mobile.
Ang kumperensya ay tumagal ng buong araw na may maraming round table. Hindi posibleng ilarawan nang maikli ang lahat; nangako ang mga organizer ng kumperensya na mag-post ng video ng kaganapan para sa lahat ng mga interesado. At ito ay tungkol sa ESF! Ngunit dalawa pang megaproject, na inilarawan sa itaas, ay binuo nang magkatulad. Tila na sa bilis na ito ay maaabutan ng SberTech ang malalaking tindero ng Amerika.
Ang subsidiary na ito ng bangko, gaya ng dati, ay nagsimulang ipatupad ang lahat ng mga proyekto ng IT ng bangko at nagplanong pumasok sa bukas na merkado. Ngunit nagkamali ang lahat. Ang pundasyon ng teknolohiya ng impormasyon ng "pinakamalaking bangko sa Silangang Europa" ay nangangailangan ng kumpletong pag-aayos. Nilikha noong 2011, sa loob ng 7 taon ay hindi naabot ng kumpanya ang mga inaasahan.
Maaari mong, siyempre, subukang makipagtalo sa mga numero. Para sabihin na ito na ngayon ang pinakamalaking IT employer sa bansa. Higit sa 10 libong programmer! Masasabi nating lumaki ang kita sa nakalipas na taon. Ngunit ito ay malinaw na katibayan na ang bangko ay nagsimulang gumastos ng higit pa sa IT nang hindi pinapabuti ang kalidad ng mga serbisyo.
Noong Hunyo noong nakaraang taon, ang CEO na si Alisa Melnikova ay umalis sa kumpanya. Ngunit hindi ito nakatulong nang malaki sa kumpanya. Sa buong pagkakaroon ng subsidiary at napakahalagang kumpanya para sa Sberbank, napakaraming problema ang naipon na lahat sila ay nagsisimulang lumubog sa pangunahing kumpanya.
1. Masyadong maraming tao
Ang kadahilanang ito ay bunga ng pinaghalong gigantomania mula sa panahon ng Sobyet at ang pagnanais ng mga partikular na nangungunang tagapamahala na magkaroon ng mga badyet at kapangyarihan. Ngunit ang isa pang dahilan ay hindi naiintindihan ng kanang kamay ang ginagawa ng kaliwang kamay. Tandaan ang mahusay na pahayag ni Gref tungkol sa mga programmer?
"Hindi namin kailangan ng mga programmer ngayon Mayroon kaming isang malaking bilang ng mga programmer na aming kinakalaban," sabi ni German Oskarovich.
Kalahati ng mga ministri at karamihan sa mga kumpanya sa merkado ay sumisigaw at humahabol sa mga napakahalaga at lubhang kinakailangang "tagabuo" para sa digital na ekonomiya, na kung ano ang dapat na mga programmer, at nagpasya si Gref na makipaglaban sa kanila. Sino ang makakaunawa sa hinaharap? Bakit kailangan ng isang kumpanya ng napakaraming tao? Ang parehong VTB o Alpha na may Tinkov ay gumagastos ng mas kaunting human resources sa pagpapatupad ng eksaktong pareho o mas mahusay na mga katangian. Kasabay nito, ang mga tao ay naakit palayo sa palengke na may dobleng suweldo at nangangako na tiyak na babaguhin nila ang mundo dito. Ngunit sa katunayan ito ay lumalabas na isang ganap na naiibang kuwento. Ayon sa mga papeles, nangangailangan ng 200 programmer at ilang buwan ng pagsusumikap upang maglagay ng isang pindutan sa CRM.
2. Walang mga tagumpay
EFS, PPRB at FD. Ipinagmamalaki ito ng kumpanya at lantaran itong inilathala sa website nito. Tingnan natin ang isang partikular na halimbawa. EFS - Pinag-isang Frontal System. Ano ito?
Ang Unified Frontal System ay naglalayong mapataas ang antas ng kaginhawaan ng mga kliyente ng Sberbank kapag tumatanggap ng mga serbisyo, pati na rin ang kaginhawahan, bilis at kahusayan ng trabaho ng mga empleyado ng sangay na nagbibigay ng serbisyo sa customer. Ang EFS ay batay sa cross-channel. Saan man nanggaling ang user - sa pamamagitan ng isang application, isang browser sa isang computer sa bahay, sa pamamagitan ng isang tawag sa isang call center o opisina - maaari niyang ipagpatuloy ang serbisyo sa anumang channel mula sa sandaling natapos ang huling pakikipag-ugnayan sa alinman sa mga channel - ang system dapat kilalanin ang profile ng kliyente . Bilang karagdagan, ang EFS, sa pamamagitan ng sarili nitong API, ay nagpapahintulot sa mga kasosyo na mag-log in sa system, pati na rin ang pagsamahin sa mga platform ng third-party.
