Спрос на DevSecOps в России резко вырос

Такую оценку дал управляющий директор, директор по продуктам ПАО "Группа Позитив" (Positive Technologies) Денис Кораблев, выступая на панельной дискуссии "Работа в облаках: фокус на безопасность" конференции VK Cloud Conf 2023. По его мнению, это связано со всплеском внутренней разработки в российских компаниях, которым приходилось очень быстро создавать альтернативу продуктам зарубежных компаний, вендоры которых ушли с российского рынка. "И в целом для рынка безопасность стала одним из приоритетов для разработчиков, тогда как раньше на нее если не обращали внимания, то она была вопросом второстепенным", - сделал вывод Денис Кораблев. Бизнес-партнер по информационной безопасности VK Иван Шубин согласился с этим утверждением. По его наблюдениям, даже стартапы, которые до февраля 2022 г. вообще не занимались безопасностью разработок, осознали, что если инцидент произошел, то работу можно просто уже не начинать. А технология DevSecOps позволяет снизить жизненный цикл уязвимости в ПО и сервисах до минимума, поэтому в VK данная методология и инструментарий активно применяются. Руководитель отдела безопасности программного обеспечения "Лаборатории Касперского" Дмитрий Шмойлов назвал безопасность важной характеристикой уровня качества ПО. А использование методологий безопасной разработки стало стандартом. Применение DevSecOps, как подчеркнул Дмитрий Шмойлов, позволяет существенно снизить сроки выхода новых продуктов и функций, в том числе связанных с усложнением приложений для их имплементации в облако, что повышает требования к масштабированию и более высоким нагрузкам. Руководитель отдела информационной безопасности компании Getmobit Сергей Щеглов обратил внимание на то, что применение продуктов DevSecOps стало элементом требований регуляторов по организации процессов безопасной разработки: "Такие средства требуются при выполнении процедур сертификации в системе сертификации ФСТЭК России. С 2016 г. существует ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного ПО. Общие требования." который определяет основные направления деятельности по организации безопасной разработке ПО. Требования по безопасной разработке все чаще включают в технические задания на разработку ПО различные заказчики в том числе министерства и ведомства. Соответственно потребность в продуктах и технологиях DevSecOps растет". Руководитель портфеля продуктов DevSecOps платформы Сфера Евгений Калашников запрос на DevSecOps также считает, что спрос на данные инструменты в российских компаниях за последнее время серьезно вырос: "Именно забота о безопасности выходит на первый план — все чаще в компаниях этим занимаются не разработчики, а сотрудники кибербезопасности. Это связано с требованиями регуляторов — ФСТЭК России и Центробанка. В нашей компании крайне серьезно относятся к безопасности ПО — как к используемому, так и к разрабатываемому. Специалисты кибербезопасности работают в тесной связке с командами разработки". Начальник отдела разработки программных средств защиты информации АО "Научно-производственное предприятие Кибертехника" Дмитрий Воронин заявил, что в его компании методологии DevSecOps используют практически с самого основания, более 5 лет. Это, по его мнению, является знаком ответственного отношения к качеству программных продуктов: "Эти инструменты важны всем разработчикам, которые делают качественные программные продукты. Так же без них не обходится организация безопасной среды разработки, которая требуется для дальнейшей сертификации продуктов в государственных регулирующих подразделениях". "В России действительно наблюдается рост спроса на продукты DevSecOps. Это связано с тем, что в условиях быстрой цифровой трансформации и увеличения количества кибератак на российские предприятия, компании все больше осознают необходимость обеспечения безопасности своих приложений и данных и готовы внедрять новые технологии для достижения этой цели. На спрос также повлиял уход иностранных вендоров с рынка, это привело к развитию собственных российских разработок", - считает руководитель направления безопасной разработки ГК Softline Камилла Сакаева. Руководитель группы DevOps "Рексофт" Антон Дьяконов, однако считает, что речь идет скорее о волне интереса к теме DevSecOps, за которым не стоит увеличение количества внедрений. Тем не менее, внутри крупных компаний данную методологию используют. "В крупных заказчиках работа с ИБ по проверке кода чаще всего лежит в контуре внутренних ИБ служб. Банки, компании ТЭК сами проверяют код в рамках парадигмы DevSecOps. Также этой темой активно занимаются продуктовые команды, где ИБ один из блоков процесса. Например, так работает наша команда Департамента горнодобывающих решений", - делится наблюдениями Антон Дьяконов. По оценке Камиллы Сакаевой, также использование DevSecOps более характерно для внутренних команд разработчиков: "Использование инструментов и методов DevSecOps может быть полезным для любого типа разработчиков, независимо от их специализации. Однако, внутренние разработчики компаний, занимающиеся разработкой корпоративных приложений и систем, могут быть более заинтересованы в использовании таких инструментов, так как они работают с конфиденциальными данными и важными бизнес-процессами, где безопасность является критически важным аспектом". Евгений Калашников же уверен, что создавая ПО на продажу, не выявить критические уязвимости своего продукта значит поставить на рынок некачественный продукт, который может повлиять как на продажи, так и на репутацию. Ссылка на источник