Содержание |
DevSecOps опирается на наработки и рекомендации общего подхода DevOps. Применение ценностей DevOps к безопасности ПО означает, что проверка безопасности становится активной, неотъемлемой частью процесса разработки.[1]
DevSecOps предусматривает активный аудит безопасности и тестирование на проникновение в процессе aglie-разработки. Согласно концепции DevSecOps, безопасность необходимо встраивать в продукт еще в процессе разработки, а не внедрять на этапе готового продукта. Принципы DevSecOps поощряют совместную работу и требуют передавать работу специалистам по безопасности как можно раньше.
История
2024
Программное обеспечение, разработанное на Java и C# оказалось самым уязвимым
Команда AppSec Solutions (Аппсек Солюшенс) провела исследование наиболее "уязвимых мест" при разработке российского программного обеспечения и определила, какие из них дают наибольший простор для действий хакеров. Об этом компания сообщила 19 сентября 2024 года.
Эксперты на базе продукта AppSec.Hub проанализировали метрики DevSecOps и определили наиболее распространенные недостатки кода и языков программирования, которые приводят к утечкам данных и росту рисков кибератак. Анализ провели на реальных анонимных данных клиентов из разных индустрий в России в 2024 году. В выборку исследования вошли наблюдения за 98 командами разработчиков, которые трудились над разработкой ПО для наиболее важных отраслей экономики. В частности, исследование коснулось разработки компаний таких сфер как: финансовый сектор, телеком, промышленность, ТЭК и других. Целью было проанализировать обезличенные данные и выявить наиболее типичные проблемы информационной безопасности. Эксперты провели анализ более 140 миллионов строк кода, чтобы определить основные метрики плотности риска безопасности. Для расчета метрики были использованы еженедельный срез данных о количестве выявленных и неисправленных уязвимостей.
Анализ данных в течение нескольких месяцев показал, что языки программирования, которые используют команды, имеют разные риски уязвимостей для кибератак. Самая высокая плотность риска у ПО, написанного с помощью C# и Java. Наименьшие показатели – Go, Python, SQL.
Таблица уровня риска для разных языков программирования.
Для создания вредоносного кода злоумышленникам проще пользоваться Java за счет большего количества зависимостей при программировании. Представьте себе две компании, в одной из которых трудится 50 человек, а в другой – 500. В какой из них у злоумышленников будет больше возможностей найти «слабое звено»? Примерно таков же принцип работает и с языками программирования. Java и C# доступны во множестве библиотек, где можно найти решения почти под любые задачи и в то же время чрезвычайно популярны у команд разработки, — сказал Антон Башарин, Старший управляющий директор. |
Напротив, Go, также известный как Golang, наиболее безопасный язык программирования. Golang — это универсальный язык, разработанный Google в 2007 году. Он сочетает в себе скорость и безопасность C/C++ с гибкостью Python. Традиционно порог входа в С/С++ выше, чем в любые другие языки, что даёт меньшее количество уязвимостей.
Любое приложение как правило, сочетает в себе несколько языков программирования. Разработчик берет несколько языков для разработки интерфейса, серверной части и взаимодействия компонент. Рейтинг «безопасности» языков программирования помогает понять, в какой области могут быть критически значимые уязвимости, где нужно провести оценку рисков прежде всего.
Что мешает внедрять DevSecOps в России - TA мнения
Активный курс на импортозамещение цифровых технологий, который взяла Россия после попадания под западные санкции, а также расширение требований регуляторов привели к повышению спроса на средства безопасной разработки ПО в стране. Однако внедрению DevSecOps мешает несколько факторов. О них участники рынка рассказали TAdviser в июле 2024 года.
В Positive Technologies ключевым барьером на пути широкого распространения практики DevSecOps считают отсутствие развитой культуры безопасной разработки в России.
В некоторых случаях компании до сих пор рассматривают информационную безопасность как что-то, что можно «прикрутить» на последних этапах создания ПО, а не как неотъемлемую часть всего цикла. Это мышление укоренилось еще с тех времен, когда вопросы безопасности интересовали только госсектор и банки, а большинство других индустрий просто не брали её в расчет серьезно, - отметил руководитель группы исследований безопасности банковских систем Positive Technologies Сергей Белов. |
По его словам, внедрение DevSecOps тормозят нехватка специалистов и бюрократическая организация процессов внутри компаний. Руководитель QA-отдела ИТ-компании SimbirSoft Ирина Бибик согласна с кадровой проблемой: не все могут позволить себе иметь в штате DevSecOps-инженера. В то же время, как считает Бибик, для внедрения практик DevSecOps обычно вполне хватает Security Champion — сотрудника, понимающего актуальные требования безопасности, в ведении которого уже есть задачи по настройке процессов и инфраструктуры под стандарты.
