РБК Pro —  
информационный сервис для предпринимателей и управленцев. Первый месяц — бесплатно
РБК Pro
— сервис для вашего бизнеса. Зарегистрируйтесь и получите доступ ко всем материалам. Первые 30 дней бесплатно.

Без киберуязвимостей: как создать ПО в срок и сделать его безопасным

Разработка ПО IT Статьи Инфосистемы Джет
Дмитрий Ключников, руководитель направления DevSecOps компании «Инфосистемы Джет», рассказывает, как интегрировать задачи по информационной безопасности в цикл разработки ПО с минимальным влиянием на скорость выпуска приложений

Объем разрабатываемых приложений на российском рынке увеличивается быстрее, чем количество квалифицированных программистов, а число веб-приложений с уязвимостями, которые могут привести к краже данных пользователей, растет по экспоненте (уже в 2018 году их доля оценивалась в 79%).

На помощь могут прийти практики DevSecOps (Development, Security and Operations), которые объединяют усилия разных команд: разработки, ИТ и информационной безопасности. Давайте разберемся, что это и как их реализовать.

В чем особенность DevSecOps

За последние годы ИТ-сфера значительно преобразилась — новые инструменты автоматизации, гибкая инфраструктура и облачные вычисления позволили усовершенствовать процесс разработки приложений и улучшить общее качество выпускаемых продуктов. Тем не менее проблем в этой области все еще хватает: отстает информационная безопасность, что приводит к росту рисков.

Зачем компании DevOps и как работать с ИТ-департаментом
IT Статьи РБК
Фото:Radu Sigheti / Reuters

Развитие практик DevOps (Development Operations) в DevSecOps произошло благодаря тому, что бизнес осознал, насколько важно обеспечить информационную безопасность во время создания приложения. Второй подход гарантирует, что это будет сделано на всех этапах разработки приложений. Предполагается, что разработка и ее контроль со стороны безопасности должны идти параллельно, а не друг за другом, причем проверку рекомендуется внедрять в каждый этап разработки ПО.

Разработка + ИТ + информационная безопасность

Зачастую проверку безопасности проводят в отрезок времени между развертыванием практически готового ПО и его вводом в эксплуатацию. В результате удается идентифицировать перечень уязвимостей, которые необходимо устранить. Это провоцирует разногласия команд, начинается растрата драгоценного времени, что, как следствие, неизбежно приводит к увеличению стоимости конечного продукта.