Связаться по:
vkarabedyants Telegram Viber
+7 (499) 404-28-83

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

Разработка защищенных приложений с помощью DevSecOps

В последнее время, мы часто слышим про эффективность методики DevOps. Но в достаточной ли мере в ней учтен вопрос безопасности? Некоторые специалисты задались этим вопросом и открыли новую модель разработки, которая получила название Devsecops. Насколько она оказалась полезной?девсекопс

Что такое Devsecops

Обычно, методики для оптимизации процессов разработки ПО нацелены исключительно на повышение эффективности внутри команды. Но в нашем случае, речь идет о применении автоматизированных инструментов для гарантирования сильной защиты. Безусловно, DevSecOps не сможет начать демонстрировать свою значимость в самом начале работы. Поэтому внедрять ее на более поздних этапах наиболее эффективно. Более того, DevSecOps можно применять в процессах тестирования или непрерывного развертывания.

Актуальность DevSecOps

Стоит отметить, что каждая из доступных методик стремительно ускоряет работу, жертвуя при этом безопасностью инфраструктуры. Большинство компаний может быть не готово к такому скачку повышения требований качества в данной области.

Именно поэтому, дальнейшее развитие DevOps затронуло вопрос информационной безопасности. Ускорение работы команд-разработчиков создало беспрерывный поток обновляемых функций, а также постоянный поток данных со стороны сервисов, пользователей и прочих приложений.

А теперь просто представьте, что в такую идеальную схему работы врывается всеми ненавистный и до боли простой DDoS. Вся «беспрерывная модель» рушится. Все процессы, которые создали идеальную атмосферу в команде, оказались бы бесполезными перед лицом кибер-угроз.

Чем полезен DevSecOps

Первое и наиболее важное в процессах, применяемых DevSecOps, это полная автоматизация. За счет этого исключается человеческий фактор в важных моментах начального этапа разработки, когда каждой группе пользователей назначаются определенные уровни доступа.

Да и в целом, процессы управления учетными записями с помощью автоматизированных систем значительно повышают уровень безопасности. В сочетании с активным мониторингом и установкой сетевых фильтров, вся инфраструктура может значительно укрепиться в этом вопросе. Более того, сотрудники, отвечающие за безопасность, могут уделять куда больше времени регулированию внутренних политик.

Как и в DevOps, DevSecOps не концентрирует налаживание безопасности в одних руках. Весь процесс зависит от всех команд, участвующих в разработке. То есть, работа по двум методологиям ведется параллельно одними и теми же участниками. И поэтому, вполне возможно, что в ближайшем будущем их и вовсе не будут разделять.

Трудности одновременного внедрения DevOps и DevSecOps

Безусловно, не все может проходить так гладко. Каждый отдельный процесс разработки требует определенного подхода к решению поставленной задачи. Да, DevOps дает гибкость компании, но внедрить одновременно две методики довольно трудно.

Идеальная структура по DevOps практически не затрагивает вопросы безопасности, что сильно возмущает сторонников DevSecOps. С одной стороны, внедрение дополнительных инструментов для отслеживания уровня защищенности затруднят работу. С другой, без этого можно потерять все наработки в один миг.

В первую очередь, необходимо отталкиваться от подхода к работе самих разработчиков. Они обязаны опираться на политику безопасности, начиная писать первые строчки кода, чтобы не поставить под угрозу весь труд команд. Конечно, путей реализации безопасного подхода очень много, поэтому выбор одной из них – тоже задача не из легких.

Реальные примеры применения DevSecOps

DevSecOps отлично сработал в некоторых компаниях, которые расставили приоритеты именно на сокращении количества уязвимостей. Так, были оптимизированы такие процессы, как обратная связь, добавление инструментов для автоматизации, а также повышение уровня осведомленности и грамотности персонала.

Давайте просто обратимся к статистике. Согласно полученным данным, если компания взялась за повышение уровня безопасности, используя динамический мониторинг, то это занимает у нее в среднем около 174 дней. DevSecOps сокращает этот срок до 92 дней. Если же применять статический мониторинг, то это займет 113 суток. С помощью DevSecOps срок сокращается до 51 дня.

Как видите, разница велика. Если этого мало, то есть еще несколько занимательных цифр: в течении 10 дней компания может устранить около 15% всех дыр в безопасности. DevSecOps увеличивает этот процент до 53%. Такие результаты заставили 98% компаний в США пересмотреть свою политику и запланировать внедрение эффективной методики.

DevOps менеджер с 10-и летним опытом ведения проектов по созданию ПО поможет добиться должной безопасности кода в ходе разработки, и сделать продукт не имеющий уязвимостей. Обращайтесь [email protected]stem-admins.ru

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.