DevSecOps как культура безопасной разработки в компании

DevSecOps как культура безопасной разработки в компании

DevSecOps как культура безопасной разработки в компании

Ни одна крупная компания не обходится без внутренней разработки. Этот процесс неразрывно связан с безопасностью создания и эксплуатации продукта. Почему DevSecOps необходим и как привить его культуру в компании, рассказали эксперты отрасли.

 

 

 

 

 

 

  1. Введение
  2. DevSecOps и культура безопасной разработки
    1. 2.1. Что такое DevSecOps
    2. 2.2. Как «вырастить» хорошего специалиста по DevSecOps
  3. Практика внедрения DevSecOps
    1. 3.1. С чего начать внедрение
    2. 3.2. Полезные метрики
  4. Прогнозы развития DevSecOps
  5. Итоги эфира
  6. Выводы

Введение

В новом эфире AM Live эксперты поговорили о лучших практиках DevSecOps, а также о том, как их внедрить, где найти специалистов и какие средства защиты российского производства могут быть полезны.

 

Рисунок 1. Эксперты отрасли в студии Anti-Malware.ru

Эксперты отрасли в студии Anti-Malware.ru

 

Спикеры прямого эфира:

  • Валерий Куваев, руководитель направления защищённой разработки SolidLab;
  • Сергей Волдохин, директор по продуктам экосистемы Start X;
  • Юрий Шабалин, ведущий архитектор Swordfish Security;
  • Анна Архипова, ведущий менеджер по развитию бизнеса ITD Group;
  • Алексей Астахов, руководитель продуктов по защите приложений Positive Technologies.

Ведущий и модератор дискуссии — Всеслав Соленик, директор по кибербезопасности «СберТеха».

 

 

DevSecOps и культура безопасной разработки

Что такое DevSecOps

Юрий Шабалин:

DevSecOps, или процесс безопасной разработки, это повышение качества продукта. Также это непрерывный процесс с точки зрения безопасности. Для него необходимо сосредоточиться на трёх факторах: люди, технологии и процессы.

 

Юрий Шабалин, ведущий архитектор Swordfish Security

Юрий Шабалин, ведущий архитектор Swordfish Security

 

По мнению Валерия Куваева, DevSecOps отличается от процесса безопасной разработки тем, что первое больше относится к образу мыслей. Сюда входит не только умение безопасной разработки продукта, но ещё внедрение, тестирование и техподдержка.

Сергей Волдохин:

Мне кажется, что настоящий DevSecOps — это классная коммуникация и совместная работа команд для реализации ценности по безопасной разработке.

 

Сергей Волдохин, директор по продуктам экосистемы Start X

Сергей Волдохин, директор по продуктам экосистемы Start X

 

К основным технологическим практикам DevSecOps относятся анализ библиотек с открытым кодом, проверка защищённости продукта и контейнеров, динамический и статический анализ, оркестровка и корреляция, компонентный анализ ПО и др.

В сравнении с прошлым годом степень популярности конкретных мер по безопасной разработке почти никак не изменилась. Первые шаги, такие как сканирование кода, совершает точно такое же количество опрошенных, что и в 2022 году: 31 %. Распространённость сценария, где для повышения защищённости ПО используют несколько (более трёх) инструментов, тоже осталась прежней: 19 % респондентов. Тех, кто разработал требования по безопасности, использует автоматизацию, устраняет дефекты и проводит обучение, стало больше: в 2023 г. — 21 %, в 2022 г. — 16 %. Внедривших все лучшие практики безопасности процесса CI / CD оказалось, наоборот, меньше: 10 % опрошенных зрителей эфира в 2023 г. против 14 % в 2022 г. Никаких мер в прошлом году не принимали 20 % респондентов, а в этом — 19 %. 

 

Рисунок 2. Какие меры вы принимаете для безопасной разработки ПО?

Какие меры вы принимаете для безопасной разработки ПО?

 

Как «вырастить» хорошего специалиста по DevSecOps

Юрий Шабалин:

По моему опыту, лучшими безопасниками становятся бывшие разработчики. Если ты не знаешь, как работает технология или код, то тебе будет намного сложнее эксплуатировать уязвимости.

В свою очередь, если команда разработки понимает, как устроены дальнейшие процессы по обеспечению защищённости (например, пентест), то шансы безопасной разработки тоже увеличиваются, отметили эксперты.

В разных компаниях для выстраивания эффективной коммуникации между безопасниками и разработчиками работают разные подходы. Например, в небольшом бизнесе стимулировать команду разработчиков к общению могут документально закреплённые предписания, т. е. приказы. 

По данным опроса зрителей AM Live, большую часть (55 %) из них в DevSecOps привлекает повышение безопасности приложений. Выполнение требований регуляторов и стандартов важно для 14 % респондентов. Требования бизнеса и пользователей являются стимулом для 10 %, ещё для 9 % — экономия денег на устранении уязвимостей. 12 % участников опроса не нашли для себя подходящего варианта ответа. 

 

Рисунок 3. Чем в первую очередь вызван ваш интерес к DevSecOps?

Чем в первую очередь вызван ваш интерес к DevSecOps?

 

Практика внедрения DevSecOps

С чего начать внедрение 

По мнению экспертов, для начала внедрения DevSecOps необходимо понять, как устроены процессы разработки и обеспечения безопасности в компании. Предварительно нужно провести аудит процессов, людей, продуктов. На основе этих данных можно понять, как выстроить процессы в будущем, учитывая потребности в безопасности компании. 

Валерий Куваев:

Компания перед внедрением DevSecOps может обратиться к услугам ИБ-игроков. Они помогут написать «дорожную карту», где будут шаги по внедрению инструментов, обучению людей и выстраиванию процессов. Первый этап может занять около года с охватом двух-трёх продуктов и пяти-шести команд.

