Логотип
Баннер в шапке 1
Баннер в шапке 2
2024/07/23 13:46:49

DevSecOps

Термином DevSecOps обозначается цикл разработки программного обеспечения, в котором особое внимание уделяется безопасности.

Содержание

DevSecOps опирается на наработки и рекомендации общего подхода DevOps. Применение ценностей DevOps к безопасности ПО означает, что проверка безопасности становится активной, неотъемлемой частью процесса разработки.[1]

DevSecOps предусматривает активный аудит безопасности и тестирование на проникновение в процессе aglie-разработки. Согласно концепции DevSecOps, безопасность необходимо встраивать в продукт еще в процессе разработки, а не внедрять на этапе готового продукта. Принципы DevSecOps поощряют совместную работу и требуют передавать работу специалистам по безопасности как можно раньше.

DevOps vs DevSecOps.jpg

История

2024: Что мешает внедрять DevSecOps в России - TA мнения

Активный курс на импортозамещение цифровых технологий, который взяла Россия после попадания под западные санкции, а также расширение требований регуляторов привели к повышению спроса на средства безопасной разработки ПО в стране. Однако внедрению DevSecOps мешает несколько факторов. О них участники рынка рассказали TAdviser в июле 2024 года.

В Positive Technologies ключевым барьером на пути широкого распространения практики DevSecOps считают отсутствие развитой культуры безопасной разработки в России.

«
В некоторых случаях компании до сих пор рассматривают информационную безопасность как что-то, что можно «прикрутить» на последних этапах создания ПО, а не как неотъемлемую часть всего цикла. Это мышление укоренилось еще с тех времен, когда вопросы безопасности интересовали только госсектор и банки, а большинство других индустрий просто не брали её в расчет серьезно, - отметил руководитель группы исследований безопасности банковских систем Positive Technologies Сергей Белов.
»

Unsplash
Найти специалиста по DevSecOps, который понимает и в разработке, и в безопасности, и в эксплуатации - задача не из легких

По его словам, внедрение DevSecOps тормозят нехватка специалистов и бюрократическая организация процессов внутри компаний. Руководитель QA-отдела ИТ-компании SimbirSoft Ирина Бибик согласна с кадровой проблемой: не все могут позволить себе иметь в штате DevSecOps-инженера. В то же время, как считает Бибик, для внедрения практик DevSecOps обычно вполне хватает Security Champion — сотрудника, понимающего актуальные требования безопасности, в ведении которого уже есть задачи по настройке процессов и инфраструктуры под стандарты.Как перенести 300 Тбайт данных с решений IBM и Oracle на российские. Опыт РСХБ на TAdviser SummIT 31.1 т

Специалисты по DevSecOps могут зарабатывать 300-400 тыс. рублей, знает руководитель по развитию направления ИБ в компании «Максофт» Антон Морозов. Позволить себе таких профессионалов может не каждая компания. К тому же, как отмечает Морозов, компоненты безопасной разработки нужно внедрять в процесс с самых первых шагов, а если система производства ПО уже отлажена, это видится слишком энергозатратно.

Как правило, стоимость DevSecOps специалиста довольно высокая, подтверждает руководитель отдела информационной безопасности Linx Cloud Георгий Беляков. Их большие зарплаты обусловлены необходимостью иметь довольно широкий опыт работы с системами контейнеризации и оркестрации, глубокие знания современных методик, которые отличаются от классических практик, применяющихся в области информационной безопасности, объяснил он.

Помимо общей кадровой проблемы последних лет, на DevSecOps накладывается сложность подготовки специалистов. По словам руководителя направления SDET ИТ-компании SimbirSoft Евгения Барсукова, несмотря на то, что в университетах есть профиль подготовки в области информационной безопасности, он часто имеет довольно общий вектор, тогда как DevSecOps относительно узкая специальность.

Многие опрошенные TAdviser эксперты, говоря о сдерживающих внедрение DevSecOps факторах, обратили внимание на следующий аспект: руководители компаний не всегда понимают ценность такой практики. Отчасти поэтому их может отталкивать перспектива удорожания производства ПО с внедрением DevSecOps-подхода, считает руководитель стрима «Инженерные инструменты» платформы «Сфера» Евгений Калашников. Инструменты, которые действительно отвечают всем требованиям безопасной разработки, помогают находить уязвимости и работать с разными базами данных, стоят довольно дорого. Однако, как показывает практика, эти затраты несопоставимы с рисками информационной безопасности, которые могут быть при отсутствии должного внимания к этому вопросу, пояснил он.

