1 минута
Как внедрить безопасность в процесс ИТ-разработки
DevSecOps (сокращение от англ. Development — разработка, Security — безопасность, Operations — эксплуатация) — это эволюция DevOps-подхода, в рамках которой безопасность становится частью разработки, а не отдельным этапом после релиза. Такой подход позволяет выявлять уязвимости раньше и снижать риски без замедления выпуска продуктов.
Российские компании всё активнее внедряют практики безопасной разработки: инструменты ИБ интегрируются в CI/CD-конвейеры (Continuous Integration, непрерывная интеграция) и Continuous Delivery/Deployment, непрерывная доставка/развертывание), используются метрики безопасности, а проверки кода выполняются уже на ранних стадиях жизненного цикла ПО. Рост контейнеризации и микросервисной архитектуры делает встроенную безопасность критически важным элементом устойчивости цифровых продуктов.
Однако внедрению DevSecOps препятствуют кадровые сложности: не каждая компания может позволить себе штатного узкопрофильного инженера. Как отмечают эксперты SimbirSoft, часто достаточно иметь в команде Security Champion — сотрудника, ответственного за безопасность и понимающего её актуальные требования. Такой специалист интегрирует соответствующие практики и настройки инфраструктуры в существующие процессы.
Полную версию статьи с цифрами, исследованиями и комментариями экспертов читайте на TAdviser.