Безопасная разработка: все звенья цепи важны

Российский рынок DevOps и DevSecOps находится в стадии активной трансформации. Однако, по данным Axoft, 27% госзаказчиков и 36% коммерческих заказчиков до сих пор не внедрили российские ИБ-продукты, а 67% респондентов из малого и среднего бизнеса вообще не имеют опыта такой миграции. Основная сложность — недостаточные интеграционные возможности некоторых решений. В частности, при внедрении методологии DevSecOps сложности отметили 5,8% респондентов, с интеграцией AntiAPT проблемы возникли у 4,7% опрошенных, а с внедрением AppSec — у 6,7%.

Уход иностранных разработчиков и их отказ от выполнения обязательств по поддержке своих решений простимулировал ускорение процесса разработки отечественных продуктов и обеспечение безопасности этого процесса на каждом этапе. Как следует из исследования Axoft по уровню изучения совместимости отечественных решений, переход на ИБ-решения в кратчайшие сроки — одна из приоритетных задач как для государственного, так и коммерческого сектора.

«Все чаще заказчики задаются вопросом, как подступиться к процессам автоматизации разработки и процессам безопасности с ними связанными. При этом они реже интересуются конкретными решениями и больше сосредотачиваются на построении процессов безопасной разработки в целом», — отмечает руководитель отдела консалтинга и инженерной поддержки направления ИБ Axoft Денис Фокин.

Основная проблема заключается в мозаичности внедрения этих практик. Из-за разного уровня технологической зрелости компаний, DevOps и DevSecOps внедряются частично. По словам генерального директора компании «Флант» Александра Титова, для того чтобы внедрить методологию DevOps и DevSecOps, необходимо полностью изменить организационную и процессную модель, учитывая инструменты. Российские компании находятся на пути преобразований в этой сфере. Более половины респондентов исследования рынка разработки программных продуктов сообщили о наличии выделенного бюджета на развитие DevOps-практик.

По данным «State of DevOps Russia 2024», DevOps-подход стал чаще применяться за пределами ИТ-индустрии: в ритейле, промышленности, энергетике, госсекторе, строительстве и других отраслях. В тройке лидеров: информационные технологии (36.2%), финтех (12,4%) и ритейл (7,3%).

«Если раньше у компаний был более широкий запрос «нам нужна помощь во всем», то сейчас в приоритете, как правило, набор задач или каких-то отдельных практик, которые они хотят развить», — отмечает технический директор Экспресс42 Юрий Игнатов.

По данным Axoft, заказчики уже активно используют некоторые решения при внедрении DevOps и DevSecOps. Популярностью у респондентов пользуются WAF (36%), SAST (23%), OSA/SCA и Container Security (по 20%), DAST (16%).

«Решения OSA/SCA, SAST, DAST позволяют выявлять ошибки в коде на ранних этапах разработки — либо еще до сборки, либо во время запуска на тестовых стендах. Решения Container Security и WAF отслеживают аномалии уже на запущенном приложении. Для комплексного управления DevSecOps используется ASOC — оркестратор, который управляет процессом безопасной разработки и контролирует несколько доступных вам практик DevOps и DevSecOps», — прокомментировал владелец продукта AppSec.Track Константин Крючков, компания AppSec Solutions.

Основные задачи, которые закрывают эти решения:

1. Сокращают риски сбоев в работе критически важных компонентов инфраструктуры.

2. Позволяют снизить расходы в процессе выстраивания инфраструктуры.

3. Ускоряют процесс разработки и поставки продуктов.

4. Сокращают расходы на команду разработки и повышают технологичность разработки.

Производители отечественных решений считают, что преждевременно говорить о том, что методология DevOps внедрена, когда используется всего 1-2 класса решений из списка всех необходимых для построения полного процесса безопасной разработки. Это как лечить любую болезнь одной таблеткой из аптечки. Методологии DevOps и DevSecOps — это не точечное средство, а комплексный подход к процессной модели разработки. Если применяется стек решений DevOps и DevSecOps, то эффективность каждого из них повышается кратно.

