Что мешает внедрять DevSecOps в России

Безопасная разработка в 2023 г. стала в России темой года, заявил директор по кибербезопасности АО "Сбертех" Всеслав Соленик, открывая онлайн-конференцию "Лучшие российские практики DevSecOps". Руководитель продуктов Application Security ПАО "Группа Позитив" (Positive Technologies) Алексей Астахов назвал рост спроса на внедрение практик DevSecOps прямым следствием того, что в рамках быстрого импортозамещения, которое сопровождается ростом кибератак и усилением требований регуляторов, безопасная разработка является дополнительной гарантией качества ПО.

Технический директор ООО "Спектр" (Spectr, раннее - Digital Spectr) Олег Казаков считает основным драйвером для внедрения DevSecOps растущие требования к безопасности программного обеспечения и сами по себе увеличившиеся темпы разработки: "Задействованные в разработке продуктов команды становятся все больше, сложность стоящих задач возрастает, и в этих условиях без системного применения практик DevSecOps создавать защищенное ПО становится практически невозможно".

По оценке ведущего менеджера по развитию бизнеса ITD Group International Ltd Анны Архиповой, в скором будущем применение практик DevSecOps может стать даже обязательным, по крайней мере в ряде сегментов российского софтверного рынка. А заместитель главы ФСТЭК Виталий Лютиков на конференции BIS Summit 2023 отметил, что значительная часть российских разработчиков не соблюдают действующие регламенты ведомства по своевременному устранению обнаруженных уязвимостей (30 или 60 дней в зависимости от критичности): "Службы технической поддержки российских вендоров должны реагировать молниеносно на требования заказчиков, но все чаще и чаще возникает ситуация, когда обратной связи по средствам защиты недостаточно".

"Основным драйвером для внедрения DevSecOps является потребность бизнеса в скорости и качестве доставки функциональности до конечных пользователей. В данный момент компании работают в условиях жесткой конкуренции, и скорость - это сильнейшее конкурентное преимущество. Внедряя у себя практику DevSecOps, компания переносит проверку на уязвимости на более ранний этап разработки ПО, - уверен руководитель QA-отдела ООО "СимбирСофт" (SimbirSoft) Алексей Статенин. - В целом внедрение и активное использование DevSecOps представляется важным для всех организаций, занимающихся разработкой ПО, независимо от их типа. Некоторые компании могут активнее применять DevSecOps, если их бизнес-модель или требования в области безопасности данных требуют более тесной интеграции процессов разработки, эксплуатации и обеспечения безопасности ПО".

Руководитель направления безопасной разработки ПАО "Софтлайн" Камилла Сакаева считает, что использование DevSecOps может быть полезным для любого типа разработчиков, независимо от их специализации, однако внутренние сотрудники компаний, которые занимаются разработкой корпоративных приложений и систем, могут быть более заинтересованы в использовании DevSecOps, так как работают с конфиденциальными данными и важными бизнес-процессами, где безопасность является критически важным аспектом.

По оценке руководителя портфеля DevOps-продуктов платформы "Сфера" (ООО "Т1 Диджитал″) Евгения Калашникова, DevSecOps активно используют все виды компаний, включая вендоров коммерческого ПО, компании заказной разработки и внутренних разработчиков, однако в связи со спецификой наиболее активными пользователями DevSecOps являются компании, которые работают с конфиденциальной информацией, - финансовые организации, государственные учреждения и крупные корпорации.

Ведущий консультант по информационной безопасности АО "Актив-cофт" (AKTIV.CONSULTING) Александр Моисеев выделил такие категории разработчиков, как вендоры решений по ИБ (которые потом сертифицируются в системе ФСТЭК России), поставщики решений для финансовой отрасли, а также организации, которые имеют высоконагруженные решения, - различные маркетплейсы, финтех, розница. "Зрелость ИБ данных организаций позволяет зачастую без каких-либо требований регулятора реализовывать данные процессы, укомплектовывать внутренний штат разработчиков и безопасности необходимыми специалистами, а также внедрять необходимые инструментальные средства", - считает он.

Главной сложностью при внедрении практик безопасной разработки, как заявил Всеслав Соленик, сославшись на личный опыт, является то, что бизнес, как конечный заказчик, не всегда заинтересован в качестве кода и поэтому склонен рассматривать внедрение каких-то дополнительных систем и процессов, в том числе DevSecOps, как обременение. Тем более что такие проекты обычно длительные: по оценке руководителя направления защищенной разработки ООО "СолидЛаб" Валерия Куваева, работы будут занимать минимум год.

"Проблемы с пониманием со стороны бизнеса сейчас в меньшей степени задействованы, так как бизнес крайне заинтересован во внедрении DevSecOps-инструментов и безопасности конечных продуктов", - возражает Евгений Калашников.

