Главная / О компании / Наше мнение / DevSecOps: как российским компаниям выстроить процессы безопасной разработки

DevSecOps: как российским компаниям выстроить процессы безопасной разработки

← Предыдущая Следующая →
0
1339
DevSecOps: как российским компаниям выстроить процессы безопасной разработки
Развитие DevSecOps – один из главных трендов в современной ИТ-разработке. Понятие объединяет подходы, инструменты и технологии, позволяющие с первых дней работы над продуктом защитить его от взлома и утечек данных. Журналист портала Cyber Media обсудил с экспертами рынка, как выстраивается DevSecOps и что нужно для быстрого получения результатов.
 
Cyber Media: Как выглядит дорожная карта внедрения DevSecOps?
 
Алексей Смирнов, CodeScoring
 
При правильно выстроенных процессах разработки, добавление звена Sec не должно a6d5a35d25a9592af58a6e41dd032-fit-265x265-0 вызывать критичных проблем, а начать можно с защиты от уязвимостей артефактов, попадающих в контур разработки, в частности, применив SCA-firewall. Далее, можно погружаться в анализ всего исходного кода и обеспечения безопасности сборок целиком.
 
Период раскачки, конечно же, есть, но он разный для разных инструментов, все инструменты на разной глубине погружения в процессы анализа дают требуемые результаты, а самый быстрый бизнес-эффект дает SCA (software composition analysis) для анализа open source.
 
Причины самые банальные – компоненты с открытым кодом составляют подавляющее большинство в программных проектах, уязвимости в них публично известны, а «мамкины хакеры» и боты в первую очередь атакуют по известным уязвимостям, для которых существуют эксплойты и инструкции по эксплуатации в открытом доступе.
 
В целом, грамотно выстроить DevSecOps безусловно трудно, синхронизировать все процессы, отладить политики и инструменты, но главное – сформировать команду и культуру.
 
Комментарии

Комментариев пока нет