По мнению эксперта по контролю безопасности ПО Solar appScreener ГК «Солар» Антона Прокофьева, найти опытного специалиста по DevSecOps – задача нетривиальная. Поэтому нередко компаниям приходится растить экспертов внутри организации, что требует времени и ресурсов.
Специалисты по DevSecOps могут зарабатывать 300-400 тыс. рублей, знает руководитель по развитию направления ИБ в компании «Максофт» Антон Морозов. Позволить себе таких профессионалов может не каждая компания. К тому же, как отмечает Морозов, компоненты безопасной разработки нужно внедрять в процесс с самых первых шагов, а если система производства ПО уже отлажена, это видится слишком энергозатратно.
Как правило, стоимость DevSecOps специалиста довольно высокая, подтверждает руководитель отдела информационной безопасности Linx Cloud Георгий Беляков. Их большие зарплаты обусловлены необходимостью иметь довольно широкий опыт работы с системами контейнеризации и оркестрации, глубокие знания современных методик, которые отличаются от классических практик, применяющихся в области информационной безопасности, объяснил он.
Помимо общей кадровой проблемы последних лет, на DevSecOps накладывается сложность подготовки специалистов. По словам руководителя направления SDET ИТ-компании SimbirSoft Евгения Барсукова, несмотря на то, что в университетах есть профиль подготовки в области информационной безопасности, он часто имеет довольно общий вектор, тогда как DevSecOps относительно узкая специальность.
Многие опрошенные TAdviser эксперты, говоря о сдерживающих внедрение DevSecOps факторах, обратили внимание на следующий аспект: руководители компаний не всегда понимают ценность такой практики. Отчасти поэтому их может отталкивать перспектива удорожания производства ПО с внедрением DevSecOps-подхода, считает руководитель стрима «Инженерные инструменты» платформы «Сфера» Евгений Калашников. Инструменты, которые действительно отвечают всем требованиям безопасной разработки, помогают находить уязвимости и работать с разными базами данных, стоят довольно дорого. Однако, как показывает практика, эти затраты несопоставимы с рисками информационной безопасности, которые могут быть при отсутствии должного внимания к этому вопросу, пояснил он.
По мнению директора по продукту «ТТК.Облако» Андрея Малова, не все компании дозрели до таких технологических решений, как Kubernetes или гибкие конвейеры разработки и, поэтому, просто не знают, зачем им нужен еще и «какой-то DevSecOps». До этой технологии еще нужно эволюционно дорасти - и только потом, поняв ее необходимость, начать ее использовать, уверен он.
Многие компании работают по старинке: разработчики сами по себе, специалисты по информационной безопасности сами по себе, системные администраторы тоже отдельно. Зачастую в попытках это все объединить компании сталкиваются с одним из ответов: «Мы всегда так делали, зачем что-то менять?». Убеждать приходится не только руководство, но и самих сотрудников, - отметил технический директор SecWare Никита Москвичев. |
Отдельная история — это регуляторы, некоторые их требования с трудом ложатся на методологию DevSecOps. Как подчеркнул преподаватель факультета компьютерных наук ВШЭ Лев Немировский, строгие нормативные требования, заставляющие компании следовать различным стандартам безопасности и защиты данных, могут усложнять или замедлять внедрение DevSecOps-практик.
Руководитель отдела микросервисной инфраструктуры финтех-компании Rowi Максим Демиденко считает, что к середине 2024 года в России практически не осталось компаний, которые могут предлагать ПО для внедрения DevSecOps. Также собеседник TAdviser выделил проблему высокой стоимости ПО, связи с чем, по мнению Демиденко, компании предпочитают искать open-source решения, которые при этом хотя бы как-то позволяют компании закрывать потребности по построению безопасной разработки.
