Как сделать DevOps безопаснымисточник

При создании ИТ-фабрик команды разработки все чаще отдают предпочтение отечественным DevOps-инструментам. Несмотря на то, что ряд компаний продолжает использовать платформы ушедших вендоров или переходят на точечные open-source-решения, число тех, кто не хочет рисковать и выбирает российские решения, увеличивается. А постоянно растущие угрозы безопасности и ужесточение требований со стороны ФСТЭК побуждают к импортозамещению самых консервативных разработчиков.

Чем заменяют ушедшие DevOps-платформы

Согласно исследованию Платформы Сфера Russia DevOps Report 2023, уход зарубежных вендоров стал главной проблемой для половины компаний, ведущих собственную разработку. Причем чем крупнее бизнес, тем более критична утрата привычного инструментария: так, если на средних предприятиях с числом сотрудников от 100 до 500 человек дефицит отмечают 50% респондентов, то в компаниях с командой разработки от 5 тысяч сотрудников показатель возрастает до 66%.

Исследование показало, что доля тех, кто продолжает использовать иностранные DevOps-инструменты, в 2023 году сократилась с 90% до 62%. Однако те, кто отказался от них, совсем не обязательно перешли на решения отечественные. Большинство компаний стали искать замену прежде всего в open source-платформах: их используют 73% компаний вместо прежних 56%. Тоже выход из ситуации, хотя и временный.

«Надо понимать, что уязвимости могут быть не только в ПО, работающем в публичных облаках, но и в софте в локальном контуре компаний, доступа из которого в интернет обычно нет. То есть закрытость периметра не исключает возможность атак. Конечно, сообщество разработчиков open source-решений пытается оперативно исправлять выявленные уязвимости, но установить обновленные версии ПО в корпоративном контуре компании бывает проблематично. В первую очередь потому, что они могут вступать в конфликт с требованиями кибербезопасности, принятыми в компании, – отмечает CPO инженерных инструментов Платформы Сфера Евгений Калашников. – Таким образом, сам процесс обновления несет дополнительные риски и угрозы, а уязвимости обнаруживаются регулярно».

Альтернатива open source-решениям – собственная разработка. Так, о выделении бюджета на развитие DevOps-практик сообщили 55% компаний. Однако это сложный процесс с неоднозначными перспективами, поэтому бизнес также стал присматриваться к комплексным инструментам по управлению производственным циклом программного обеспечения – так называемым конвейерам безопасной разработки или платформенным решениям. Это позволяет контролировать процесс создания ПО на всех этапах: постановка задачи, написание кода и анализ качества разработки, проведение различных тестирований, в том числе на нагрузку и уязвимости. В случае обнаружения угроз или несоответствия правилам компании, вендор проводит доработку сборок и устранение выявленных замечаний.

«Если компания нацелена на повышение качества и безопасности разрабатываемого ПО, она должна комплексно подходить к производственному процессу, – отмечает Евгений Калашников. – Конечно, можно использовать точечные решения, но это своего рода компромисс в условиях ограничений, которые действуют для того или иного бизнеса. Их недостаток в том, что они не всегда дают ожидаемый результат, что особенно ярко проявляется в компаниях со сложным производственным процессом и масштабной командой разработки. В таких условиях точечные изменения могут даже ухудшить ситуацию. В то время как платформы позволяют закрывать сразу множество проблем на различных участках. Даже те, о которых компания может не знать – просто в силу отсутствия аудита и замеров эффективности».

Что побуждает к переходу на отечественные DevOps-решения

Переход на конвейеры безопасной разработки вызван желанием компании обладать более качественными инструментами и методологиями, которые повышают степень защищенности создаваемого продукта. Поскольку злоумышленники всё чаще пытаются не только проникнуть в инфраструктуру, но и обнародовать закрытые данные, контроль уязвимостей – базовый и основной сценарий в DevSecOps у 48% компаний.

Другая причина интереса к платформам – ужесточение требований к разработке ПО со стороны регулятора. «Рекомендации ФСТЭК закреплены в приказах ведомства (в первую очередь, приказ № 239, пункт 29.3), а также в нормативах ГОСТ Р 56939. Они предписывают использование инструментов, обеспечивающих безопасность разрабатываемого ПО, – подчеркивает Евгений Калашников. – Речь, в частности, идет о статических и динамических анализаторах кода, предназначенных для минимизации числа критических уязвимостей – особенно в компаниях, имеющих объекты критической информационной инфраструктуры. То есть в телекоммуникационной, банковской и транспортной сферах».

Причем сертифицировано должно быть как разрабатываемое ПО, так и инструменты разработки. Фактически сегодня российская ИТ-индустрия сталкивается с третьей волной внимания со стороны ФСТЭК. Если сначала в фокусе были операционные системы и инфраструктура, то теперь очередь дошла до средств производства программного обеспечения. 

В каком состоянии DevOps-рынок

Как показывает срез рынка, бизнес – в том числе вне регулируемых сфер – и сам выступает за то, чтобы менять зарубежные DevOps-инструменты на отечественные. Компании, которые ранее смогли закрыть ряд более важных ИТ-потребностей — заместили железо и критический софт — рассматривают переход на отечественные конвейеры с привычных зарубежных. При этом они ожидают, что по функциональности и качеству новые решения не будут уступать прежним.

Так, банк ВТБ с июля 2023 активно переходит на отечественные инструменты. В частности, финансовая организация заменяет конвейер разработки, который был выстроен на нескольких иностранных решениях на единую комплексную платформу Сфера, что позволит к концу года вывести из эксплуатации около 20 систем зарубежных вендоров и оптимизировать часть процессов, например, сборку, использование плагинов, распределение ресурсов в различных контурах.

По словам Евгения Калашникова, все чаще компании инициируют пилотные проекты и даже готовы инвестировать в развитие молодых экосистем. При этом определенные разработки ведут собственными силами, и от каких-то иностранных решений пока не готовы отказаться. Отчасти на путь комплексного импортозамещения компании толкают трудности интеграции. Как показал Russia DevOps Report 2023, совместимость с зарубежными решениями – проблема для трети компаний, а интеграция с инфраструктурой – почти для половины.

Российская индустрия может предложить самые разные DevOps-инструменты: от простых до тех, что сопоставимы с платформами разработки глобальных поставщиков. Выбор зависит от масштаба заказчика. Так, небольшим компаниям, стартапам и только встающим на путь цифровой трансформации организациям вполне подойдут менее комплексные платформы. Компаниям же покрупнее могут потребоваться целые модули платформ по управлению высокотехнологичным производством, а у гигантов отрасли будут востребованы полноценные конвейеры безопасной разработки.

Таким образом, один из способов сделать DevOps безопасным — это продвигать в компании культуру ответственного подхода к созданию программных продуктов, подразумевающего использование качественного импортонезависимого инструментария и эффективной методологии, которые смогли объединить российские вендоры.

Карьера
Работа в T1
Присоединяйся, чтобы вместе создавать нетривиальные продукты и решения для бизнеса в атмосфере открытости и поддержки
Подробнее
Написать нам