Российский рынок DevOps и DevSecOps находится в стадии активной трансформации. Уход иностранных разработчиков и их отказ от выполнения обязательств по поддержке своих решений простимулировал ускорение процесса разработки отечественных продуктов и обеспечение безопасности этого процесса на каждом этапе. По данным исследования Axoft, переход на ИБ-решения в кратчайшие сроки - одна из приоритетных задач как для государственного, так и коммерческого сектора.
Однако 27% госзаказчиков и 36% коммерческих заказчиков до сих пор не внедрили российские ИБ-продукты, а 67% респондентов из малого и среднего бизнеса вообще не имеют опыта такой миграции. Основная сложность — недостаточные интеграционные возможности некоторых решений. В частности, при внедрении методологии DevSecOps сложности отметили 5,8% респондентов, с интеграцией AntiAPT проблемы возникли у 4,7% опрошенных, а с внедрением AppSec — у 6,7%.
Основная проблема заключается в мозаичности внедрения этих практик. Из-за разного уровня технологической зрелости компаний, DevOps и DevSecOps внедряются частично. По словам генерального директора компании «Флант» Александра Титова, для того чтобы внедрить методологию DevOps и DevSecOps, необходимо полностью изменить организационную и процессную модель, учитывая инструменты. Российские компании находятся на пути преобразований в этой сфере. Более половины респондентов исследования рынка разработки программных продуктов сообщили о наличии выделенного бюджета на развитие DevOps-практик.
По данным «State of DevOps Russia 2024» DevOps-подход стал чаще применяться за пределами ИТ-индустрии: в ритейле, промышленности, энергетике, госсекторе, строительстве и других отраслях. В тройке лидеров: информационные технологии (36.2%), финтех (12,4%) и ритейл (7,3%).
По данным Axoft, заказчики уже активно используют некоторые решения при внедрении DevOps и DevSecOps. Популярностью у респондентов пользуются:
- WAF (36%)
- SAST (23%)
- OSA/SCA и Container Security (по 20%)
- DAST (16%)
Основные задачи, которые закрывают эти решения:
- Сокращают риски сбоев в работе критически важных компонентов инфраструктуры.
- Позволяют снизить расходы в процессе выстраивания инфраструктуры.
- Ускоряют процесс разработки и поставки продуктов.
- Сокращают расходы на команду разработки и повышают технологичность разработки.
Производители отечественных решений считают, что преждевременно говорить о том, что методология DevOps внедрена, когда используется всего 1-2 класса решений из списка всех необходимых для построения полного процесса безопасной разработки. Это как лечить любую болезнь одной таблеткой из аптечки. Методологии DevOps и DevSecOps — это не точечное средство, а комплексный подход к процессной модели разработки. Если применяется стек решений DevOps и DevSecOps, то эффективность каждого из них повышается кратно.
Вопросы о применении Open Source-решений в контексте безопасной разработки и надежности таких решений остаются предметами обсуждения. Опрос Axoft показывает, что единого мнения нет. 37% респондентов считают, что доля Open Source-продуктов в безопасной разработке крайне мала (до 20%). В то же время, 29% участников опроса уверены, что Open Source-продукты используются активно и их доля составляет от 50% до 70%. 22% опрошенных полагают, что этот показатель варьируется от 20% до 50%.
Руководитель направления ИБ Департамента развития продуктовых направлений Axoft Виктор Засорин считает, что использование Open Source-продуктов создает иллюзию безопасности, так как заказчик становится зависимым от собственного штата разработчиков, что несет большие бизнес-риски. Использовать Open Source-продукты стоит в том случае, если компания занимается поставками технологических решений.
Поскольку собственная разработка стоит больших денег, компании чаще используют Open Source-продукты при обеспечении безопасности разработки. Стоимость внедрения методологии DevOps и DevSecOps сильно зависит от ряда факторов, таких как: масштаб компании, текущей инфраструктуры, уровня зрелости ИТ-процессов, выбранных инструментов и технологий, а также от квалификации команды. Стоимость внедрения и миграции существующих сервисов для разных сегментов бизнеса может варьироваться в диапазоне от нескольких миллионов до сотен миллионов и занимать от 6 до 12 месяцев. Но выбрать подходящие решения из 4000 возможных без помощи специалистов, с учетом индустрии и ее задач, совсем непросто. Для выбора оптимального решения требуется не только точный и детальный анализ существующей инфраструктуры и стоящих перед заказчиком задач, но и помощь опытных экспертов. По результатам внедрений специалистов Axoft, на российском IT рынке представлено множество решений, которые зарекомендовали себя как надежные и передовые в практике DevOps/DevSecOps. Руководитель направления Инфраструктурное ПО компании Axoft Оксана Сапёлкина поделилась опытом выбора решения под определенные задачи заказчиков.
Deckhouse Kubernetes Platform от компании «Флант» представляет собой набор инструментов для безопасной разработки и доставки Cloud Native-приложений, а также упрощает эксплуатацию legacy-приложения. Deckhouse помогает облегчить и ускорить переход от монолитных архитектур и legacy к микросервисам, автоматизирует процессы развертывания и управления приложениями, обеспечивая гибкость и отказоустойчивость.
Решения Kaspersky Container Security и Luntry для мониторинга уязвимостей в контейнерной среде позволяют обеспечить безопасность всех компонентов контейнерных платформ.
Решения компании AppSec Solutions закрывают широкий спектр задач по безопасной разработке. Продукты AppSec Hub — это ASOC платформа для комплексного управления и контроля уязвимостями, продукт AppSеc Track - решение класса OSA/SCA для анализа и контроля компонентов с открытым исходным кодом и продукт Стингрей для автоматического анализа защищенности мобильных приложений.
Компания Axiom JDK обеспечивает полный стек технологий для разработки и запуска Java-сервисов, включая сертифицированные ФСТЭК версии. Статический анализатор кода от компании PVS-Studio, динамический анализатор кода – Solidpoint DAST и web application firewall – SolidWall компании СолидЛаб.
Если компании нужно в обязательном порядке соответствовать требованиям регуляторов, стоит обратиться к вендорам, которые активно развивают практики DevOps и DevSecOps, занимаются внедрением и доработкой решений на постоянной основе, а также предлагают дополнительные проекты, необходимые для работы сценариев заказчика.
Тенденции развития DevOps и DevSecOps
Эксперты сходятся во мнении, что будущее DevOps и DevSecOps связано с переходом на внутренние платформы, включающие встроенные функции безопасности. Основная цель такого перехода — объединить все процессы разработки и эксплуатации в единую систему, где безопасность станет неотъемлемой частью всех этапов жизненного цикла продукта.
Еще одной тенденцией является переход к микросервисной архитектуре, который позволяет компаниям пересобирать свои системы и добавлять компоненты без глобальной перестройки инфраструктуры. Параллельно с этим изменяется и подход к безопасности в целом: если раньше классическая модель безопасности ИТ-инфраструктуры основывалась на запретах и ограничениях, то в условиях микросервисной архитектуры приоритет смещается на выявление и координацию угроз.
По данным Axoft, на ИТ-рынке практически не создаются технологические альянсы с разработчиками DevSecOps (всего 1%) и Anti APT (2%). Тем не менее, по самым осторожным оценкам Центра стратегических разработок, к 2027 году объем рынка DevSecOps приблизится к 17,7 млрд рублей, увеличившись почти в два раза, а по самым оптимистичным прогнозам достигнет 60 млрд рублей и вырастет в 6 раз. При этом, аналитики отмечают, что за последние два года российские разработчики нарастили собственные продуктовые линейки, которые способны закрыть все этапы создания ПО с точки зрения безопасности.