 

Валерий Куваев, руководитель направления защищённой разработки SolidLab

Валерий Куваев, руководитель направления защищённой разработки SolidLab

 

Ровно половина зрителей AM Live считает, что внедрять DevSecOps мешают дефицит кадров и отсутствие компетенций. Для 18 % респондентов трудности связаны с конфликтами между ИБ и разработкой. 11 % отметили сложность триажа результатов (отсутствие компетенций или ограниченные ресурсы), ещё столько же пожаловались на стоимость необходимых средств анализа. 6 % беспокоятся из-за увеличения времени выхода продукта на рынок. Лишь 4 % опрошенных полагают, что внедрять DevSecOps ничто не мешает.

 

Рисунок 4. Что тормозит внедрение DevSecOps в вашей организации?

Что тормозит внедрение DevSecOps в вашей организации?

 

Полезные метрики

Безопасную разработку на практике можно измерить в количестве уязвимостей на строку кода, количестве открытых тикетов, по времени устранения дефектов и пр. — отдельно по коду и по каждому инструменту.

Любая безопасность, по словам Всеслава Соленика, начинается с построения модели угроз и оценки рисков. Далее можно разбирать инциденты и исходя из них выбирать полезные инструменты для предотвращения.

 

Всеслав Соленик, директор по кибербезопасности «СберТеха»

Всеслав Соленик, директор по кибербезопасности «СберТеха»

 

Алексей Астахов:

Когда мы говорим про бизнес, мы имеем в виду недопустимые события. И тогда мы уже понимаем, зачем нужны метрики.

Например, основная продуктовая система больше не работает, персональные или платёжные данные клиентов утекли в сеть. Проговаривая подобные недопустимые риски, можно спланировать заранее, как обезопасить себя от них.

Анна Архипова:

Важно не сломать существующие процессы, встроиться в них таким образом, чтобы людям было комфортно. Общение по этому вопросу никто не отменял.

У большинства зрителей эфира (41 %) решение о том, как найденная уязвимость должна повлиять на процесс развёртывания (деплоя) продукта, принимает команда разработки. Отсрочку развёртывания на время проверки критической значимости обнаруженного изъяна практикует 31 % опрошенных. В 10 % компаний деплой полностью останавливают до устранения бреши. Об отсутствии какого-либо влияния уязвимостей на процесс развёртывания заявили 18 % респондентов.  

 

Рисунок 5. Как обнаруженные уязвимости в коде влияют на процесс деплоя в вашей компании?

Как обнаруженные уязвимости в коде влияют на процесс деплоя в вашей компании?

 

По мнению экспертов, здесь всё очень сильно зависит от того, как выстроены процессы в компании.

Прогнозы развития DevSecOps

Юрий Шабалин:

В стране так и не решится проблема с кадровым голодом. Но я надеюсь, что те, кто учится в вузах, и те, кто ещё решает, куда поступить, будут выбирать направление безопасности, так как оно — перспективное и высокооплачиваемое. И тогда через какое-то время количество безопасников вырастет.

Алексей Астахов:

Во-первых, нас ждёт развитие инструментов безопасности, а также продвижение истории с «облаками». Можно отметить грядущую синергию продуктов между собой. И второе как только инструменты будут доступны разработчикам, появится более простая возможность воплотить DevSecOps в жизнь.

 

Алексей Астахов, руководитель продуктов по защите приложений Positive Technologies

Алексей Астахов, руководитель продуктов по защите приложений Positive Technologies

 

Сергей Волдохин:

Чего не хватает сейчас на рынке, так это обмена компетенциями в части безопасности с разработчиками. И такой мост, диалог со временем будет выстраиваться во многих компаниях.

Анна Архипова:

Я бы рекомендовала коллегам двигаться в сторону безопасной разработки. Регуляторика всё более ужесточается и конкретизируется, и трудно будет тем, кто станет запрыгивать в поезд, который очень сильно разгонится. Имеет смысл постепенно погружаться в тему DevSecOps.

 

Анна Архипова, ведущий менеджер по развитию бизнеса ITD Group

Анна Архипова, ведущий менеджер по развитию бизнеса ITD Group

 

Валерий Куваев:

Угрозы перед нами множатся, их становится всё больше. Я надеюсь, что с технической точки зрения слияние DevOps и Sec именно в части «Ops» наконец произойдёт и вскоре мы начнём предлагать заказчикам именно это.

Итоги эфира

Финальный опрос зрителей показал, что подавляющее большинство (66 %) уже использует этот инструментарий и будет его совершенствовать. 17 % заинтересовались и начнут внедрение, а 15 % респондентов, напротив, посчитали DevSecOps пока избыточным для себя. И только 2 % зрителей не поверили в необходимость таких практик.

 

Рисунок 6. Каково ваше мнение относительно использования практик DevSecOps после эфира?

Каково ваше мнение относительно использования практик DevSecOps после эфира?

 

Выводы

Цель DevSecOps состоит в том, чтобы помочь командам разработчиков эффективно решать проблемы безопасности. Безопасность «закладывается» в каждый этап разработки ПО. Главная черта эффективного DevSecOps заключается в правильно выстроенной коммуникации между разработчиками продукта и безопасниками. Это не просто регламенты или правила, а целая культура безопасной разработки. В условиях большого количества атак, а также ужесточающихся требований регуляторов такая практика вскоре станет обязательным инструментом в каждой компании.

Проект AM Live на этом не останавливается. Эксперты отрасли скоро снова соберутся в нашей студии и обсудят актуальные темы российского ИБ-рынка. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru