Большинство организаций уже используют DevOps, находятся в процессе внедрения или планируют интегрировать его в свою деятельность. Исследование Enterprise Strategy Group (ESG) показало, что 37 процентов организаций уже широко используют практику DevOps, в то время как 28 процентов заявили, что применяют ее на ограниченной основе. Около семи процентов планируют использовать эту практику в ближайшие один-два года, а 12 процентов заявили, что заинтересованы в ее внедрении в будущем.

Однако DevOps уже не является хедлайнером, каким он был раньше, когда его внедряли в контексте возникающих потребностей. В условиях, когда киберугрозы становятся все более агрессивными и быстро развиваются, организации вынуждены уделять особое внимание безопасности в процессе разработки. Именно здесь на помощь приходит DevSecOps, который нуждается в более активном продвижении для более широкого внедрения.

Исследование ESG было опубликовано в июне 2022 года, но его результаты содержат глубокие выводы, которые актуальны и сегодня. В ходе комплексного исследования, в котором приняли участие представители частного и государственного секторов на шести континентах, были опрошены ИТ-директора, руководители высшего звена ИТ-компаний, менеджеры по информационной безопасности, ИТ-менеджеры и директора, а также рядовые сотрудники ИТ-компаний, чтобы узнать их мнение о тенденциях и стратегиях развития технологий кибербезопасности. Исследование раскрывает детали, которые могут подсказать организациям, как улучшить свои программы DevSecOps для более широкого и эффективного внедрения.

Вот краткое изложение соответствующих выводов.

Взаимное обучение между командами DevOps и безопасности

Принятие новой модели или парадигмы требует тщательного обучения для обеспечения эффективного и результативного внедрения. Вопрос в том, кто должен проходить обучение? Кому следует отдать предпочтение при выделении ресурсов на обучение? Разработчики - не единственные, кто вовлечен в процесс внедрения DevSecOps. Команда безопасности также должна сыграть свою роль.

Исследование ESG показало, что 77 процентов организаций согласны с тем, что обучение аналитиков по безопасности и других сотрудников службы безопасности работе с облаком и DevOps улучшает программу DevSecOps. Однако только 63 процента утверждают, что проведение тренингов по безопасности для команд разработчиков ПО и DevOps повышает успех их внедрения DevSecOps. Существует достаточно значительная разница между количеством тех, кто считает, что тренинги по безопасности для команд DevOps и тренинги по облаку и DevOps для команд безопасности важны для успеха DevSecOps.

Рекомендуется содействовать взаимному обучению или обмену опытом между командами DevOps и безопасности, чтобы они могли получить достаточную квалификацию в областях друг друга. Предоставление соответствующего обучения только DevOps или только команде безопасности будет недостаточно, особенно с учетом быстрых изменений, происходящих в сфере кибербезопасности, облачных вычислений и разработки программного обеспечения.

Удовлетворение потребностей в новых навыках безопасности по мере роста использования облачных технологий

Около 70 процентов организаций, по данным опроса ESG, признают, что облачные приложения и инфраструктура требуют новых навыков безопасности. Это важная деталь, которую следует подчеркнуть, учитывая заметную роль облака в современных организациях. Около 94 процентов организаций уже используют облачные вычисления.

Также, согласно исследованию ESG, 42 процента специалистов по безопасности убеждены, что предоставление обучения и сертификации в области облачной безопасности помогает улучшить программы DevSecOps. Примерно столько же специалистов по безопасности считают, что организации будут иметь лучшие программы DevSecOps, если разработчики будут вынуждены соблюдать меры безопасности, включая лучшие практики безопасного кодирования, внедрение защитных сетей в конвейеры CI/CD и регулярные проверки безопасности в процессе разработки.

DevSecOps не будет успешной, если она не приведет к эффективному обеспечению безопасности облачных вычислений. Облачные провайдеры отвечают за безопасность облака, а не облака. Именно команда DevSecOps организации должна убедиться в том, что облачные приложения и инфраструктура, в которой они работают, достаточно безопасны.

Согласованные политики в объединении DevOps и безопасности

Почти половина или около 47 процентов специалистов по безопасности, опрошенных в ходе исследования ESG, считают, что внедрение DevSecOps может продвинуться лучше, если установить последовательные централизованные политики для интеграции безопасности с DevOps. Необходимость в последовательности и централизации может показаться очевидным требованием, но его стоит подчеркнуть в эпоху демократизации и растущего предпочтения индивидуальных решений для решения проблем в различных сценариях.

Одна из самых больших трудностей в быстром внедрении практики DevSecOps заключается в том, что большинство организаций используют различные инструменты, а в крупных организациях есть несколько команд разработчиков, работающих над разными проектами. Было бы сложно заставить всех работать в рамках одних и тех же фреймворков, процедур и платформ.

Однако можно изучить различные инструменты, процессы, практики и руководства, используемые разными командами и проектами, чтобы найти общие черты. Всегда найдутся области, в которых различные команды используют общие передовые методы и решения проблем, связанных с универсальными или многоцелевыми приложениями. Их следует документировать и распространять среди всех, чтобы помочь ускорить процессы и направить всех к пониманию DevSecOps.

За рамками опроса

Приведенные выше цифры и выводы опроса отражают ситуацию в организациях, когда речь идет о внедрении DevSecOps, и то, как организации могут работать с этими настроениями, чтобы добиться большего в интеграции DevOps и безопасности. Конечно, есть и другие разумные шаги, которые можно предпринять для дальнейшего совершенствования DevSecOps.

Формирование культуры сотрудничества - DevSecOps требует сотрудничества и координации между командами разработки, эксплуатации и безопасности. Между этими командами должна быть открытая коммуникация.

Поэтапное внедрение - Один из эффективных способов продвижения внедрения DevSecOps - начать с пилотного проекта и продолжать поэтапно. Это позволяет командам протестировать подход DevSecOps в меньших масштабах, продемонстрировать его ценность, а также получить обратную связь от заинтересованных сторон.

Использование преимуществ инструментов и автоматизации - Что замечательно в современной эпохе ИТ, так это обилие инструментов, платформ и облачных сервисов для решения различных задач. Есть и такие, которые способствуют внедрению DevSecOps, помогая организациям оптимизировать свои процессы и снизить риск ошибок. Это помогает инвестировать в соответствующие инструменты и решения для автоматизации, чтобы упростить и стандартизировать процессы DevSecOps.

Оценка успеха - организациям следует установить метрики для мониторинга и повышения эффективности практики DevSecOps. К таким показателям относятся количество выявленных и устраненных уязвимостей и время, необходимое для развертывания нового кода.

Переход к интеграции практик безопасности и DevOps является неизбежным для многих организаций, сталкивающихся с проблемами ограниченных ресурсов и нехватки специалистов по безопасности. Безопасность и операционная эффективность должны идти рука об руку, чтобы организации стали более конкурентоспособными и могли противостоять непрерывному развитию и растущей агрессивности кибер-атак.