DevSecOps: хайп или необходимость?
Тем более, что предпосылки к этому есть вполне серьезные – все больше хакерских атак происходит с использованием уязвимостей в исходном коде. Например, киберпреступники для атак на оборонные, правительственные и финансовые организации в США и других странах используют прорехи в Pulse Secure VPN, а уязвимости в системе удаленного управления и мониторинга IT-инфраструктуры Kaseya VSA позволили злоумышленникам распространить вредоносное ПО (ВПО) в сети порядка 1500 клиентов Kaseya.
Для того, чтобы исследование охватило как можно более широкий круг специалистов, были опрошены сотрудники самых разных отечественных компаний: из сферы ИТ (69%), финансов (17%), промышленности (7%), государственных (3%) и других учреждений. Так же для повышения релевантности опрос проводился среди организаций разных размеров - от среднего и малого бизнеса с персоналом 100–300 человек (2%), до компаний численностью более 5 000 сотрудников (28%).
В ходе своего анкетирования сотрудники Positive Technologies попытались выяснить, какое место занимает безопасная разработка кода в российских компаниях, что думают IT-специалисты об этом подходе и готовы ли они внедрять DevSecOps-практики в свою деятельность. Так же опрос помог выявить мотивирующие факторы для разработчиков использовать DevSecOps, и каких знаний из этой области им сегодня не хватает.
Результаты данного опроса были представлены на круглом столе «Безопасная разработка: как жить в цифре, писать много кода и не стать жертвой хакеров», организованного в рамках очередной встречи Positive Tech Press Club.
Исследование Positive Technologies показало положительные тенденции: уже более чем в 30% случаев в отечественных компаниях применяют безопасную разработку, 36% опрошенных имеют наработанные практики DevSecOps, 18% опрошенных называют DevSecOps ключевым элементом защиты любой организации и 56% респондентов готовы изучать ее.
Тем не менее, несмотря на такие цифры, дела с DevSecOps обстоят не так просто. Так 45% IT-специалистов хотя и считают безопасную разработку полезной практикой, но при этом отмечают, что подходит она не всем компаниям в силу специфики их бизнеса и 14% отмечают, что за DevSecOps будущее, но не в их компаниях. А 37% вообще относят DevSecOps к проискам маркетологов.
Хотя при этом половина респондентов готова участвовать в DevSecOps-процессах своих компаний, правда, опять же с одной оговоркой – для этого у них должно быть понимание, что этот подход поможет защитить разрабатываемые продукты от хакеров. 11% готовы заниматься безопасной разработкой только, если такую задачу поставит их руководство и еще 9% опрошенных рассчитывают в этом случае на дополнительную материальную стимуляцию.
Также IT-специалисты в ходе исследования отметили, какие вопросы из сферы безопасной разработки их интересуют. 35% из них хотели бы узнать о практических кейсах внедрений, 22% необходима информация о процессах и 22% - об инструментах. Еще 18% не прочь ознакомиться с формальными методиками внедрений и архитектурой DevSecOps, а 5% предпочитают лайфхаки и желают знать, как писать код без уязвимости.
Резюмируя можно сказать, что многих проблем с безопасностью кода можно избежать еще на стадии разработки, используя, например, сканеры уязвимостей кода или так называемые blackbox-сканеры. При этом необходимо соблюсти баланс между безопасностью и отлаженными процессами разработки.
И также необходимо понимать, что DevSecOps не дает 100% защиты от хакерских атак и она в любом случае должна быть комплексной.