0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Два основных плюса<a>DevSecOps</a>-- это скорость и безопасность. То есть растет как скорость разработки, так и безопасность и качество кода, в то время как затраты снижаются. Что же, давайте обоснуем эти утверждения.</p>
1
<p>Два основных плюса<a>DevSecOps</a>-- это скорость и безопасность. То есть растет как скорость разработки, так и безопасность и качество кода, в то время как затраты снижаются. Что же, давайте обоснуем эти утверждения.</p>
2
<p>Как говорит соавтор "Манифеста DevSecOps"<em>Шэннон Лиц</em>, целью и смыслом внедрения DevSecOps является формирование специального образа мышления, при котором<strong>любой участник будет нести ответственность за безопасность</strong>. В результате обеспечивается быстрая и масштабируемая передача решений по безопасности тем специалистам, которые лучше всего владеют контекстом.</p>
2
<p>Как говорит соавтор "Манифеста DevSecOps"<em>Шэннон Лиц</em>, целью и смыслом внедрения DevSecOps является формирование специального образа мышления, при котором<strong>любой участник будет нести ответственность за безопасность</strong>. В результате обеспечивается быстрая и масштабируемая передача решений по безопасности тем специалистам, которые лучше всего владеют контекстом.</p>
3
<h2>Доставка ПО происходит быстро и экономично</h2>
3
<h2>Доставка ПО происходит быстро и экономично</h2>
4
<p>Когда ПО разрабатывается в обычной среде, в которой не используются DevSecOps-принципы, проблемы с безопасностью способны стать причиной огромных временных потерь, ведь устранение проблем, связанных с ИБ, как и исправление кода, практически всегда занимает много времени и требует много средств.</p>
4
<p>Когда ПО разрабатывается в обычной среде, в которой не используются DevSecOps-принципы, проблемы с безопасностью способны стать причиной огромных временных потерь, ведь устранение проблем, связанных с ИБ, как и исправление кода, практически всегда занимает много времени и требует много средств.</p>
5
<p>Когда же мы говорим об использовании принципов DevSecOps, то мы говорим о более быстрой и безопасной доставке ПО. Следовательно, минимизируется как вероятность появления серьезных проблем с ИБ, так и сама потребность в устранении этих самых проблем на поздних этапах. А все потому, что интеграция задач, связанных с безопасностью, исключает необходимость и повторных проверок, и ненужных повторных сборок, следовательно, можно говорить и о повышении безопасности, и о повышении качества кода.</p>
5
<p>Когда же мы говорим об использовании принципов DevSecOps, то мы говорим о более быстрой и безопасной доставке ПО. Следовательно, минимизируется как вероятность появления серьезных проблем с ИБ, так и сама потребность в устранении этих самых проблем на поздних этапах. А все потому, что интеграция задач, связанных с безопасностью, исключает необходимость и повторных проверок, и ненужных повторных сборок, следовательно, можно говорить и о повышении безопасности, и о повышении качества кода.</p>
6
<h2>Улучшаются меры безопасности и упреждаются возможные проблемы</h2>
6
<h2>Улучшаются меры безопасности и упреждаются возможные проблемы</h2>
7
<p>Применение принципов DevSecOps позволяет внедрять процессы обеспечения кибербезопасности фактически с 1-го этапа разработки. То есть проверка, сканирование, аудит и тестирование кода на безопасность осуществляются на каждом этапе цикла создания ПО. И если какие-нибудь проблемы кибербезопасности возникают, они устраняются сразу после обнаружения. Таким образом исключается появление дополнительных зависимостей. Ну и, разумеется, когда технологии защиты ПО внедряются на ранних этапах цикла разработки, это, в свою очередь, снижает расходы на устранение проблем.</p>
7
<p>Применение принципов DevSecOps позволяет внедрять процессы обеспечения кибербезопасности фактически с 1-го этапа разработки. То есть проверка, сканирование, аудит и тестирование кода на безопасность осуществляются на каждом этапе цикла создания ПО. И если какие-нибудь проблемы кибербезопасности возникают, они устраняются сразу после обнаружения. Таким образом исключается появление дополнительных зависимостей. Ну и, разумеется, когда технологии защиты ПО внедряются на ранних этапах цикла разработки, это, в свою очередь, снижает расходы на устранение проблем.</p>
8
<p>Вдобавок к этому, между разными специалистами обеспечивается более эффективное взаимодействие, что повышает способность всей команды реагировать на инциденты, то есть в этом плане добавляется оперативность. Еще существующие DevSecOps-методы ускоряют исправление уязвимостей, помогая специалистам (в том числе и специалистам по кибербезопасности) сосредотачиваться на более важных задачах. Также такие методы упрощают процесс контроля над соблюдением нормативных требований, плюс устраняют потребность по доработке проектов в плане безопасности.</p>