Генеральный директор АНО «Национальный центр компетенций по информационным системам управления холдингом» (НЦК ИСУ) Кирилл Семион отмечает, что при организации закупочных процедур у компаний с госучастием наличие требования к разработчику о применении DevSecOps может быть сочтено избыточным и процедура может быть опротестована. Кроме того, по словам собеседника TAdviser, внедрение DevSecOps в разработку невозможно без внедрения автоматизированных механизмов проверки кода. Это приводит к удорожанию самой разработки для потребителя.
По мнению замгендиректора по технологическому развитию «Иннотеха» Дмитрия Гредникова, преодоление барьеров для DevSecOps требует комплексного подхода, включающего развитие персонала, дополнительные инвестиции на приобретение специализированных инструментов и технологий, разработку четких стратегий внедрения.
2023
Минцифры тиражирует технологии безопасной разработки DevSecOps на ключевые государственные ИТ-системы
Технология DevSecOps по состоянию на конец ноября 2023 года внедрена для критичных систем «Госуслуг», Единой системы идентификации и аутентификации (ЕСИА), Системы межведомственного электронного взаимодействия (СМЭВ), а со временем будет распространена и на остальные системы инфраструктуры электронного правительства. Об этом TAdviser сообщили в Министерстве цифрового развития и связи РФ.
Технология DevSecOps предполагает дополнение технологии веб-разработки с непрерывной интеграцией новых компонент и их безболезненной установкой (CI/CD-конвейер) механизмами проверки безопасности кода: статическим (SAST) и динамическим (DAST) сканером уязвимостей, контролем зависимостей компонент и встроенных секретов, механизмами нагрузочного тестирования и фаззинга. Эти механизмы позволяют обнаружить ошибки в веб-приложении еще до их публикации, что позволяет допускать к массовому использованию только те веб-компоненты, которые уже прошли первоначальную проверку на безопасность.
Для ведомственных систем подобную методику предлагает и Государственный центр анализа защищенности мобильных и веб-приложений государственных информационных систем, – пояснили для TAdviser в пресс-службе Минцифры. – В Центре анализ проводится как с использованием отечественных инструментов проверки исходного кода ПО (Solar appScreener, «Svace», «DAST appScreener», «Crusher»), так и в ручном режиме с привлечением экспертов в области информационной безопасности. Начиная с декабря 2022 года проведен анализ более чем 200 мобильных и веб-приложений государственных информационных систем. |
Государственный центр анализа защищенности мобильных и веб-приложений государственных информационных систем[2] (ГЦА) создан на базе НИИ «ВОСХОД» в 2022 году. Целью его создания является повышение уровня защищенности информационных систем за счет оказания услуги по выявлению уязвимостей программного обеспечения, включая мобильные и веб-приложения, в том числе государственных информационных систем. Причем в функции центра входит не только поиск уязвимостей в мобильных и веб-приложениях государственных ИС, но и взаимодействие с их операторами и заказчиками, целью которого является повышение защищенности подобных систем.
Кроме того, ведётся работа по созданию конвейера безопасной разработки на платформе «ГосТех», – сообщила пресс-служба Минцифры. – Конвейер позволит повысить уровень защищенности платформы и государственных информационных систем, работающих на ней, с помощью выявления и устранения недостатков и уязвимостей ПО на всех этапах жизненного цикла программного обеспечения. |
А поскольку именно «ГосТех» в соответствии с указом Президента РФ № 231[3] станет основой как для федеральных, так и для региональных государственных систем, то внедрение DevSecOps в этой платформе позволит полностью обеспечить технологией все наиболее значимые государственных ИС и тем самым улучшить защищенность веб-ресурсов Российской Федерации в целом.
Московская область внедряет прогрессивные ИБ-практики: DevSecOps, киберучения и bug bounty
Центр информационной безопасности Московской области в середине ноября объявил тендер на внедрение технологии безопасной разработки DevSecOps для своей государственной информационной системы «Портал государственных и муниципальных услуг (функций) Московской области». Проект также предполагает оказание услуг по организации киберучений, проведение программы по поиску уязвимостей и оценке уровня защищенности информационных ресурсов Московской области. Подробнее
Смотрите также
- DevOps
- Agile software development
- Agile в управлении государственными проектами
- Value Stream Management (VSM, управление потоком создания ценности)
- Scrum
- Канбан (Kanban)
- Lean
- Суперсеты, эстафеты и гонки на скоростных спорткарах – спортивный agile подход к процессу выполнения проекта