Ни одна крупная компания не обходится без внутренней разработки. Этот процесс неразрывно связан с безопасностью создания и эксплуатации продукта. Почему DevSecOps необходим и как привить его культуру в компании, рассказали эксперты отрасли.
- Введение
- DevSecOps и культура безопасной разработки
- Практика внедрения DevSecOps
- 3.1. С чего начать внедрение
- 3.2. Полезные метрики
- Прогнозы развития DevSecOps
- Итоги эфира
- Выводы
Введение
В новом эфире AM Live эксперты поговорили о лучших практиках DevSecOps, а также о том, как их внедрить, где найти специалистов и какие средства защиты российского производства могут быть полезны.
Рисунок 1. Эксперты отрасли в студии Anti-Malware.ru
Спикеры прямого эфира:
- Валерий Куваев, руководитель направления защищённой разработки SolidLab;
- Сергей Волдохин, директор по продуктам экосистемы Start X;
- Юрий Шабалин, ведущий архитектор Swordfish Security;
- Анна Архипова, ведущий менеджер по развитию бизнеса ITD Group;
- Алексей Астахов, руководитель продуктов по защите приложений Positive Technologies.
Ведущий и модератор дискуссии — Всеслав Соленик, директор по кибербезопасности «СберТеха».
DevSecOps и культура безопасной разработки
Что такое DevSecOps
Юрий Шабалин:
— DevSecOps, или процесс безопасной разработки, — это повышение качества продукта. Также это непрерывный процесс с точки зрения безопасности. Для него необходимо сосредоточиться на трёх факторах: люди, технологии и процессы.
Юрий Шабалин, ведущий архитектор Swordfish Security
По мнению Валерия Куваева, DevSecOps отличается от процесса безопасной разработки тем, что первое больше относится к образу мыслей. Сюда входит не только умение безопасной разработки продукта, но ещё внедрение, тестирование и техподдержка.
Сергей Волдохин:
— Мне кажется, что настоящий DevSecOps — это классная коммуникация и совместная работа команд для реализации ценности по безопасной разработке.
Сергей Волдохин, директор по продуктам экосистемы Start X
К основным технологическим практикам DevSecOps относятся анализ библиотек с открытым кодом, проверка защищённости продукта и контейнеров, динамический и статический анализ, оркестровка и корреляция, компонентный анализ ПО и др.
В сравнении с прошлым годом степень популярности конкретных мер по безопасной разработке почти никак не изменилась. Первые шаги, такие как сканирование кода, совершает точно такое же количество опрошенных, что и в 2022 году: 31 %. Распространённость сценария, где для повышения защищённости ПО используют несколько (более трёх) инструментов, тоже осталась прежней: 19 % респондентов. Тех, кто разработал требования по безопасности, использует автоматизацию, устраняет дефекты и проводит обучение, стало больше: в 2023 г. — 21 %, в 2022 г. — 16 %. Внедривших все лучшие практики безопасности процесса CI / CD оказалось, наоборот, меньше: 10 % опрошенных зрителей эфира в 2023 г. против 14 % в 2022 г. Никаких мер в прошлом году не принимали 20 % респондентов, а в этом — 19 %.
Рисунок 2. Какие меры вы принимаете для безопасной разработки ПО?
Как «вырастить» хорошего специалиста по DevSecOps
Юрий Шабалин:
— По моему опыту, лучшими безопасниками становятся бывшие разработчики. Если ты не знаешь, как работает технология или код, то тебе будет намного сложнее эксплуатировать уязвимости.
В свою очередь, если команда разработки понимает, как устроены дальнейшие процессы по обеспечению защищённости (например, пентест), то шансы безопасной разработки тоже увеличиваются, отметили эксперты.
В разных компаниях для выстраивания эффективной коммуникации между безопасниками и разработчиками работают разные подходы. Например, в небольшом бизнесе стимулировать команду разработчиков к общению могут документально закреплённые предписания, т. е. приказы.
По данным опроса зрителей AM Live, большую часть (55 %) из них в DevSecOps привлекает повышение безопасности приложений. Выполнение требований регуляторов и стандартов важно для 14 % респондентов. Требования бизнеса и пользователей являются стимулом для 10 %, ещё для 9 % — экономия денег на устранении уязвимостей. 12 % участников опроса не нашли для себя подходящего варианта ответа.
Рисунок 3. Чем в первую очередь вызван ваш интерес к DevSecOps?
Практика внедрения DevSecOps
С чего начать внедрение
По мнению экспертов, для начала внедрения DevSecOps необходимо понять, как устроены процессы разработки и обеспечения безопасности в компании. Предварительно нужно провести аудит процессов, людей, продуктов. На основе этих данных можно понять, как выстроить процессы в будущем, учитывая потребности в безопасности компании.
Валерий Куваев:
— Компания перед внедрением DevSecOps может обратиться к услугам ИБ-игроков. Они помогут написать «дорожную карту», где будут шаги по внедрению инструментов, обучению людей и выстраиванию процессов. Первый этап может занять около года с охватом двух-трёх продуктов и пяти-шести команд.