Другой сложностью в ходе проектов участники дискуссии назвали выстраивание коммуникаций между командами разработчиков и ИБ. По мнению Всеслава Соленика, это выражается прежде всего в том, что ИБ-специалисты, найдя ту или иную проблему в безопасности приложения, не могут донести до разработчиков возможные пути ее разрешения. По оценке Евгения Калашникова, именно кадровая проблема и сложности с коммуникацией являются наиболее серьезными препятствиями в ходе проектов внедрения DevSecOps.

Директор ООО "Айдеко" (Ideco) Дмитрий Хомутов видит целый комплекс препятствий: "Недостаточные знания о безопасности и DevSecOps являются сегодня основной проблемой эффективного внедрения данной технологии в российскую практику ведения бизнеса. Предприниматели могут не видеть необходимости в интеграции безопасности в разработку и рассматривать это как дополнительную сложность и затраты. Для решения проблемы, на наш взгляд, важно предоставить сотрудникам компаний образовательные материалы, которые позволят понять преимущества и важность DevSecOps, а также примеры организаций, которые успешно внедрили DevSecOps, чтобы показать, насколько оно может быть ценным для бизнеса. К тому же внедрение DevSecOps требует наличия специалистов, обладающих знаниями и навыками не только в области разработки, но и в области информационной безопасности. Однако такие сотрудники могут быть редкими и дорогими ресурсами. Важный момент и степень налаженности коммуникации между ИБ и разработчиками. От того, насколько она тесная, а также от совпадения стратегических взглядов двух команд зависит и скорость внедрения технологии в текущую деятельность компании. Чтобы две команды могли работать на общие цели и понимали задачи друг друга, нужно установить регулярные совещания и обмен информацией между ИБ и разработчиками".

Ведущий архитектор ООО "Свордфиш Секьюрити" Юрий Шабалин назвал проблему с коммуникацией особенно актуальной для крупных компаний, где относительно небольшое ИБ-подразделение приходится на большое количество разработчиков, которые делятся на десятки команд: "В таких условиях очень сложно выстроить обычный диалог, не говоря уже о построении процесса безопасной разработки - часто это невозможно физически". Сославшись на личный опыт, он порекомендовал выращивать DevSecOps-инженеров из числа разработчиков: из ИБ-специалистов готовить такие кадры сложнее и дольше, а качество их работы будет ниже.

По мнению Камиллы Сакаевой, значимы как незаинтересованность бизнеса, так и сложности с коммуникацией. Она предложила три меры для их разрешения: "Нужно, во-первых, провести обучающие сессии и презентации для бизнес-лидеров, чтобы объяснить им ценность и преимущества DevSecOps. Важно показать, как DevSecOps может повысить безопасность и эффективность разработки. Хорошо работают успешные кейсы и примеры из индустрии. Во-вторых, найти специалистов с навыками в области информационной безопасности и разработки внутри компании. Можно рассмотреть возможность обучения существующих сотрудников, чтобы они могли приобрести необходимые знания и навыки. И в-третьих, создать каналы коммуникации между разработчиками и специалистами по информационной безопасности. Это могут быть регулярные совещания, общие платформы для обмена информацией. Важно обеспечить прозрачность и открытость в общении, чтобы обе стороны могли понимать и учитывать потребности друг друга".

Олег Казаков основным сдерживающим фактором считает возрастающую стоимость разработки: "DevSecOps позволяет сделать процесс контроля безопасности разрабатываемого ПО более системным, но при этом неизбежно приводит к удорожанию этой самой разработки: бывает сложно аргументировано донести до бизнеса важность этих дополнительных затрат".

Александр Моисеев обратил внимание и на то, что нужна определенная осторожность при внедрении инструментальных средств: "Пользы от того, что вы будете бессистемно закидывать в сторону разработчиков - как через забор - несколько выгруженных из анализаторов и сканеров отчетов по 500-1000 страниц с десятками тысяч предупреждений и уязвимостей, будет не так много. Необходимо пробовать постепенно внедрять те или иные процедуры, используя риск-ориентированный подход, смотреть на пропускную способность "системы" и корректировать процессы".

Управляющий партнер ООО "Экспресс 42″ Александр Титов считает, что больше всего сложностей возникает в работе с кадрами и во внедрении новых методик, к которым люди не привыкли: "На самом деле DevSecOps не создает никакого противостояния между разработкой и ИБ. Напротив, правильно выстроенные процессы помогают коллегам работать более эффективно. Однако для внедрения такой практики важны как опытные руководители, так и выделенные ответственные лица. Соответственно, нужны ресурсы, требуется четкий план обучения и контроль соблюдения правил".