Ngunit ngayon maraming serbisyo ang makakagawa nito! Ano ang pumigil sa iyo na tapusin ang Bitrix24 o isang malaking bilang ng iba pang mga sistema upang maipatupad ang nakasulat sa itaas? Ito ay hindi isang uri ng espasyo. Ito ay katotohanan. Well, oo, malaki ang Sberbank. Ngunit hindi lamang ang isa sa mundo. Ito ay magiging posible upang maniktik sa iba upang gawin ito ng tama. Eksaktong pareho sa iba pang mga proyekto. Ang ganap na walang kapararakan ay ipinapasa bilang isang pambihirang tagumpay. At ang ilan sa mga "katarantaduhan" na ito ay hindi pa nagagawa, ngunit umiiral lamang sa papel.
3. Ang boring lang
Isa sa mga dahilan kung bakit hindi gumagana ang "holy agile and scrum" ay ang mga ito ay ipinatupad ng mga partikular na tao. Sa Sbertech, sa kondisyon na hindi nagpapakilala, kinumpirma ng ilang kasamahan mula sa kumpanya na kung minsan ay hindi nila naiintindihan kung ano ang kanilang ginagawa at kung paano nito babaguhin ang mundo. Hindi kailangan ng bangko ang lahat ng 10 libong programmer na ito sa mga naturang numero. Kaya tumahimik sila. Sa pera natin.
4. Pagpapataw ng mga kakaibang tungkulin sa kumpanya
Nagkaroon ng iskandalo sa isang analyst mula sa Sberbank CIB. Ang buong istraktura ay nabuwag. At ngayon ay inihayag ni Gref ang kanyang intensyon na palitan ang mga analyst ng "artificial intelligence."
Aba, kalokohan yan! Ngunit marami ang nakikinig nang nakabuka ang kanilang mga bibig. At inaasahan nilang gagawin ng Sbertech ang lahat ngayon. Napakaraming programmer! Ngunit tulad ng 9 na kababaihan ay hindi gagawa ng isang bata sa isang buwan, kaya narito - mabuti, hindi mo mapapalitan ang mga analyst ng isang computer o isang neural network sa taong ito. At ngayon isipin kung anong mga madiskarteng panganib ang mga ito para sa pangunahing kumpanya.
5. Patuloy na pagkagambala sa trabaho ng pangunahing kumpanya
Ano ang masasabi natin, kahit na sa SPIEF ang isang buong grupo ng mga tagaloob ay malakas na nagpahayag ng napakalaking pagkagambala sa gawain ng Sberbank sa forum. Na isang kahihiyan lang. Ang kumpanya, sa pamamagitan ng paraan, ay hindi kinumpirma ito, ngunit hindi rin ito itinanggi, na hindi direktang nagpapatunay sa katotohanan ng mga alingawngaw. Ngunit ang mga regular na pagkabigo, pagharang ng mga account para sa paglipat ng 666 rubles at mga katulad na kwento ay karagdagang katibayan ng kawalan ng lakas ng mga tagapamahala. Oo, mahirap, oo, mayroong isang ordinaryong savings bank. Ngunit walang nagligtas sa iyo ng pera at oras para sa pagbabago. Ang pag-asa ay ikaw ang magiging pinakamahusay sa mundo. Samantala, lumalabas na hindi mo nabigyang-katwiran ang aming pag-asa.
Mula sa pag-uusap na ito, malalaman mo kung ano ang eksaktong ginagawa ng IT subsidiary ng Sberbank na Sberbank Technologies, kung ano ang mga channel ng Telegram na dapat basahin ng isang espesyalista sa Application Security, at kung bakit hindi dapat kalimutan ang tungkol sa pagsasanay sa panahon ng pagsasanay.
IMPORMASYON
Ang Sberbank Technologies (SberTech) ay isang subsidiary na kumpanya ng IT ng Sberbank, na itinatag noong 2011. Nagsimula ang lahat sa isang pangkat ng 500 katao. Ang mga ito ay pangunahing mga espesyalista sa IT mula sa Sberbank na lumipat upang magtrabaho sa isang hiwalay na istraktura ng IT.