8
<p>Вдобавок к этому, между разными специалистами обеспечивается более эффективное взаимодействие, что повышает способность всей команды реагировать на инциденты, то есть в этом плане добавляется оперативность. Еще существующие DevSecOps-методы ускоряют исправление уязвимостей, помогая специалистам (в том числе и специалистам по кибербезопасности) сосредотачиваться на более важных задачах. Также такие методы упрощают процесс контроля над соблюдением нормативных требований, плюс устраняют потребность по доработке проектов в плане безопасности.</p>
9
<h2>Ускоряется исправление уязвимостей безопасности</h2>
9
<h2>Ускоряется исправление уязвимостей безопасности</h2>
10
<p>Главный плюс DevSecOps, который уже был упомянут в самом начале нашей статьи, заключается в высокой скорости исправления найденных уязвимостей. Опять же, так как DevSecOps интегрирует задачи по сканированию и исправлению уязвимостей непосредственно в жизненный цикл выпуска ПО, то и необходимость находить и исправлять общеизвестные уязвимости вручную попросту исчезает. Такой подход, кстати, ограничивает возможности злоумышленников по применению уязвимостей в общедоступных производственных системах.</p>
10
<p>Главный плюс DevSecOps, который уже был упомянут в самом начале нашей статьи, заключается в высокой скорости исправления найденных уязвимостей. Опять же, так как DevSecOps интегрирует задачи по сканированию и исправлению уязвимостей непосредственно в жизненный цикл выпуска ПО, то и необходимость находить и исправлять общеизвестные уязвимости вручную попросту исчезает. Такой подход, кстати, ограничивает возможности злоумышленников по применению уязвимостей в общедоступных производственных системах.</p>
11
<h2>Автоматизация и совместимость с современными подходами к разработке</h2>
11
<h2>Автоматизация и совместимость с современными подходами к разработке</h2>
12
<p>Когда в компании функционирует конвейер непрерывной интеграции/доставки ПО, то появляется возможность интегрировать в наборы автотестов и тестирование безопасности.</p>
12
<p>Когда в компании функционирует конвейер непрерывной интеграции/доставки ПО, то появляется возможность интегрировать в наборы автотестов и тестирование безопасности.</p>
13
<p>Конечно, автоматизация проверок безопасности во многом зависит как от проекта, так и от поставленных организационных целей. Но если она реализована, она позволит включить зависимости программного обеспечения в подходящие уровни исправлений, а также удостовериться в том, что сам продукт с успехом прошел стадию модульного тестирования безопасности. Вдобавок к вышесказанному, для тестирования и защиты кода можно применять методы и статического, и динамического анализа, причем делать это можно будет еще до развертывания обновления в рабочей среде.</p>
13
<p>Конечно, автоматизация проверок безопасности во многом зависит как от проекта, так и от поставленных организационных целей. Но если она реализована, она позволит включить зависимости программного обеспечения в подходящие уровни исправлений, а также удостовериться в том, что сам продукт с успехом прошел стадию модульного тестирования безопасности. Вдобавок к вышесказанному, для тестирования и защиты кода можно применять методы и статического, и динамического анализа, причем делать это можно будет еще до развертывания обновления в рабочей среде.</p>
14
<h2>Адаптивный и повторяющийся процесс</h2>
14
<h2>Адаптивный и повторяющийся процесс</h2>
15
<p>В процессе накопления компанией опыта происходит и укрепление системы безопасности. На практике принципы DevSecOps подходят для имплементации повторяющихся и адаптивных процессов. Таким образом обеспечивается последовательная и масштабируемая реализация мер безопасности непосредственно в процессе адаптации к новым требованиям и изменениям. Если же DevSecOps-среда сформирована, можно говорить о повышенной надежности автоматизации, координации, контейнеризации, инфраструктуры, бессерверных вычислений и управления конфигурациями.</p>
15
<p>В процессе накопления компанией опыта происходит и укрепление системы безопасности. На практике принципы DevSecOps подходят для имплементации повторяющихся и адаптивных процессов. Таким образом обеспечивается последовательная и масштабируемая реализация мер безопасности непосредственно в процессе адаптации к новым требованиям и изменениям. Если же DevSecOps-среда сформирована, можно говорить о повышенной надежности автоматизации, координации, контейнеризации, инфраструктуры, бессерверных вычислений и управления конфигурациями.</p>
16
<p><em>По материалам блога<strong>IBM</strong>: https://www.ibm.com/cloud/learn/devsecops</em>.</p>
16
<p><em>По материалам блога<strong>IBM</strong>: https://www.ibm.com/cloud/learn/devsecops</em>.</p>
17
17