Вопросы о применении Open Source-решений в контексте безопасной разработки и надежности таких решений остаются предметами обсуждения. Опрос Axoft показывает, что единого мнения нет. 37% респондентов считают, что доля Open Source-продуктов в безопасной разработке крайне мала (до 20%). В то же время, 29% участников опроса уверены, что Open Source-продукты используются активно и их доля составляет от 50% до 70%. 22% опрошенных полагают, что этот показатель варьируется от 20% до 50%.

«Open Source-решения позволяют закрыть сиюминутные потребности компании на первом этапе, получить экспертизу для развития защиты, масштабирования задач и максимальной отдачи при использовании коммерческих продуктов с техподдержкой в дальнейшем», — объясняет пресейл-инженер «Лаборатории Касперского» Алексей Рыбалко.

Руководитель направления ИБ Департамента развития продуктовых направлений Axoft Виктор Засорин считает, что использование Open Source-продуктов создает иллюзию безопасности, так как заказчик становится зависимым от собственного штата разработчиков, что несет большие бизнес-риски. Использовать Open Source-продукты стоит в том случае, если компания занимается поставками технологических решений.

Поскольку собственная разработка стоит больших денег, компании чаще используют Open Source-продукты при обеспечении безопасности разработки. Стоимость внедрения методологии DevOps и DevSecOps сильно зависит от ряда факторов, таких как: масштаб компании, текущей инфраструктуры, уровня зрелости ИТ-процессов, выбранных инструментов и технологий, а также от квалификации команды. Стоимость внедрения и миграции существующих сервисов для разных сегментов бизнеса может варьироваться в диапазоне от нескольких миллионов до сотен миллионов и занимать от 6 до 12 месяцев. Но выбрать подходящие решения из 4000 возможных без помощи специалистов, с учетом индустрии и ее задач, совсем непросто. Для выбора оптимального решения требуется не только точный и детальный анализ существующей инфраструктуры и стоящих перед заказчиком задач, но и помощь опытных экспертов. 

Руководитель направления Инфраструктурное ПО компании Axoft Оксана Сапелкина отметила, что если компании нужно в обязательном порядке соответствовать требованиям регуляторов, стоит обратить внимание на тех разработчиков, которые активно развивают практики DevOps и DevSecOps, занимаются внедрением и доработкой решений на постоянной основе, а также предлагают дополнительные проекты, необходимые для работы сценариев заказчика.  По результатам внедрений специалистов Axoft, на российском IT-рынке представлено множество решений, которые зарекомендовали себя как надежные и передовые в практике DevOps/DevSecOps.

Тенденции развития DevOps и DevSecOps

Эксперты сходятся во мнении, что будущее DevOps и DevSecOps связано с переходом на внутренние платформы, включающие встроенные функции безопасности. Основная цель такого перехода — объединить все процессы разработки и эксплуатации в единую систему, где безопасность станет неотъемлемой частью всех этапов жизненного цикла продукта.

Еще одной тенденцией является переход к микросервисной архитектуре, который позволяет компаниям пересобирать свои системы и добавлять компоненты без глобальной перестройки инфраструктуры. Параллельно с этим изменяется и подход к безопасности в целом: если раньше классическая модель безопасности ИТ-инфраструктуры основывалась на запретах и ограничениях, то в условиях микросервисной архитектуры приоритет смещается на выявление и координацию угроз.

По данным Axoft, на ИТ-рынке практически не создаются технологические альянсы с разработчиками DevSecOps (всего 1%) и Anti APT (2%). Тем не менее, по самым осторожным оценкам Центра стратегических разработок, к 2027 году объем рынка DevSecOps приблизится к 17,7 млрд рублей, увеличившись почти в два раза, а по самым оптимистичным прогнозам достигнет 60 млрд рублей и вырастет в 6 раз. При этом, аналитики отмечают, что за последние два года российские разработчики нарастили собственные продуктовые линейки, которые способны закрыть все этапы создания ПО с точки зрения безопасности.