Безопасная разработка: почему с DevSecOps все непросто

Термин DevSecOps образован от сокращения слов development, security и operations. Казалось бы, это логичный виток в развитии подходов к обеспечению безопасности в ходе разработки ПО. Но, как заметил Антон Гаврилов, руководитель направления DevSecOps центра информационной безопасности компании «Инфосистемы Джет», в DevSecOps ситуация сложная: никто точно не знает, что это, нет единого понимания данной концепции.

Согласно данным исследования  Positive Technologies 36 % российских компаний уже развивают DevSecOps и имеют наработанные практики. Почти столько же (37 %) при этом считают, что необходимости в DevSecOps у них нет.

Денис Якимов, независимый эксперт, создатель телеграм-канала на тему DevSecOps, считает, что этот тренд отличается от компании к компании, но при этом надо сначала ответить на вопрос, есть ли в компании DevOps, а потом уже определять, уделяется ли в этом процессе внимание безопасности и каково ее место.

По мнению Алексея Жукова, эксперта отдела систем защиты приложений Positive Technologies, DevSecOps – это попытка сделать специалиста по ИБ не тем, кто мешает работать, а болеющим за общее дело.

Тимур Гильмуллин, руководитель направления по построению процессов безопасной разработки центра исследований и разработки Positive Technologies, согласился: надо сначала убедиться, что в компании есть DevOps. Если есть методология, инструменты и налаженный процесс разработки, то люди начинают задумываться и над безопасностью каждого из этапов. Тут и появляется DevSecOps – комплексное взаимодействие всех участников разработки.

Примечательно, что половина респондентов готовы участвовать в DevSecOps в том случае, когда у них появится понимание, что концепция может защитить разрабатываемый продукт от хакеров. Остальные же ждут каких-то дополнительных стимулов: KPI, повышения зарплаты или карьерного роста и т.д. При этом 9 % вообще ждут появления такого специалиста в штатном расписании.

Тимур Гильмуллин отметил, что программисты, работая над своей задачей, редко задумываются над безопасностью – впрочем, как и инженеры по инфраструктуре и эксплуатации. Многих проблем с безопасностью кода можно было бы избежать, если уделять внимание этому вопросу уже на стадии разработки – например, внедрять сканеры кода, которые ищут уязвимости, и т.д.  

По словам Дениса Якимова, проблема кроется также в том, что специалистов, которые понимают тему ИБ, на порядок меньше, чем разработчиков – соотношение 5 к 5 тысячам. И преимуществом DevSecOps является то, что следование этой концепции может помочь решить эту проблему инструментально. Эксперт уверен, что это зарождающийся домен, который лет через 5-10 упростит жизнь специалистам из сферы ИБ.

Также участники дискуссии отметили, что существует ряд разнообразных трудностей внедрения DevSecOps – от квалификационных до технологических. Сейчас разработчики ПО работают как конвейер, в котором десятки или сотни этапов. И внедрение в отлаженный механизм новых элементов вызывает множество вопросов: есть ли методики их внедрения, практики, обеспечивается ли совместимость, сложно ли поддерживать и обновлять. К тому же потребуется обучать сотрудников работе с новыми инструментами. Отсюда и сомнения в том, нужно ли это делать.   

Однако Алексей Жуков уверен, что важно сделать первый шаг, и, скорее всего, он должен быть связан с пониманием того, что безопасность – важная составляющая любого кода. Без этого восприятия никто никуда двигаться не будет. При этом ИБ-задачи придется все же максимально делегировать именно на разработчиков, потому что только они понимают, что можно сделать с создаваемым ими кодом.