Ngayon, ang SberTech ay may kawani na humigit-kumulang 11 libong tao sa labing-anim na lungsod ng Russia. Ang mga pangunahing sentro ng pag-unlad ay puro sa mga lungsod na ito, kung saan nagtitipon ang mga rehiyonal na koponan ng mga espesyalista sa IT: Moscow, St. Petersburg, Novosibirsk, Innopolis, at iba pa.
Ang SberTech ay nakikibahagi sa pagbuo at pagpapatupad ng software, pati na rin ang suporta ng mga umiiral na Sberbank IT system. Sa ngayon, ang Sberbank ang tanging kliyente ng kumpanya.
Artem Bachevsky, pinuno ng pag-unlad ng mga IT system sa departamento ng Application Security
Sabihin sa amin kung ano ang ginagawa ng SberTech, anong mga proyekto ang ginagawa mo ngayon?
Sa kasalukuyan, ang pangunahing proyekto ay ang pagbuo ng isang bagong platform ng teknolohiya para sa Sberbank. Binabago nito ang isang modelo ng negosyo sa isang ecosystem. Magbibigay ang ecosystem na ito ng mga serbisyong hindi pinansyal, magkokonekta sa mga kasosyo at kontratista, makakapagproseso ng malalaking volume ng data sa maikling panahon, at magbibigay-daan para sa mataas na pagganap ng system.
Tingnan natin ang mga serbisyong hindi pinansyal. Anong mga proyekto ang pinag-uusapan natin?
Umiiral na ang mga naturang proyekto, dahil umuunlad ang ecosystem mula noong 2016. Ang isang kumpletong paglipat sa bagong platform ng teknolohiya ay pinlano bago ang 2020. Ang Sberbank ay nagsusumikap na lumayo sa pagbibigay lamang ng mga serbisyong pinansyal at aktibong nakakakuha ng mga kasosyo. Halimbawa, Sberbank-Real Estate ( Ang Real Estate Center mula sa Sberbank LLC ay bahagi ng pangkat ng mga kumpanya ng Sberbank. - Tinatayang. ed.), "Sberbank-Insurance", serbisyo sa Internet para sa paghahanap ng mga doktor DocDoc at iba pa. Kaya, ang pagbabagong-anyo sa isang ecosystem ay nagaganap. Ang mga kumpanya tulad ng Alibaba, Amazon, at WeChat ay sumusunod sa isang katulad na landas.
Ang "Ecosystem" at "technological platform" ay magagandang salita, ngunit gusto kong makarinig ng higit pang mga detalye. Ano ang kakanyahan ng iyong platform, ano nga ba ang iyong ginagawa at bakit namumukod-tangi ang mga teknolohiyang ito?
Ang bagong platform ay binubuo ng tatlong pangunahing programa.
Platform ng suporta sa pagpapaunlad ng negosyo- isang unibersal na tool para sa paglikha ng mga application ng negosyo. Ang bangko ay dapat maging isang Marketplace, na pinagsasama-sama ang iba't ibang mga tool upang makamit ang mga layunin ng mga kliyente nito. Nangangailangan ito ng pundasyon - isang bagong platform: nasusukat, nababaluktot, maaasahan at bukas, na may kakayahang magbago sa real time. Gumagamit ang development ng mga pinakabagong teknolohiya para sa distributed computing sa memory at pagpapatakbo ng mga application na may malaking halaga ng data sa real time - Sa Memory Data Grid.
Programa ng Data Factory idinisenyo upang mapataas ang antas ng kalidad, pagiging maaasahan at pagkakaroon ng data para sa pagsusuri. Ang mga empleyado ng bangko ay ganap na makakapag-analisa at makapagbibigay kahulugan sa data nang walang karagdagang gastos sa paggawa para sa kanilang koleksyon at pagkakasundo. Tinitiyak ng Big Data na gumagana sa mga super-array ng data para sa pag-monetize ng impormasyon at pagsusuri sa gawi ng mga customer at empleyado, upang ayusin ang mga diskarte sa pagtatrabaho sa iba't ibang segment.
Pinag-isang Frontal System- cross-functional na platform, sariling pag-unlad ng Sberbank. Nagbibigay ang mga tool ng platform ng tuluy-tuloy na cross-channel na karanasan para sa lahat ng produkto at serbisyo. Ang teknolohiya stack ay nagbibigay-daan sa iyo upang mapanatili ang mataas na pagganap, pagiging maaasahan at seguridad para sa mga gumagamit. Bilang karagdagan, sa pamamagitan ng sarili nitong API, pinapayagan ng EFS ang mga kasosyo na mag-log in sa system, pati na rin ang pagsamahin sa mga platform ng third-party.
