DevSecOps стремится к полному циклу 27.10.2022 15:57
Российские разработчики в ближайшей перспективе предложат рынку полноценную экосистему продуктов DevSecOps. Она придет на смену отдельным продуктам, которые решают частные задачи безопасной разработки.
25 октября прошел AM Live Российский DevSecOps в условиях импортозамещения. Количество его участников приблизилось к рекордным показателям, что говорит о большом интересе к этой теме со стороны участников.
По горячим следам журналисты ComNews подготовили материал, где собрали самые актуальные и острые моменты, касающиеся темы безопасной разработки.
Полный текст статьи читайте ниже.
Полное видео конференции вы можете смотреть по ссылке - https://www.youtube.com/ watch?v=VbueCGMjyk0
По прогнозам ООО "Свордфиш Секьюрити", проникновение технологий DevSecOps по итогам текущего года должно составить около 30%. По данным опроса, проведенного АО "Позитив Текнолоджиз" в сентябре 2021 г., уже тогда 36% принявших в нем участие заявили об использовании этих инструментов. По данным исследования Центра стратегических разработок, общий объем рынка средств защиты приложений, куда входят инструменты DevSecOps, составил по итогам 2021 г. 11 млрд руб. По прогнозам, к 2026 г. объем данного технологического сегмента вырастет до 49 млрд руб., среднегодовые темпы роста составят 34%.
Практический интерес к безопасной разработке существенно вырос в период пандемии, когда множество учреждений и компаний запускали сервисы и приложения, ориентированные на дистанционное обслуживание клиентов. Но, как отметила ведущий менеджер по развитию продуктовых решений ITD Group Анна Архипова в ходе конференции "Российский DevSecOps в условиях импортозамещения", это не оставили без внимания злоумышленники, которые, за счет увеличения поверхности атак, существенно усилили возможности. В итоге росли непредвиденные простои и прочие инциденты, в том числе связанные с прямыми кражами денег и данных, что влекло репутационные потери. Применение методологий DevSecOps позволяло встраивать проверку кода на наличие всевозможных уязвимостей в конвейер разработки практически без ущерба для сроков вывода продуктов на рынок. Новый толчок рынку DevSecOps дало расширение практики использования решений с открытым кодом в условиях роста рисков, связанных с включением туда разного рода недекларируемых возможностей, да и неумышленные уязвимости тоже явление распространенное.
Руководитель отдела архитектуры систем ИБ центра кибербезопасности и защиты ПАО "Ростелеком" Кирилл Демьянов поделился опытом внедрения систем автоматизированного контроля уязвимостей во внутренний репозиторий ПО, который применяется в компании. Им пользуются десятки команд разработчиков.
Руководитель отдела безопасности программного обеспечения "Лаборатории Касперского" Дмитрий Шмойлов назвал безопасность одним из ключевых критериев качества кода. Кроме того, использование технологий безопасной разработки все более активно лоббируют регуляторы, прежде всего ФСТЭК. Использование таких методологий кратно снижает сроки сертификации продуктов, что очень важно для вендоров продуктов, которые требуют сертификации.
Основатель и технический директор ООО "КлаудРан" (Luntry) Дмитрий Евдокимов назвал одним из основных драйверов внедрения технологий DevSecOps использование контейнерных технологий, что стало ответом на рост цен физического серверного оборудования. По его оценке, использование DevSecOps повышает затраты на 10-30%, в зависимости от того, как выстроен процесс разработки.
Дмитрий Шмойлов, однако, назвал эти оценки несколько завышенными. Да, использование DevSecOps не бесплатно, но чем выше уровень автоматизации операций, тем ниже доля затрат.
Руководитель направления DevSecOps центра информационной безопасности АО "Инфосистемы Джет" Антон Гаврилов назвал накладные расходы на защиту контейнерных сред самыми крупными. Это связано с большим количеством продуктов с открытым кодом (до 70%) и высокими требованиями к квалификации кадров.
Ведущий инженер DevSecOps ООО "УЦСБ" Евгений Тодышев обратил внимание на защиту сред разработки, особенно расположенных в публичных облаках. Для полноценной защиты таких сред необходимо применять межсетевые экраны для web-приложений (WAF), иначе возможна компрометация кода даже тогда, когда применяются все прочие инструменты.
Управляющий директор, директор по продуктам АО "Позитив Текнолоджиз" (Positive Technologies) Денис Кораблев обратил внимание, что на российском рынке пока много первых внедрений. Полный цикл, по его наблюдениям, использует считаное количество компаний. Однако важно не количество продуктов, а то, насколько правильно их используют.
Также Денис Кораблев заявил, что технология DevSecOps в явном виде в документах ФСТЭК не упоминается, но все инструменты по отдельности там есть. Также ФСТЭК запланировала создание унифицированной среды безопасной разработки.
Кроме того, технологии безопасной разработки, пока на уровне рекомендаций, предлагает использовать и Центральный банк. Однако Денис Кораблев не исключил, что их применение будет обязательным для финансового сектора. Такие намерения озвучены представителями финансового регулятора еще до начала пандемии.
Основатель ООО "Профископ" (CodeScoring) Алексей Смирнов назвал самой сложной фазой проекта внедрения DevSecOps его начало. Поэтому, по его мнению, для развития рынка необходимо выстроить обмен лучшими практиками. Именно это и формирует рынок.
За текущий год рынок DevSecOps в России существенно перестроился. Это связано с уходом зарубежных вендоров, которые доминировали на нем. Так, из пяти вендоров, которые, по данным исследования Центра стратегических разработок, занимали ведущую роль в технологическом сегменте защиты приложений, куда входят средства DevSecOps и инструменты защиты от DDoS-атак, три - IBM, MicroFocus и F5 были международными компаниями. Другим вызовом стал отток кадров, однако, по мнению Евгения Тодышева, данная проблема сильно преувеличена.
Но в целом кадровая проблема, по мнению участников дискуссии, стоит довольно остро. Уровень заработной платы специалистов также довольно высок. К примеру, инженер DevSecOps с опытом работы около года из региона, как отметил Евгений Тодышев со ссылкой на опыт своей компании, вполне может рассчитывать на 100 тыс. руб. в месяц. При этом представитель УЦСБ обратил внимание, что необходимо выстраивать связи с вузами, прежде всего для улучшения качества подготовки кадров, которое пока оставляет желать лучшего. По оценке Дениса Кораблева, опытный специалист в области безопасности приложений может рассчитывать на 250 тыс. руб. По его мнению, лучшие такие специалисты получаются из переученных разработчиков.
При этом у российских разработчиков есть шанс вырваться вперед. По мнению участников дискуссии, главной проблемой на рынке средств DevSecOps является его фрагментарность. Ни один из международных вендоров не предлагает всю линейку продуктов, и у российских разработчиков есть шанс предложить полную экосистему для безопасной разработки приложений. По оценке Анны Архиповой, востребованной задачей является также оркестрация между разными инструментами DevSecOps.
В более близкой перспективе все большее распространение, по мнению участников дискуссии, получит использование DevSecOps по сервисной модели. Руководитель отдела анализа кода ООО "АТ Групп" (Angara Security) Илья Поляков назвал такой подход наиболее адекватным способом решения кадровой проблемы, прежде всего для небольших компаний.