Валерий Куваев, руководитель направления защищённой разработки SolidLab
Ровно половина зрителей AM Live считает, что внедрять DevSecOps мешают дефицит кадров и отсутствие компетенций. Для 18 % респондентов трудности связаны с конфликтами между ИБ и разработкой. 11 % отметили сложность триажа результатов (отсутствие компетенций или ограниченные ресурсы), ещё столько же пожаловались на стоимость необходимых средств анализа. 6 % беспокоятся из-за увеличения времени выхода продукта на рынок. Лишь 4 % опрошенных полагают, что внедрять DevSecOps ничто не мешает.
Рисунок 4. Что тормозит внедрение DevSecOps в вашей организации?
Полезные метрики
Безопасную разработку на практике можно измерить в количестве уязвимостей на строку кода, количестве открытых тикетов, по времени устранения дефектов и пр. — отдельно по коду и по каждому инструменту.
Любая безопасность, по словам Всеслава Соленика, начинается с построения модели угроз и оценки рисков. Далее можно разбирать инциденты и исходя из них выбирать полезные инструменты для предотвращения.
Всеслав Соленик, директор по кибербезопасности «СберТеха»
Алексей Астахов:
— Когда мы говорим про бизнес, мы имеем в виду недопустимые события. И тогда мы уже понимаем, зачем нужны метрики.
Например, основная продуктовая система больше не работает, персональные или платёжные данные клиентов утекли в сеть. Проговаривая подобные недопустимые риски, можно спланировать заранее, как обезопасить себя от них.
Анна Архипова:
— Важно не сломать существующие процессы, встроиться в них таким образом, чтобы людям было комфортно. Общение по этому вопросу никто не отменял.
У большинства зрителей эфира (41 %) решение о том, как найденная уязвимость должна повлиять на процесс развёртывания (деплоя) продукта, принимает команда разработки. Отсрочку развёртывания на время проверки критической значимости обнаруженного изъяна практикует 31 % опрошенных. В 10 % компаний деплой полностью останавливают до устранения бреши. Об отсутствии какого-либо влияния уязвимостей на процесс развёртывания заявили 18 % респондентов.
Рисунок 5. Как обнаруженные уязвимости в коде влияют на процесс деплоя в вашей компании?
По мнению экспертов, здесь всё очень сильно зависит от того, как выстроены процессы в компании.
Прогнозы развития DevSecOps
Юрий Шабалин:
— В стране так и не решится проблема с кадровым голодом. Но я надеюсь, что те, кто учится в вузах, и те, кто ещё решает, куда поступить, будут выбирать направление безопасности, так как оно — перспективное и высокооплачиваемое. И тогда через какое-то время количество безопасников вырастет.
Алексей Астахов:
— Во-первых, нас ждёт развитие инструментов безопасности, а также продвижение истории с «облаками». Можно отметить грядущую синергию продуктов между собой. И второе — как только инструменты будут доступны разработчикам, появится более простая возможность воплотить DevSecOps в жизнь.
Алексей Астахов, руководитель продуктов по защите приложений Positive Technologies
Сергей Волдохин:
— Чего не хватает сейчас на рынке, так это обмена компетенциями в части безопасности с разработчиками. И такой мост, диалог со временем будет выстраиваться во многих компаниях.
Анна Архипова:
— Я бы рекомендовала коллегам двигаться в сторону безопасной разработки. Регуляторика всё более ужесточается и конкретизируется, и трудно будет тем, кто станет запрыгивать в поезд, который очень сильно разгонится. Имеет смысл постепенно погружаться в тему DevSecOps.
Анна Архипова, ведущий менеджер по развитию бизнеса ITD Group
Валерий Куваев:
— Угрозы перед нами множатся, их становится всё больше. Я надеюсь, что с технической точки зрения слияние DevOps и Sec именно в части «Ops» наконец произойдёт и вскоре мы начнём предлагать заказчикам именно это.
Итоги эфира
Финальный опрос зрителей показал, что подавляющее большинство (66 %) уже использует этот инструментарий и будет его совершенствовать. 17 % заинтересовались и начнут внедрение, а 15 % респондентов, напротив, посчитали DevSecOps пока избыточным для себя. И только 2 % зрителей не поверили в необходимость таких практик.
Рисунок 6. Каково ваше мнение относительно использования практик DevSecOps после эфира?
Выводы
Цель DevSecOps состоит в том, чтобы помочь командам разработчиков эффективно решать проблемы безопасности. Безопасность «закладывается» в каждый этап разработки ПО. Главная черта эффективного DevSecOps заключается в правильно выстроенной коммуникации между разработчиками продукта и безопасниками. Это не просто регламенты или правила, а целая культура безопасной разработки. В условиях большого количества атак, а также ужесточающихся требований регуляторов такая практика вскоре станет обязательным инструментом в каждой компании.
Проект AM Live на этом не останавливается. Эксперты отрасли скоро снова соберутся в нашей студии и обсудят актуальные темы российского ИБ-рынка. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