Ngayon ay pag-usapan natin ang tungkol sa seguridad. Artem, sabihin sa amin kung ano ang ginagawa ng iyong departamento?
Ang aming dibisyon ay tumatalakay sa Application Security - application security. Ang departamento ay medyo bata pa, mga dalawa at kalahating taong gulang.
Ang aming pangunahing responsibilidad ay tiyakin ang seguridad ng aplikasyon. Ang mga ito ay pangunahing mga automated system na kritikal para sa bangko, ngunit lahat ng mga bagong mobile at mission critical development ay nahuhulog din sa aming lugar ng responsibilidad.
Sa kasalukuyan ang departamento ay gumagamit ng labinlimang tao. Sa karaniwang paraan, maaari silang hatiin sa tatlong koponan: koponan ng pagsubok sa pagtagos, mobile pentest at panloob na pag-unlad. Pinagsama-sama ng koponan ang mga empleyado na may iba't ibang teknikal na background, pangunahin mula sa iba't ibang lugar ng seguridad ng impormasyon, ngunit mayroon ding mga lalaki mula sa pamamahala at pag-unlad ng IT. Kasama ang aming mga kasamahan mula sa Sberbank, pinapataas namin ang seguridad ng mga system na binuo, pinapanatili ang isang makatwirang kompromiso sa pagitan ng mga pangangailangan ng negosyo, kaginhawahan ng user at ang patuloy na lumalagong mga panganib sa larangan ng software development.
Nakamit namin ang lahat ng ito salamat sa malakas na kadalubhasaan ng mga empleyado ng Sberbank at SberTech, pati na rin ang isang mature at pangunahing SDL (Secure Development Lifecycle), na isinasaalang-alang ang mga modernong uso at diskarte (Agile & DevOps) sa larangan ng software development.
Ang isang pangkat ng mga web pentester ay nakikibahagi sa pagpapatupad ng iba't ibang mga kasanayan, pagsusuri ng kanilang mga resulta at pagsasagawa ng pentest mismo. Ginagawa ng mobile pentest team ang parehong bagay, ngunit para sa mga mobile application. Mayroong maraming mga mobile application sa bangko, ito ay hindi lamang Sberbank Online, mayroon ding Business Online, corporate services at iba pa.
Paano itinayo ang imprastraktura na ito, nabanggit mo ang SDL?
Sinusubukan naming buuin ang imprastraktura sa paraang tinutulungan kami ng mga kasamahan na "nasa konteksto ng code" sa pagsusuri ng mga resulta ng pag-scan, pagsusuri ng code at pagsusulat ng mga panuntunan para sa SAST (static application security testing). Bilang bahagi ng inisyatiba upang patuloy na maghatid ng halaga sa kliyente, tinitiyak namin ang seguridad ng aplikasyon sa pamamagitan ng pagpapakilala ng konteksto ng Sec sa DevOps, na ginagawa sa Sberbank at SBT, at kung wala ang paglahok ng mga koponan ay imposible lamang ito.
Ang kasanayan ng pagsali sa mga developer sa pamamagitan ng mga kampeon sa seguridad ay napatunayang mabuti ang sarili nito. Ang mga kampeon sa seguridad ay mga empleyado sa mga development team na interesado sa propesyonal na pag-unlad sa larangan ng seguridad ng impormasyon upang mapataas ang seguridad ng mga system at mabawasan ang panganib ng mga kahinaan. Ito ay nakakamit sa pamamagitan ng pagtaas ng antas ng kakayahan ng mga AS development team sa usapin ng seguridad ng impormasyon, pagkopya ng mga secure na kasanayan sa pagbuo ng application, at pagbabawas ng tagal ng life cycle ng isang depekto sa seguridad ng impormasyon.
Regular din kaming nagsasagawa ng iba't ibang programa at pagsasanay sa kamalayan. Minsan sa isang quarter, mayroon kaming pangkalahatang kamalayan para sa lahat. Mayroon kaming pagsasanay sa pagsasawsaw sa ligtas na pag-unlad sa Java. Ang punto ay ito ang target na programming language sa bangko, kaya ang focus ay dito. Ang eksaktong parehong naka-target na dives ay umiiral para sa Android at iOS.
Tinatayang ilang oras ng pagsasanay ang natatanggap ng iyong mga developer bawat taon?
