Спрос на DevSecOps в России резко вырос

Такую оценку дал управляющий директор, директор по продуктам ПАО "Группа Позитив" (Positive Technologies) Денис Кораблев, выступая на панельной дискуссии "Работа в облаках: фокус на безопасность" конференции VK Cloud Conf 2023. По его мнению, это связано со всплеском внутренней разработки в российских компаниях - им приходилось очень быстро создавать альтернативу продуктам зарубежных компаний, вендоры которых ушли с российского рынка. "И в целом для рынка безопасность стала одним из приоритетов для разработчиков, тогда как раньше на нее если не обращали внимания, то она была вопросом второстепенным", - сделал вывод Денис Кораблев.

Бизнес-партнер по информационной безопасности VK Иван Шубин согласился с этим утверждением. По его наблюдениям, даже стартапы, которые до февраля 2022 г. вообще не занимались безопасностью разработок, осознали, что если инцидент произошел, то работу можно просто уже не начинать. А технология DevSecOps позволяет снизить жизненный цикл уязвимости в ПО и сервисах до минимума, поэтому в VK данная методология и инструментарий активно применяются.

Руководитель отдела безопасности программного обеспечения "Лаборатории Касперского" Дмитрий Шмойлов назвал безопасность важной характеристикой уровня качества ПО. А использование методологий безопасной разработки стало стандартом. Применение DevSecOps, как подчеркнул Дмитрий Шмойлов, позволяет существенно снизить сроки выхода новых продуктов и функций, в том числе связанных с усложнением приложений для их имплементации в облако, что повышает требования к масштабированию и более высоким нагрузкам.

Директор по ИБ и специальным проектам IVA Technologies Евгений Родыгин обратил внимание, что применение продуктов DevSecOps стало элементом требований регуляторов по организации процессов безопасной разработки: "Такие средства требуются при выполнении процедур сертификации в системе сертификации ФСТЭК России. С 2016 г. существует ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного ПО. Общие требования." который определяет основные направления деятельности по организации безопасной разработки ПО. Требования по безопасной разработке все чаще включают в технические задания на разработку ПО различные заказчики, в том числе министерства и ведомства. Соответственно, потребность в продуктах и технологиях DevSecOps растет".

Руководитель портфеля продуктов DevSecOps платформы "Сфера" Евгений Калашников, также считает, что спрос на данные инструменты в российских компаниях за последнее время серьезно вырос: "Именно забота о безопасности выходит на первый план - все чаще в компаниях этим занимаются не разработчики, а сотрудники кибербезопасности. Это связано с требованиями регуляторов - ФСТЭК России и Центробанка. В нашей компании крайне серьезно относятся к безопасности ПО - как к используемому, так и к разрабатываемому. Специалисты кибербезопасности работают в тесной связке с командами разработки".

Начальник отдела разработки программных средств защиты информации АО "НППКТ" Дмитрий Воронин заявил, что в его компании методологии DevSecOps используют практически с самого основания, более пяти лет. Это, по его мнению, является знаком ответственного отношения к качеству программных продуктов: "Эти инструменты важны всем разработчикам, которые делают качественные программные продукты. Также без них не обходится организация безопасной среды разработки, которая требуется для дальнейшей сертификации продуктов в государственных регулирующих подразделениях".

"В России, действительно, наблюдается рост спроса на продукты DevSecOps. Это связано с тем, что, в условиях быстрой цифровой трансформации и увеличения количества кибератак на российские предприятия, компании все больше осознают необходимость обеспечения безопасности своих приложений и данных и готовы внедрять новые технологии для достижения этой цели. На спрос также повлиял уход иностранных вендоров с рынка, это привело к развитию собственных российских разработок", - считает руководитель направления безопасной разработки ГК Softline Камилла Сакаева.

Руководитель группы DevOps "Рексофт" Антон Дьяконов, однако, считает, что речь идет скорее о волне интереса к теме DevSecOps, за которым не стоит увеличение количества внедрений. Тем не менее внутри крупных компаний данную методологию используют. "В крупных заказчиках работа с ИБ по проверке кода чаще всего лежит в контуре внутренних ИБ-служб. Банки, компании ТЭК сами проверяют код в рамках парадигмы DevSecOps. Также этой темой активно занимаются продуктовые команды, где ИБ - один из блоков процесса. Например, так работает наша команда департамента горнодобывающих решений", - делится наблюдениями Антон Дьяконов.

По оценке Камиллы Сакаевой, также использование DevSecOps более характерно для внутренних команд разработчиков: "Использование инструментов и методов DevSecOps может быть полезным для любого типа разработчиков, независимо от их специализации. Однако внутренние разработчики компаний, занимающиеся разработкой корпоративных приложений и систем, могут быть более заинтересованы в использовании таких инструментов, так как они работают с конфиденциальными данными и важными бизнес-процессами, где безопасность является критически важным аспектом".

Евгений Калашников же уверен, что, создавая ПО на продажу, не выявить критические уязвимости продукта - значит поставить на рынок некачественный продукт, который может повлиять как на продажи, так и на репутацию.