Два основных плюса DevSecOps -- это скорость и безопасность. То есть растет как скорость разработки, так и безопасность и качество кода, в то время как затраты снижаются. Что же, давайте обоснуем эти утверждения.
Как говорит соавтор «Манифеста DevSecOps» Шэннон Лиц, целью и смыслом внедрения DevSecOps является формирование специального образа мышления, при котором любой участник будет нести ответственность за безопасность. В результате обеспечивается быстрая и масштабируемая передача решений по безопасности тем специалистам, которые лучше всего владеют контекстом.
Доставка ПО происходит быстро и экономично
Когда ПО разрабатывается в обычной среде, в которой не используются DevSecOps-принципы, проблемы с безопасностью способны стать причиной огромных временных потерь, ведь устранение проблем, связанных с ИБ, как и исправление кода, практически всегда занимает много времени и требует много средств.
Когда же мы говорим об использовании принципов DevSecOps, то мы говорим о более быстрой и безопасной доставке ПО. Следовательно, минимизируется как вероятность появления серьезных проблем с ИБ, так и сама потребность в устранении этих самых проблем на поздних этапах. А все потому, что интеграция задач, связанных с безопасностью, исключает необходимость и повторных проверок, и ненужных повторных сборок, следовательно, можно говорить и о повышении безопасности, и о повышении качества кода.
Улучшаются меры безопасности и упреждаются возможные проблемы
Применение принципов DevSecOps позволяет внедрять процессы обеспечения кибербезопасности фактически с 1-го этапа разработки. То есть проверка, сканирование, аудит и тестирование кода на безопасность осуществляются на каждом этапе цикла создания ПО. И если какие-нибудь проблемы кибербезопасности возникают, они устраняются сразу после обнаружения. Таким образом исключается появление дополнительных зависимостей. Ну и, разумеется, когда технологии защиты ПО внедряются на ранних этапах цикла разработки, это, в свою очередь, снижает расходы на устранение проблем.
Вдобавок к этому, между разными специалистами обеспечивается более эффективное взаимодействие, что повышает способность всей команды реагировать на инциденты, то есть в этом плане добавляется оперативность. Еще существующие DevSecOps-методы ускоряют исправление уязвимостей, помогая специалистам (в том числе и специалистам по кибербезопасности) сосредотачиваться на более важных задачах. Также такие методы упрощают процесс контроля над соблюдением нормативных требований, плюс устраняют потребность по доработке проектов в плане безопасности.
Ускоряется исправление уязвимостей безопасности
Главный плюс DevSecOps, который уже был упомянут в самом начале нашей статьи, заключается в высокой скорости исправления найденных уязвимостей. Опять же, так как DevSecOps интегрирует задачи по сканированию и исправлению уязвимостей непосредственно в жизненный цикл выпуска ПО, то и необходимость находить и исправлять общеизвестные уязвимости вручную попросту исчезает. Такой подход, кстати, ограничивает возможности злоумышленников по применению уязвимостей в общедоступных производственных системах.
Автоматизация и совместимость с современными подходами к разработке
Когда в компании функционирует конвейер непрерывной интеграции/доставки ПО, то появляется возможность интегрировать в наборы автотестов и тестирование безопасности.
Конечно, автоматизация проверок безопасности во многом зависит как от проекта, так и от поставленных организационных целей. Но если она реализована, она позволит включить зависимости программного обеспечения в подходящие уровни исправлений, а также удостовериться в том, что сам продукт с успехом прошел стадию модульного тестирования безопасности. Вдобавок к вышесказанному, для тестирования и защиты кода можно применять методы и статического, и динамического анализа, причем делать это можно будет еще до развертывания обновления в рабочей среде.
Адаптивный и повторяющийся процесс
В процессе накопления компанией опыта происходит и укрепление системы безопасности. На практике принципы DevSecOps подходят для имплементации повторяющихся и адаптивных процессов. Таким образом обеспечивается последовательная и масштабируемая реализация мер безопасности непосредственно в процессе адаптации к новым требованиям и изменениям. Если же DevSecOps-среда сформирована, можно говорить о повышенной надежности автоматизации, координации, контейнеризации, инфраструктуры, бессерверных вычислений и управления конфигурациями.
По материалам блога IBM: https://www.ibm.com/cloud/learn/devsecops.
°•∴▬▬▬▬▬□◈□▬▬▬▬▬∴•
Почему безопасность должна быть на всех этапах CI/CD?
Узнайте 20 апреля в 20:00 на бесплатном открытом уроке в OTUS c Филиппом Игнатенко, руководителем направления безопасной разработки в компании Digital Energy.
На занятии мы затронем темы:
◈ Работа над ошибками классического подхода к защите информации.
◈ Рассмотрение DevSecOps как ключа к парадигме правильной безопасной разработки.
◈ Способы трансформации DevOps-процессов в безопасную среду, ускоряющую процессы разработки и формирующую кибер-иммунитет у ваших приложений.