Sa larangan ng seguridad, mga apatnapung oras sa isang taon.
Ano sa palagay mo ang papel ng edukasyon ngayon? Araw-araw may lumalabas na bago, paano ito makakasabay?
Itinuturo namin ang mga pangunahing kaalaman at hindi agad nagsusumikap na gawing eksperto ang mga mag-aaral sa larangan ng cybersecurity. Sa yugtong ito, sapat na na isali sila sa paksa at ilatag ang mga pangunahing kaalaman. Sabihin nating sa konteksto ng Java ang mga ito ay magiging mga kasanayan ng secure na web application development, dahil sa lugar na ito maraming umiikot sa web security.
Ano ang kailangang gawin ng isang espesyalista upang palaging "manatili sa pinakadulo"?
Sa pinakamababa, inirerekumenda ko ang pag-subscribe sa mga temang Telegram na channel upang manatili sa trend at maunawaan ang iyong mga interes sa propesyon. Personally, nagbabasa ako ng HackerNews, Habrahabr at Hacker. Maaari kang mag-fork ng isang bagay sa GitHub, subukan ito, suriin ito, at pagkatapos ay maaaring ipatupad ito. Hindi kinakailangang sumisid sa paksa nang malalim hangga't maaari, ngunit tiyak na kailangan mong patuloy na sumubok ng bago.
Gayundin, sa aking palagay, magandang kasanayan ang lumahok sa iba't ibang programa ng CTF at bug bounty. Sa CTF maaari kang bumili ng ilang mga kasanayan, at binibigyang-daan ka ng bug bounty na legal na subukan ang seguridad ng mga kagiliw-giliw na system.
Siyempre, ang pag-aaral ay mabuti, ngunit ang pag-aaral nang mag-isa, sa palagay ko, ay hindi ka masyadong malalayo. Pagkatapos ng lahat, nang walang pagsasanay, ang pag-aaral ay walang halaga, at sa likod ng anumang tunay na karanasan, una sa lahat, mayroong tunay na gawain.
Ikaw ay ganap na tama. Sabihin sa amin ang tungkol sa iyong mga pagsasanay at kamalayan, paano ito nangyayari?
Sinusubukan naming ipakilala ang iba't ibang mga aktibidad at gamify ang mga proseso ng pag-unlad. Halimbawa, sa kumperensya ng ZeroNights 2017 ipinakita namin ang captcha-CTF. Ito ay isang kawili-wiling kompetisyon, kung saan ang bawat hamon ay isang captcha na may lohikal o software na error sa pagpapatupad nito. Inimbitahan namin ang mga kalahok sa kumperensya na hanapin ang mga kahinaang ito, na nagbibigay-daan sa paglutas ng maraming captcha sa maikling panahon.
Ang gawain ay simple: ito ay kinakailangan upang "malutas" ang dalawampung captcha sa loob ng sampung segundo, nang hindi aktwal na nilulutas ang mga ito. Ang mga kalahok ay hindi dapat i-type ang lahat ng ito sa pamamagitan ng kamay; Halimbawa, sa isa sa mga gawain ang captcha ay maaaring malutas nang probabilistically - kung palagi mong ilalagay ang sagot na "5", pagkatapos ay may 25% na posibilidad na maipasa ang captcha.
Ano ang layunin ng naturang kompetisyon? Ilang tao ngayon ang nagpapatupad ng mga captcha sa kanilang sarili. Pagkatapos ng lahat, mayroong isang handa at medyo maaasahang reCAPTCHA (kung ito ay ipinatupad nang tama), ngunit maaari kang magkamali sa pagpapatupad ng mekanismong ito. Kung nagpasya ang isang tao na ipatupad ang kanilang sariling captcha, kung gayon ang pakikilahok sa naturang kumpetisyon ay mag-iiwan ng mas kaunting pagkakataon ng mga kahinaan na lumitaw, dahil ang isang tao ay maaaring makakita ng maraming mga pagkakamali sa panahon ng kumpetisyon. Bukod dito, ang mga problemang ito ay nalalapat hindi lamang sa mga captcha: maraming iba pang mekanismo kung saan maaaring gumawa ng mga katulad na pagkakamali.
Ang SberTech ba ay may sentralisadong pagsasanay, halimbawa, nagsasanay ba sila ng mga programmer?
Ang lahat ng empleyado ay may mga pagkakataong matuto: panlabas (mga kurso at kaganapan), panloob (mga pagpupulong, hackathon, regular na pagpapalitan ng karanasan sa loob ng mga koponan at departamento). Ang mga panloob at panlabas na eksperto ay nagsasalita sa mga pagpupulong: halimbawa, ang isa sa mga huli ay nakatuon sa quantum computing kasama ng IBM.
