DevSecOps: как российским компаниям выстроить процессы безопасной разработки

Развитие DevSecOps – один из главных трендов в современной ИТ-разработке. Понятие объединяет подходы, инструменты и технологии, позволяющие с первых дней работы над продуктом защитить его от взлома и утечек данных. Журналист портала Cyber Media обсудил с экспертами рынка, как выстраивается DevSecOps и что нужно для быстрого получения результатов.

Сергей Головашов, ведущий инженер DevOps, руководитель центра компетенций, Bell Integrator

Cyber Media: Что представляет собой DevSecOps как парадигма?

Преимущества DevSecOps – это, прежде всего, снижение расходов на стадии поддержки продукта. Если еще до релиза исключить критические уязвимости (CVE, CWE) и баги, то не понадобится выпускать исправления или вовсе отзывать продукт с рынка.

Еще одно преимущество – это соответствие российским и международным комплаенс-требованиям: ЦБ РФ для финансовых учреждений. Cloud Security Alliance (CSA), Cloud Native Computing Foundation (CNCF), PCI DSS, GDPR и т.д. Это дает возможность проходить аудиты контролирующих органов, получать соответствующие лицензии и сертификаты на вид деятельности (особенно критично для бирж, обменников, систем банк-клиент), подтверждать свою ответственность перед клиентами и партнерами.

И непосредственно – это внутренняя инфраструктурная безопасность облачной среды, которую периодически пытаются взломать хакерские группы, боты и потенциально нечестные конкуренты по нише, разделяемой на рынке. Средствами исключительно стандартного DevOps эти вопросы никогда не решить.

Cyber Media: Насколько DevSecOps меняет устоявшийся конвейер разработки с точки зрения процессов, если до этого компания не применяла никакие подобные средства?

Решающий фактор, на мой взгляд, это компетенции и мотивация тех сотрудников, которые отвечают за безопасность в компании.

Осознание современных угроз и скрытых рисков, понимание того, как баг может повлиять на конечный продукт, знание средств и систем защиты – все это поможет выстроить некую дорожную карту того, как необходимо внедрять DevSecOps-практики в каждодневную работу команды разработчиков и DevOps-инженеров.

Самое сложное, что специалистов такого уровня в РФ не учат: это должна быть смесь бумажного безопасника (которых у нас сейчас хватает) и программиста-хакера, который должен уметь читать исходный код и понимать, что он делает.

Cyber Media: Как обстоят дела в российских компаниях?

Так или иначе почти все российские компании используют DevSecOps. У меня не так давно было общение с МТС, которые очень активно расширяются в сторону применения практик безопасной разработки.

В финтехе с самого начала вхождения в Agile прорабатывались вопросы контроля технической безопасности разработки – либо автоматически, либо силами отдельных команд ИТ-безопасности.

Cyber Media: Какие отрасли в России сейчас больше всего интересуются DevSecOps-подходами?

Некоторое время назад была история, когда компания-разработчик эхолокаторов не заплатила разработчику и выяснилось, что сонары на Москва-реке не просматривали гавань несколько часов в сутки. Или другой случай, такой же разработчик ПО для касс остановил на несколько дней всю Россию. Стоит ли говорить, что риски максимальны?

Любой бизнес должен, опережая события, оценивать их по максимальному для себя уровню угрозы. Пока это топ-менеджемент это не понимает, никто уровнем ниже не начнет серьезно заниматься реальной оценкой ее предотвращением угроз. К сожалению, пока гром не грянет, мужик не перекрестится.

Полная версия статьи опубликована тут