В последнее время, мы часто слышим про эффективность методики DevOps. Но в достаточной ли мере в ней учтен вопрос безопасности? Некоторые специалисты задались этим вопросом и открыли новую модель разработки, которая получила название Devsecops. Насколько она оказалась полезной?
n
Что такое Devsecops
Обычно, методики для оптимизации процессов разработки ПО нацелены исключительно на повышение эффективности внутри команды. Но в нашем случае, речь идет о применении автоматизированных инструментов для гарантирования сильной защиты. Безусловно, DevSecOps не сможет начать демонстрировать свою значимость в самом начале работы. Поэтому внедрять ее на более поздних этапах наиболее эффективно. Более того, DevSecOps можно применять в процессах тестирования или непрерывного развертывания.n
Актуальность DevSecOps
Стоит отметить, что каждая из доступных методик стремительно ускоряет работу, жертвуя при этом безопасностью инфраструктуры. Большинство компаний может быть не готово к такому скачку повышения требований качества в данной области.nnИменно поэтому, дальнейшее развитие DevOps затронуло вопрос информационной безопасности. Ускорение работы команд-разработчиков создало беспрерывный поток обновляемых функций, а также постоянный поток данных со стороны сервисов, пользователей и прочих приложений.nnА теперь просто представьте, что в такую идеальную схему работы врывается всеми ненавистный и до боли простой DDoS. Вся «беспрерывная модель» рушится. Все процессы, которые создали идеальную атмосферу в команде, оказались бы бесполезными перед лицом кибер-угроз.n
Чем полезен DevSecOps
Первое и наиболее важное в процессах, применяемых DevSecOps, это полная автоматизация. За счет этого исключается человеческий фактор в важных моментах начального этапа разработки, когда каждой группе пользователей назначаются определенные уровни доступа.nnДа и в целом, процессы управления учетными записями с помощью автоматизированных систем значительно повышают уровень безопасности. В сочетании с активным мониторингом и установкой сетевых фильтров, вся инфраструктура может значительно укрепиться в этом вопросе. Более того, сотрудники, отвечающие за безопасность, могут уделять куда больше времени регулированию внутренних политик.nnКак и в DevOps, DevSecOps не концентрирует налаживание безопасности в одних руках. Весь процесс зависит от всех команд, участвующих в разработке. То есть, работа по двум методологиям ведется параллельно одними и теми же участниками. И поэтому, вполне возможно, что в ближайшем будущем их и вовсе не будут разделять.n
Трудности одновременного внедрения DevOps и DevSecOps
Безусловно, не все может проходить так гладко. Каждый отдельный процесс разработки требует определенного подхода к решению поставленной задачи. Да, DevOps дает гибкость компании, но внедрить одновременно две методики довольно трудно.nnИдеальная структура по DevOps практически не затрагивает вопросы безопасности, что сильно возмущает сторонников DevSecOps. С одной стороны, внедрение дополнительных инструментов для отслеживания уровня защищенности затруднят работу. С другой, без этого можно потерять все наработки в один миг.nnВ первую очередь, необходимо отталкиваться от подхода к работе самих разработчиков. Они обязаны опираться на политику безопасности, начиная писать первые строчки кода, чтобы не поставить под угрозу весь труд команд. Конечно, путей реализации безопасного подхода очень много, поэтому выбор одной из них – тоже задача не из легких.n
Реальные примеры применения DevSecOps
DevSecOps отлично сработал в некоторых компаниях, которые расставили приоритеты именно на сокращении количества уязвимостей. Так, были оптимизированы такие процессы, как обратная связь, добавление инструментов для автоматизации, а также повышение уровня осведомленности и грамотности персонала.nnДавайте просто обратимся к статистике. Согласно полученным данным, если компания взялась за повышение уровня безопасности, используя динамический мониторинг, то это занимает у нее в среднем около 174 дней. DevSecOps сокращает этот срок до 92 дней. Если же применять статический мониторинг, то это займет 113 суток. С помощью DevSecOps срок сокращается до 51 дня.nnКак видите, разница велика. Если этого мало, то есть еще несколько занимательных цифр: в течении 10 дней компания может устранить около 15% всех дыр в безопасности. DevSecOps увеличивает этот процент до 53%. Такие результаты заставили 98% компаний в США пересмотреть свою политику и запланировать внедрение эффективной методики.n
DevOps менеджер с 10-и летним опытом ведения проектов по созданию ПО поможет добиться должной безопасности кода в ходе разработки, и сделать продукт не имеющий уязвимостей. Обращайтесь [email protected]