Безопасность без ущерба для скорости

0 159

Ярослав Наконечников, DevOps инженер ГК DZ Systems, дал комментарий журналу "Стандарт" о практике внедрения методологии DevSecOps. Новый стандарт безопасности становится все более востребован среди ИТ-компаний по всему миру.

- Как давно существует методология DevSecOps?

- Вопрос довольно сложный, потому что точной даты ее создания никто не знает, но эта методология появилось сравнительно недавно. Методология DevSecOps была разработана в связи с тем, что в последние несколько лет вопрос безопасности разработки ПО становится все более актуальным. В нынешних реалиях DevOps в большей степени преследует цель обеспечения стабильности работы приложения, а DevSecOps сосредоточена на безопасности его работы.

- Существуют ли альтернативные технологии безопасной разработки приложений? В чем преимущества DevSecOps перед другими, в чем недостатки?

- Все известные методологии разработки приложений, - а их немало, и ни одна из них не является универсальной, - могут быть как «безопасными», так и «опасными», - тут все зависит от архитектуры продукта. Однако применение техник DevSecOps вместе с DevOps позволяет быстрее реагировать на найденные уязвимости, а часто и просто предотвращать потенциальные ошибки по части безопасности. В этом – несомненное преимущество DevSecOps.

- На какой результат можно рассчитывать, внедрив DevSecOps? Насколько это оправдано экономически?

- Наиболее зримым результатом станет успешное внедрение политик информационной безопасности в культуру разработки программного обеспечения в каждой отдельно взятой компании, принявшей решение об использовании методологии DevSecOps. Оправданность внедрения DevSecOps зависит от стоимости разрабатываемого продукта, его объективной ценности, потенциальных потерь в случае взлома или хищения данных, преждевременного попадания программного кода продукта в широкий доступ.

- Насколько трудоемко и дорого внедрение DevSecOps?

- Индивидуально и зависит как от размеров и сложности структуры компании, внедряющей эту методологию, так и от сложности разрабатываемого проекта. Если это маленькие клиент-серверные приложения, вопросы обеспечения безопасности вполне можно решить в рамках DevOps-задач. Важно, чтобы архитектор понимал не только потенциальные точки отказа, но и потенциальные точки взлома.

- Какой инструментарий применяется для автоматизации процессов?

- Вопрос достаточно широк по своей постановке, ведь автоматизировать можно на разных стадиях разработки. Например, существует статический анализ кода (SAST). В этом случае проверяется код на наличие некоторых паттернов, что помогает найти некоторые уязвимости. Есть динамические тесты (DAST). В этом случае тесты уже сложнее, и их написание требует знаний особенностей продукта. IAST, например, это уже следующее поколение тестов, местами объединяет SAST и DAST методологии. Также можно проверять и среду окружения на безопасность (RASP). В этом случае анализируется окружение для работы ПО. Список инструментов, если интересно вникнуть глубже:

DAST - Dynamic Application Security Testing

Netsparker, Acunetix, AppScan и много других

IAST - Interactive Application Security Testing

Hdiv, Contrast Assess, Fortify WebInspect

SAST - Static Application Security Testing

SonarQube, ESLint, Fortify SCA

RASP - Runtime Application Self Protection.

Dynatrace, Immuno

Один из сегодняшних лидеров в автоматизации процессов разработки – Gitlab enterprise edition, удобный и хорошо проработанный универсальный веб-инструмент для разработки программного обеспечения.

- Как показывают опросы, лишь менее трети российских компаний использует DevSecOps. Почему с их внедрением не спешат? В мире та же ситуация?

- Могу предположить, что внедрению мешают стоимость внедрения и нецелесообразность использования DevSecOps в разработке небольших проектов, а также отсутствие необходимости во внедрении этой методологии в некрупных компаниях, которых в отрасли большинство.

В мире дела обстоят по-разному. В крупнейших компаниях - особенно в финтехе - это по умолчанию внедрено. В менее финансово интересных проектах степень внедрения, разумеется, ниже. И, разумеется, все сильно зависит от страны, в которой работает та, или иная компания.

В целом же можно заметить явный тренд на внедрение DevSecOps, все больше компаний начинает применять эту методологию, появляется все больше различных сервисов, упрощающих интеграцию. Я бы сказал, что внедрять DevSecOps сегодня стало модно.

Конашенок попытался улететь в Армению, но был задержан в аэропорту Пулково, а позже, заикаясь от страха, записал видео, где принёс свои «глубочайшие извинения»

Сегодня и вчера стримеры наперебой извиняются за свои слова в прямом эфире, сказанные сразу после теракта. Одна женщина из Липецкой области в эфире говорила, что в Москве убили всего 113 человек, а на...

«Крокус-покус» Агаларовых: здание в кадастре не числится, а работали дети и самозанятые

Многие наверняка обратили внимание на школьников, выводивших людей из «Крокус Холла» в ходе теракта 22 марта. Они прославились на всю страну и получили уже немало наград. Правда, юридич...

Русская ракета попала "куда нужно". Варшава спешно отправила в отставку инструктора ВСУ после смерти генерала
  • ATRcons
  • Вчера 20:06
  • В топе

Решение об отстранении было принято на основании данных контрразведки Польши. Кадровые перестановки в "Еврокорпусе"  Пресс-служба Министерства обороны Польши сообщает об уволь...