СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Кросс технолоджис
18 октября
#Dev#ИБ#Инфра

Почему буксует внедрение DevSecOps

Почему буксует внедрение DevSecOps

Агентство TelecomDaily и ИТ-экосистема «Ростелекома» «Лукоморье» выпустили исследование, посвященное зрелости разработки ПО в российских компаниях. Руководитель департамента развития и архитектуры «Кросс технолоджис» Евгений Балк обратил внимание на следующий факт:

Исследование показало, что 66% компаний уже используют в разработке конвейер CI/CD (непрерывную интеграцию и развертывание), но только 38% интегрировали в него практики безопасной разработки — DevSecOps.

Опасности CI/CD без DevSecOps

— Нарушение требований регуляторов (для некоторых отраслей).

— Быстро созданный продукт «зависнет» на этапе согласования ИБ.

— Если же он выйдет, то будет содержать критические уязвимости, и по-хорошему, его придется «выключать» сразу после релиза.

Почему буксует внедрение DevSecOps?

Как правило, этот подход внедряют в уже функционирующий CI/CD. Типичная ситуация: сначала внедряется конвейер, задачи которого — автоматизировать процессы и повысить скорость вывода продукта на рынок (Time to Market), на это завязаны метрики и KPI команды разработки.

Когда возникает идея добавить в конвейер CI/CD процессы DevSecOps, разработчики, DevOps-инженеры и SRE опасаются, что:

❌ Возникнут сложности при интеграции инструментов.

❌ Скорость вывода новых версий продукта замедлится.

❌ KPI окажутся невыполнимыми.

❌ Функционирование инфраструктуры, в которой развернуто разрабатываемое приложение, окажется невыполнимым.

Как эффективно внедрить DevSecOps

✅ Подбирать инструменты именно под ваш продукт и технологический стек — тогда, по нашей практике, влияние на скорость релизов будет нулевым или минимальным.

✅ Если ситуация позволяет, то внедрять DevSecOps на этапе построения CI/CD-конвейера, тогда это становится общей задачей разработчиков и ИБ, они формируют общий KPI, направленный на стабильность продукта, но с учетом требований безопасности.

✅ Привлечь проверенного подрядчика с опытом построения DevSecOps: он поможет подобрать инструменты, определить метрики и KPI, сформировать карту процессов и обучить команду работе в новом подходе.

Для дальнейшей поддержки процесса DevSecOps можно также привлечь подрядчика как сервис, поскольку сейчас на рынке дефицит кадров, и нанимать профильных специалистов в штат может быть невыгодно.

Кросс технолоджис
Автор: Кросс технолоджис
Мы — интегратор решений и поставщик сервисов для информационной безопасности. Защищаем цифровые активы бизнеса с 2011 года.
Комментарии: