вернуться назад
Information Security (Информационная безопасность)
Infrastructure (Инфраструктура)
Инфраструктура
Облачные сервисы
Решения для сервис-провайдеров
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Смотреть все
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Управление доступом и защита конечных устройств
Физическая безопасность
Смотреть все
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Управление доступом и защита конечных устройств
Физическая безопасность
Коммуникационное ПО (UC)
Управление бизнес-процессами (BPM)
Смотреть все решения
Операционные системы
Системы Виртуализации (SVI)
Смотреть все решения
Защита АСУ ТП (ICS)
Смотреть все решения
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Смотреть все решения
Киберразведка и оценка эффективности киберзащиты (TIP)
Расширенное обнаружение и реагирование на киберинциденты (XDR)
Сетевые песочницы (Sandbox)
Система обучения и тестирования сотрудников по ИБ
Управление событиями и информацией о безопасности (SIEM)
Управляемое обнаружение и реагирование (MDR)
Смотреть все решения
Система управления базами данных (СУБД, DBMS)
Смотреть все решения
Защита конечных устройств (EPP)
Защита почтовых серверов
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Смотреть все решения
Мобильные устройства
Тонкие клиенты
Смотреть все решения
Защита АСУ ТП (ICS)
Смотреть все решения
Криптографическая защита информации (СКЗИ, CIPF)
Смотреть все решения
SD-WAN - Управление трафиком во внешних сетях
Виртуальная частная сеть (VPN)
Межсетевой экран или Унифицированная защита от сетевых угроз (FW, UTM)
Смотреть все решения
Аутентификация пользователей (UA)
Смотреть все решения
Антидрон
Смотреть все решения
Контакты Производители
Решения
Information Security (Информационная безопасность)
Infrastructure (Инфраструктура)
Инфраструктура
Облачные сервисы
Решения для сервис-провайдеров
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
Смотреть все
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита данных
Защита сетевой инфраструктуры
Управление доступом и защита конечных устройств
Физическая безопасность
Смотреть все
DevSecOps
Соц.сети
вернуться назад
Бизнес-продуктивность
Коммуникационное ПО (UC)
Управление бизнес-процессами (BPM)
Смотреть все решения
Вычислительная и сетевая инфраструктура
Операционные системы
Системы Виртуализации (SVI)
Смотреть все решения
Защита АСУ ТП
Защита АСУ ТП (ICS)
Смотреть все решения
Защита сетевой инфраструктуры
Интернет-шлюзы и прокси-серверы (SWG, Proxy)
Смотреть все решения
Комплексная защита от продвинутых угроз
Киберразведка и оценка эффективности киберзащиты (TIP)
Расширенное обнаружение и реагирование на киберинциденты (XDR)
Сетевые песочницы (Sandbox)
Система обучения и тестирования сотрудников по ИБ
Управление событиями и информацией о безопасности (SIEM)
Управляемое обнаружение и реагирование (MDR)
Смотреть все решения
Управление данными
Система управления базами данных (СУБД, DBMS)
Смотреть все решения
Управление доступом и защита конечных устройств
Защита конечных устройств (EPP)
Защита почтовых серверов
Комплексная защита физических и виртуальных серверов (VPS & SPP)
Смотреть все решения
Вычислительная и сетевая инфраструктура
Мобильные устройства
Тонкие клиенты
Смотреть все решения
Защита АСУ ТП
Защита АСУ ТП (ICS)
Смотреть все решения
Защита данных
Криптографическая защита информации (СКЗИ, CIPF)
Смотреть все решения
Защита сетевой инфраструктуры
SD-WAN - Управление трафиком во внешних сетях
Виртуальная частная сеть (VPN)
Межсетевой экран или Унифицированная защита от сетевых угроз (FW, UTM)
Смотреть все решения
Управление доступом и защита конечных устройств
Аутентификация пользователей (UA)
Смотреть все решения
Физическая безопасность
Антидрон
Смотреть все решения
+7 (727) 355-66-30
Обратная связь
Стать партнером
Бизнес-продуктивность
Вычислительная и сетевая инфраструктура
Защита АСУ ТП
Защита сетевой инфраструктуры
Комплексная защита от продвинутых угроз
Управление данными
Управление доступом и защита конечных устройств
  • Software
  • Information Security (Информационная безопасность)
  • Infrastructure (Инфраструктура)
  • Инфраструктура
  • Облачные сервисы
  • Решения для сервис-провайдеров
  • XaaS
  • Бизнес-продуктивность
  • Вычислительная и сетевая инфраструктура
  • Защита АСУ ТП
  • Смотреть все
  • Hardware
  • Вычислительная и сетевая инфраструктура
  • Защита АСУ ТП
  • Защита данных
  • Смотреть все
DevSecOps
Безопасная разработка: все звенья цепи важны
Все новости
30 октября 2024

Безопасная разработка: все звенья цепи важны

Российский рынок DevOps и DevSecOps находится в стадии активной трансформации. Уход иностранных разработчиков и их отказ от выполнения обязательств по поддержке своих решений простимулировал ускорение процесса разработки отечественных продуктов и обеспечение безопасности этого процесса на каждом этапе. По данным исследования Axoft, переход на ИБ-решения в кратчайшие сроки - одна из приоритетных задач как для государственного, так и коммерческого сектора. 

quote
Денис Фокин
Денис Фокин
Руководитель отдела консалтинга и инженерной поддержки направления ИБ Axoft
Все чаще заказчики задаются вопросом, как подступиться к процессам автоматизации разработки и процессам безопасности с ними связанными. При этом они реже интересуются конкретными решениями и больше сосредотачиваются на построении процессов безопасной разработки в целом.

Однако 27% госзаказчиков и 36% коммерческих заказчиков до сих пор не внедрили российские ИБ-продукты, а 67% респондентов из малого и среднего бизнеса вообще не имеют опыта такой миграции. Основная сложность — недостаточные интеграционные возможности некоторых решений. В частности, при внедрении методологии DevSecOps сложности отметили 5,8% респондентов, с интеграцией AntiAPT проблемы возникли у 4,7% опрошенных, а с внедрением AppSec — у 6,7%.

Основная проблема заключается в мозаичности внедрения этих практик. Из-за разного уровня технологической зрелости компаний, DevOps и DevSecOps внедряются частично. По словам генерального директора компании «Флант» Александра Титова, для того чтобы внедрить методологию DevOps и DevSecOps, необходимо полностью изменить организационную и процессную модель, учитывая инструменты. Российские компании находятся на пути преобразований в этой сфере. Более половины респондентов исследования рынка разработки программных продуктов сообщили о наличии выделенного бюджета на развитие DevOps-практик.

По данным «State of DevOps Russia 2024» DevOps-подход стал чаще применяться за пределами ИТ-индустрии: в ритейле, промышленности, энергетике, госсекторе, строительстве и других отраслях. В тройке лидеров: информационные технологии (36.2%), финтех (12,4%) и ритейл (7,3%).

quote
Ю И
Юрий Игнатов
Технический директор Экспресс42
Если раньше у компаний был более широкий запрос «нам нужна помощь во всем», то сейчас в приоритете, как правило, набор задач или каких-то отдельных практик, которые они хотят развить.

По данным Axoft, заказчики уже активно используют некоторые решения при внедрении DevOps и DevSecOps. Популярностью у респондентов пользуются:

  • WAF (36%)
  • SAST (23%)
  • OSA/SCA и Container Security (по 20%)
  • DAST (16%)
quote
К К
Константин Крючков
Владелец продукта AppSec.Track, компания AppSec Solutions
Решения OSA/SCA, SAST, DAST позволяют выявлять ошибки в коде на ранних этапах разработки — либо еще до сборки, либо во время запуска на тестовых стендах. Решения Container Security и WAF отслеживают аномалии уже на запущенном приложении. Для комплексного управления DevSecOps используется ASOC — оркестратор, который управляет процессом безопасной разработки и контролирует несколько доступных вам практик DevOps и DevSecOps.

Основные задачи, которые закрывают эти решения:

  • Сокращают риски сбоев в работе критически важных компонентов инфраструктуры.
  • Позволяют снизить расходы в процессе выстраивания инфраструктуры.
  • Ускоряют процесс разработки и поставки продуктов.
  • Сокращают расходы на команду разработки и повышают технологичность разработки.

Производители отечественных решений считают, что преждевременно говорить о том, что методология DevOps внедрена, когда используется всего 1-2 класса решений из списка всех необходимых для построения полного процесса безопасной разработки. Это как лечить любую болезнь одной таблеткой из аптечки. Методологии DevOps и DevSecOps — это не точечное средство, а комплексный подход к процессной модели разработки. Если применяется стек решений DevOps и DevSecOps, то эффективность каждого из них повышается кратно.

Вопросы о применении Open Source-решений в контексте безопасной разработки и надежности таких решений остаются предметами обсуждения. Опрос Axoft показывает, что единого мнения нет. 37% респондентов считают, что доля Open Source-продуктов в безопасной разработке крайне мала (до 20%). В то же время, 29% участников опроса уверены, что Open Source-продукты используются активно и их доля составляет от 50% до 70%. 22% опрошенных полагают, что этот показатель варьируется от 20% до 50%. 

quote
А Р
Алексей Рыбалко
Пресейл инженер «Лаборатории Касперского»
Open Source-решения позволяют закрыть сиюминутные потребности компании на первом этапе, получить экспертизу для развития защиты, масштабирования задач и максимальной отдачи при использовании коммерческих продуктов с техподдержкой в дальнейшем.

Руководитель направления ИБ Департамента развития продуктовых направлений Axoft Виктор Засорин считает, что использование Open Source-продуктов создает иллюзию безопасности, так как заказчик становится зависимым от собственного штата разработчиков, что несет большие бизнес-риски. Использовать Open Source-продукты стоит в том случае, если компания занимается поставками технологических решений. 

Поскольку собственная разработка стоит больших денег, компании чаще используют Open Source-продукты при обеспечении безопасности разработки. Стоимость внедрения методологии DevOps и DevSecOps сильно зависит от ряда факторов, таких как: масштаб компании, текущей инфраструктуры, уровня зрелости ИТ-процессов, выбранных инструментов и технологий, а также от квалификации команды. Стоимость внедрения и миграции существующих сервисов для разных сегментов бизнеса может варьироваться в диапазоне от нескольких миллионов до сотен миллионов и занимать от 6 до 12 месяцев. Но выбрать подходящие решения из 4000 возможных без помощи специалистов, с учетом индустрии и ее задач, совсем непросто. Для выбора оптимального решения требуется не только точный и детальный анализ существующей инфраструктуры и стоящих перед заказчиком задач, но и помощь опытных экспертов. По результатам внедрений специалистов Axoft, на российском IT рынке представлено множество решений, которые зарекомендовали себя как надежные и передовые в практике DevOps/DevSecOps. Руководитель направления Инфраструктурное ПО компании Axoft Оксана Сапёлкина поделилась опытом выбора решения под определенные задачи заказчиков. 

Deckhouse Kubernetes Platform от компании «Флант» представляет собой набор инструментов для безопасной разработки и доставки Cloud Native-приложений, а также упрощает эксплуатацию legacy-приложения. Deckhouse помогает облегчить и ускорить переход от монолитных архитектур и legacy к микросервисам, автоматизирует процессы развертывания и управления приложениями, обеспечивая гибкость и отказоустойчивость. 

Решения Kaspersky Container Security и Luntry для мониторинга уязвимостей в контейнерной среде позволяют обеспечить безопасность всех компонентов контейнерных платформ.

Решения компании AppSec Solutions закрывают широкий спектр задач по безопасной разработке. Продукты AppSec Hub — это ASOC платформа для комплексного управления и контроля уязвимостями, продукт AppSеc Track - решение класса OSA/SCA для анализа и контроля компонентов с открытым исходным кодом и продукт Стингрей для автоматического анализа защищенности мобильных приложений.

Компания Axiom JDK обеспечивает полный стек технологий для разработки и запуска Java-сервисов, включая сертифицированные ФСТЭК версии. Статический анализатор кода от компании PVS-Studio, динамический анализатор кода – Solidpoint DAST и web application firewall – SolidWall компании СолидЛаб.

Если компании нужно в обязательном порядке соответствовать требованиям регуляторов, стоит обратиться к вендорам, которые активно развивают практики DevOps и DevSecOps, занимаются внедрением и доработкой решений на постоянной основе, а также предлагают дополнительные проекты, необходимые для работы сценариев заказчика.

Тенденции развития DevOps и DevSecOps

Эксперты сходятся во мнении, что будущее DevOps и DevSecOps связано с переходом на внутренние платформы, включающие встроенные функции безопасности. Основная цель такого перехода — объединить все процессы разработки и эксплуатации в единую систему, где безопасность станет неотъемлемой частью всех этапов жизненного цикла продукта.

Еще одной тенденцией является переход к микросервисной архитектуре, который позволяет компаниям пересобирать свои системы и добавлять компоненты без глобальной перестройки инфраструктуры. Параллельно с этим изменяется и подход к безопасности в целом: если раньше классическая модель безопасности ИТ-инфраструктуры основывалась на запретах и ограничениях, то в условиях микросервисной архитектуры приоритет смещается на выявление и координацию угроз.

По данным Axoft, на ИТ-рынке практически не создаются технологические альянсы с разработчиками DevSecOps (всего 1%) и Anti APT (2%). Тем не менее, по самым осторожным оценкам Центра стратегических разработок, к 2027 году объем рынка DevSecOps приблизится к 17,7 млрд рублей, увеличившись почти в два раза, а по самым оптимистичным прогнозам достигнет 60 млрд рублей и вырастет в 6 раз. При этом, аналитики отмечают, что за последние два года российские разработчики нарастили собственные продуктовые линейки, которые способны закрыть все этапы создания ПО с точки зрения безопасности.

Поделиться

Другие новости

Используя наш сайт, вы соглашаетесь с использованием файлов cookie и сервисов сбора технических данных посетителей (IP-адресов, местоположения и др.) для обеспечения работоспособности и улучшения качества обслуживания. Подробнее