Para sa mga mag-aaral at naghahangad na mga propesyonal, ang SberTech ay nagsasagawa ng mga libreng paaralan sa mobile development sa iOS at Android, Java at BPM. Inaanyayahan namin ang pinakamahusay na mga mag-aaral na magtrabaho batay sa kanilang mga resulta ng pagsasanay.
Magpatuloy tayo sa pagsasanay at sa iyong stack. Sabihin sa amin kung ano ang binubuo nito.
Sinusubukan naming maghanap ng mga kahinaan sa lalong madaling panahon, kaya gumagamit kami ng SAST (static na application security testing) at DAST (dynamic na application security testing) mula sa sandaling isulat ang unang linya ng code. Batay sa isang sikat na produkto ng SAST, gumagawa kami ng solusyon na nagdaragdag ng Seguridad sa DevOps para sa maraming mga automated na system na binuo sa SberTech. Kasalukuyan kaming nagpapatupad ng OWASP ZAP sa DevSecOps, na magbibigay-daan sa amin na bumuo ng mas secure at maaasahang mga application.
Naghahanap din kami ng mga kilalang kahinaan sa mga pampublikong bahagi. Para sa layuning ito, nilikha ang isang utility na pinagsasama-sama ang mga resulta ng iba pang katulad na mga tool (OWASP dependency check, Retire.js), at ini-scan din ang source code, na ibinubukod mula dito ang mga bahaging ginamit, na pagkatapos ay sinusuri laban sa mga pampublikong vulnerability database (NIST). , CVEdetails).
Bilang resulta ng manu-manong pagsusuri ng mga bug, nakaipon kami ng isang partikular na hanay ng data na may pagsusuri ng eksperto, at nagsanay kami ng isang modelo (pag-aaral ng machine, na sobrang hyped ngayon), na tumutukoy sa pagkakataon ng isang kahinaan na maging totoong positibo. Malaki ang naitutulong ng modelong ito, dahil ito man lang ay may kinalaman sa pagraranggo. Sabihin nating ang OWASP dependency check ay may napakababang false positive rate, ngunit napakakaunting resulta nito. Ang aming utility ay may mas mataas na maling positibong rate, ngunit salamat sa pagraranggo at mas malaking bilang ng mga resulta, kung minsan ay nakakakuha kami ng mga kahinaan na hindi natukoy dati ng ibang mga tool.
Para sa mga system kung saan naaangkop, gumagamit kami ng fuzzing - bumuo kami ng intruder model at threat model para sa lahat ng system. Sinusuri din namin ang code, lalo na ang mga kritikal na seksyon nito. At siyempre, nagsasagawa kami ng penetration testing.
Hindi namin iniiwan ang mga developer na mag-isa sa mga bug, ngunit dumaan sa buong cycle ng buhay ng bug sa kanila, payuhan sila sa pag-aalis, at subukan ang mga ito pagkatapos ng mga pagwawasto.
At sasabihin ko sa iyo ng kaunti pa ang tungkol sa pag-unlad sa loob ng aming departamento. Sa isang punto napagtanto namin na ang pamamahala sa proseso ng SDL ay imposible nang walang Secure Application Lifecycle Manager. Isinasaalang-alang ang mga partikular na detalye ng bangko (maraming mga automated system, bawat isa ay may sariling "zoo" ng mga teknolohiya at kasanayan), malinaw na kailangan naming magsulat ng sarili naming bagay.
Samakatuwid, lumikha kami ng isang produkto na tumutuon sa lahat ng mga proseso ng pagpapatupad ng SDL at pagpapanatili ng pagpapatuloy ng proseso, pamamahala ng mga daloy ng data (seguridad ng impormasyon at kaugnay). Iniimbak nito ang lahat ng data na naipon bilang isang resulta ng iba't ibang mga kasanayan at nagbibigay-daan sa iyong pamahalaan ito, awtomatikong "ilulunsad" ang ilang mga aksyon para sa kanilang maayos na pagtitiklop. Namamahagi din ito ng mga bug sa iba't ibang tagasubaybay ng isyu at nagbibigay ng mga interface para sa pagsusuri ng mga bug gamit ang aming mga tool. Tinitiyak ng lahat ng ito ang pagbuo ng SDL at epektibong pakikipag-ugnayan sa mga koponan.
