Без киберуязвимостей: как создать ПО в срок и сделать его безопасным
Объем разрабатываемых приложений на российском рынке увеличивается быстрее, чем количество квалифицированных программистов, а число веб-приложений с уязвимостями, которые могут привести к краже данных пользователей, растет по экспоненте (уже в 2018 году их доля оценивалась в 79%).
На помощь могут прийти практики DevSecOps (Development, Security and Operations), которые объединяют усилия разных команд: разработки, ИТ и информационной безопасности. Давайте разберемся, что это и как их реализовать.
В чем особенность DevSecOps
За последние годы ИТ-сфера значительно преобразилась — новые инструменты автоматизации, гибкая инфраструктура и облачные вычисления позволили усовершенствовать процесс разработки приложений и улучшить общее качество выпускаемых продуктов. Тем не менее проблем в этой области все еще хватает: отстает информационная безопасность, что приводит к росту рисков.
Развитие практик DevOps (Development Operations) в DevSecOps произошло благодаря тому, что бизнес осознал, насколько важно обеспечить информационную безопасность во время создания приложения. Второй подход гарантирует, что это будет сделано на всех этапах разработки приложений. Предполагается, что разработка и ее контроль со стороны безопасности должны идти параллельно, а не друг за другом, причем проверку рекомендуется внедрять в каждый этап разработки ПО.
Разработка + ИТ + информационная безопасность
Зачастую проверку безопасности проводят в отрезок времени между развертыванием практически готового ПО и его вводом в эксплуатацию. В результате удается идентифицировать перечень уязвимостей, которые необходимо устранить. Это провоцирует разногласия команд, начинается растрата драгоценного времени, что, как следствие, неизбежно приводит к увеличению стоимости конечного продукта.