По мнению директора по продукту «ТТК.Облако» Андрея Малова, не все компании дозрели до таких технологических решений, как Kubernetes или гибкие конвейеры разработки и, поэтому, просто не знают, зачем им нужен еще и «какой-то DevSecOps». До этой технологии еще нужно эволюционно дорасти - и только потом, поняв ее необходимость, начать ее использовать, уверен он.

«
Многие компании работают по старинке: разработчики сами по себе, специалисты по информационной безопасности сами по себе, системные администраторы тоже отдельно. Зачастую в попытках это все объединить компании сталкиваются с одним из ответов: «Мы всегда так делали, зачем что-то менять?». Убеждать приходится не только руководство, но и самих сотрудников, - отметил технический директор SecWare Никита Москвичев.
»

Отдельная история — это регуляторы, некоторые их требования с трудом ложатся на методологию DevSecOps. Как подчеркнул преподаватель факультета компьютерных наук ВШЭ Лев Немировский, строгие нормативные требования, заставляющие компании следовать различным стандартам безопасности и защиты данных, могут усложнять или замедлять внедрение DevSecOps-практик.

Руководитель отдела микросервисной инфраструктуры финтех-компании Rowi Максим Демиденко считает, что к середине 2024 года в России практически не осталось компаний, которые могут предлагать ПО для внедрения DevSecOps. Также собеседник TAdviser выделил проблему высокой стоимости ПО, связи с чем, по мнению Демиденко, компании предпочитают искать open-source решения, которые при этом хотя бы как-то позволяют компании закрывать потребности по построению безопасной разработки.

Генеральный директор АНО «Национальный центр компетенций по информационным системам управления холдингом» (НЦК ИСУ) Кирилл Семион отмечает, что при организации закупочных процедур у компаний с госучастием наличие требования к разработчику о применении DevSecOps может быть сочтено избыточным и процедура может быть опротестована. Кроме того, по словам собеседника TAdviser, внедрение DevSecOps в разработку невозможно без внедрения автоматизированных механизмов проверки кода. Это приводит к удорожанию самой разработки для потребителя.

По мнению замгендиректора по технологическому развитию «Иннотеха» Дмитрия Гредникова, преодоление барьеров для DevSecOps требует комплексного подхода, включающего развитие персонала, дополнительные инвестиции на приобретение специализированных инструментов и технологий, разработку четких стратегий внедрения.

2023

Минцифры тиражирует технологии безопасной разработки DevSecOps на ключевые государственные ИТ-системы

Технология DevSecOps по состоянию на конец ноября 2023 года внедрена для критичных систем «Госуслуг», Единой системы идентификации и аутентификации (ЕСИА), Системы межведомственного электронного взаимодействия (СМЭВ), а со временем будет распространена и на остальные системы инфраструктуры электронного правительства. Об этом TAdviser сообщили в Министерстве цифрового развития и связи РФ.

Технология DevSecOps предполагает дополнение технологии веб-разработки с непрерывной интеграцией новых компонент и их безболезненной установкой (CI/CD-конвейер) механизмами проверки безопасности кода: статическим (SAST) и динамическим (DAST) сканером уязвимостей, контролем зависимостей компонент и встроенных секретов, механизмами нагрузочного тестирования и фаззинга. Эти механизмы позволяют обнаружить ошибки в веб-приложении еще до их публикации, что позволяет допускать к массовому использованию только те веб-компоненты, которые уже прошли первоначальную проверку на безопасность.

Технология DevSecOps часто представляется в виде символа бесконечности с разделением на соответствующие этапы
«
Для ведомственных систем подобную методику предлагает и Государственный центр анализа защищенности мобильных и веб-приложений государственных информационных систем, – пояснили для TAdviser в пресс-службе Минцифры. – В Центре анализ проводится как с использованием отечественных инструментов проверки исходного кода ПО (Solar appScreener, «Svace», «DAST appScreener», «Crusher»), так и в ручном режиме с привлечением экспертов в области информационной безопасности. Начиная с декабря 2022 года проведен анализ более чем 200 мобильных и веб-приложений государственных информационных систем.

