Подписаться
Читать в телеграм
Эксперты Positive Technologies выяснили, какое место занимает безопасная разработка кода в российских компаниях различных отраслей, что думают IT-специалисты об этом подходе и готовы ли они активно участвовать во внедрении DevSecOps-практик. Опрос также помог определить, что мотивирует разработчиков участвовать в DevSecOps и каких знаний из этой области им сегодня не хватает.
В исследовании приняли участие сотрудники отечественных компаний из сфер IT (69%), финансов (17%), промышленности (7%), государственных и других учреждений. Опрос проводился среди организаций разных размеров — от компаний численностью более 5 000 сотрудников до среднего и малого бизнеса с персоналом 100–300 человек.
Почти половина респондентов (45%) признают, что DevSecOps — это полезная практика, которая, однако, подходит не всем компаниям в силу специфики их бизнеса. Ключевым элементом защиты любой организации DevSecOps называют 18% опрошенных.
Место DevSecOps в безопасности компаний сильно зависит от профиля бизнеса и особенностей ее приложений. В любой организации существуют приложения, эксплуатация уязвимостей в которых является недопустимым с точки зрения бизнеса событием. Если они становятся доступны хакеру, то в конечном итоге их взлом приведет к опасным последствиям для жертвы. В данном случае безопасность кода — очевидный приоритет для бизнеса.
Алексей Жуков,
эксперт отдела систем защиты приложений Positive Technologies.
Более трети (36%) опрошенных сообщили, что организации, в которых они работают, уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. Каждый седьмой участник уверен, что за DevSecOps будущее, но не в их компаниях.
Половина респондентов готова участвовать в DevSecOps-процессах компаний, где они сейчас работают, если у них появится понимание, что этот подход сможет защитить разрабатываемые продукты от хакеров. Десятая часть опрошенных указала, что отправной точкой для развития безопасной разработки должна быть постановка задачи от руководства, которое будет контролировать ее исполнение. За такие средства мотивации, как прозрачные KPI, повышение зарплаты и выделение отдельной роли по DevSecOps в команде, проголосовало по 9% респондентов.
Концепцию непрерывного и безопасного процесса разработки можно развивать только при условии интереса и инициативы самих сотрудников, которые трансформируются в комфортные для них инструменты. Нужно, чтобы разработчики были заинтересованы в продуктах, чтобы эти решения их устраивали и были удобны в использовании. Многих проблем с безопасностью кода можно избежать еще на стадии разработки, если использовать сканеры уязвимости, такие как, например, PT Application Inspector. При этом сканер кода, внедренный в конвейер разработки, не должен мешать программистам разрабатывать фичи, а работать параллельно с основными процессами сборки и блокировать выпуск релиза в случае обнаружения уязвимого кода.
Тимур Гильмуллин,
руководитель направления по построению безопасной разработки центра исследований и разработки Positive Technologies.
Эксперты Positive Technologies также попросили IT-специалистов указать, в чем им не хватает экспертизы и про какие элементы безопасной разработки они хотели бы получить больше знаний. В число самых популярных ответов вошли практические кейсы внедрений (35%), а также информация о процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%).
Важность правильного выбора подходов, методик и архитектуры подчеркивают и мнения специалистов в области DevSecOps. Независимый эксперт и консультант в сфере безопасной разработки Денис Якимов комментирует: «В погоне за маркетинговыми лозунгами shift left компании так увлеклись встраиванием сканеров в пайплайны, что забыли про не менее важную часть безопасности разработки — инфраструктуру и цепочку поставок».
DevSecOps — очень интересное явление, которое заставило специалистов ИБ пересмотреть привычные подходы. К примеру, она требует большего взаимодействия с IT-специалистами и разработчиками для поиска оптимального решения и разрешения вечного спора “безопасность или функциональность. Кроме того, DevSecOps требует автоматизации, а постоянно развивающийся технический ландшафт определяют вопросы, что выбрать, как именно это реализовать, как сделать так, чтобы это работало в моей компании.
Антон Гаврилов,
руководитель направления DevSecOps центра информационной безопасности «Инфосистемы Джет».
В ходе исследования выяснилось, что возможность изучать DevSecOps в рабочее время есть у более четверти респондентов (28%). Такое же число специалистов осваивает это направление в свободное от работы время. При этом каждый шестой респондент хочет подробнее узнать о безопасной разработке, ее методах, процессах и инструментах, но не может выделить для этого ни рабочее, ни личное время; четверть опрошенных специалистов пока не готова погружаться в ее изучение.