»

Государственный центр анализа защищенности мобильных и веб-приложений государственных информационных систем[2] (ГЦА) создан на базе НИИ «ВОСХОД» в 2022 году. Целью его создания является повышение уровня защищенности информационных систем за счет оказания услуги по выявлению уязвимостей программного обеспечения, включая мобильные и веб-приложения, в том числе государственных информационных систем. Причем в функции центра входит не только поиск уязвимостей в мобильных и веб-приложениях государственных ИС, но и взаимодействие с их операторами и заказчиками, целью которого является повышение защищенности подобных систем.

«
Кроме того, ведётся работа по созданию конвейера безопасной разработки на платформе «ГосТех», – сообщила пресс-служба Минцифры. – Конвейер позволит повысить уровень защищенности платформы и государственных информационных систем, работающих на ней, с помощью выявления и устранения недостатков и уязвимостей ПО на всех этапах жизненного цикла программного обеспечения.
»

А поскольку именно «ГосТех» в соответствии с указом Президента РФ № 231[3] станет основой как для федеральных, так и для региональных государственных систем, то внедрение DevSecOps в этой платформе позволит полностью обеспечить технологией все наиболее значимые государственных ИС и тем самым улучшить защищенность веб-ресурсов Российской Федерации в целом.

Московская область внедряет прогрессивные ИБ-практики: DevSecOps, киберучения и bug bounty

Центр информационной безопасности Московской области в середине ноября объявил тендер на внедрение технологии безопасной разработки DevSecOps для своей государственной информационной системы «Портал государственных и муниципальных услуг (функций) Московской области». Проект также предполагает оказание услуг по организации киберучений, проведение программы по поиску уязвимостей и оценке уровня защищенности информационных ресурсов Московской области. Подробнее

Смотрите также

Примечания

  1. Что такое DevSecOps?
  2. Государственный центр анализа защищенности мобильных и веб-приложений государственных информационных систем
  3. Указ «О создании, развитии и эксплуатации государственных информационных систем с использованием единой цифровой платформы Российской Федерации «ГосТех»
Источник — «https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:DevSecOps»

Править
Read in English   |   Короткая ссылка   |  Просмотров: 8615
В Петербурге построили завод по производству эндопротезов за 1 млрд рублей
В Московской области впервые начали проводить биопсии с помощью роботов
Москва выделила 2,6 млрд рублей на разработку высокотехнологичных методов лечения
Начались продажи медицинского монитора, адаптированного под маммографию
Конференция «Digital Transformation Day 2024» состоится 24 сентября
Цифровизация строительства: особенности рынка, многообещающие технологии, ключевые ИТ-поставщики. Обзор TAdviser
10 сентября состоится конференция «Импортозамещение 2024: реальный опыт»
Ранкинг TAdviser100: Крупнейшие ИТ-компании в России 2024
Конференция «ИТ в промышленности 2024» состоится 17 сентября
TAdviser выпустил новую карту «Цифровизация банков»
Конференция «IT Retail Day 2024» состоится 16 октября
NGFW «Континент» 4 — объединение NGFW и ГОСТ VPN
Сергей Наумов, Timeweb Cloud: В России стопроцентных аналогов зарубежных облаков пока нет
Как защитить мультиоблачную платформу
Успешная карьера в ИТ: Как быстро дорасти до руководителя — TA мнения
Обновленный интерфейс витрины референсной модели Rubytech помогает формировать решения под уникальные запросы пользователя
Bercut движется по пути создания универсальных импортонезависимых ИТ-продуктов
Иван Чернов, UserGate — о буме на рынке NGFW и отличительных особенностях собственного продукта
Трендвотчинг рынка ITSM. Аналитический отчет TAdviser
Опыт и перспективы использования российских СУБД в крупных организациях: результаты исследования TAdviser
PROMT: Машинный перевод сегодня есть практически везде. Мы просто об этом уже не задумываемся
Как вернуть инвестиции в BIM-модель
Экс-аналитик IDC и Сбера присоединился к команде TAdviser и начал подготовку отчетов по "железу", ERP и ИБ
Павел Потехин, МТС Линк: Наш опыт показывает, что ускорение перехода с зарубежного софта — вполне выполнимая задача
Российские ИТ-компании, попавшие под санкции США, ЕС и Британии в 2022-2024 гг. Карта TAdviser
Конференция «IT Infrastructure Day 2024» состоится 23 октября
Глава Минцифры Максут Шадаев – о запретах, стимулах и новых подходах к развитию ИТ-отрасли. Интервью TAdviser
TAdviser выпустил новую карту российского рынка информационных технологий: более 380 разработчиков и интеграторов