Найти в Дзене
Антон Тетерин

Внедрение DevSecOps в банковской отрасли: вызовы и уроки

2 мин
В условиях стремительного развития технологий внедрение практик DevSecOps в банковской сфере представляет собой особую задачу. Это связано с жёсткими требованиями к управлению, устаревшими мерами безопасности и естественным сопротивлением изменениям. Тем не менее, преодолевая эти препятствия, можно достичь значительного прогресса в инновациях и оптимизации систем. Эта статья основана на реальном проекте и демонстрирует путь построения DevSecOps-платформы в одном из ведущих банков. В ней рассматриваются ключевые вызовы и полученные уроки. Банковская отрасль часто характеризуется низкой склонностью к инновациям, что обусловлено устаревшими процессами и требованиями к соблюдению нормативов. Добавим к этому инерцию крупных организаций, и скорость изменений будет напоминать разворот грузового судна. Но даже в таких условиях прогресс возможен — важно понимать специфику среды и гибко к ней адаптироваться. Одним из первых препятствий стало различие между внедрением Agile-процессов и настоящим
Оглавление
Реальный кейс внедрения DevSecOps в крупной финансовой организации: GitHub Actions, Terraform, облачные технологии и Agile-подход в условиях жёсткой регуляции.
Реальный кейс внедрения DevSecOps в крупной финансовой организации: GitHub Actions, Terraform, облачные технологии и Agile-подход в условиях жёсткой регуляции.

В условиях стремительного развития технологий внедрение практик DevSecOps в банковской сфере представляет собой особую задачу. Это связано с жёсткими требованиями к управлению, устаревшими мерами безопасности и естественным сопротивлением изменениям. Тем не менее, преодолевая эти препятствия, можно достичь значительного прогресса в инновациях и оптимизации систем.

Эта статья основана на реальном проекте и демонстрирует путь построения DevSecOps-платформы в одном из ведущих банков. В ней рассматриваются ключевые вызовы и полученные уроки.

Контекст и среда

Банковская отрасль часто характеризуется низкой склонностью к инновациям, что обусловлено устаревшими процессами и требованиями к соблюдению нормативов. Добавим к этому инерцию крупных организаций, и скорость изменений будет напоминать разворот грузового судна. Но даже в таких условиях прогресс возможен — важно понимать специфику среды и гибко к ней адаптироваться.

Agile как процесс и как мышление

Одним из первых препятствий стало различие между внедрением Agile-процессов и настоящим Agile-мышлением. Формально в организации применялись практики: ежедневные стендапы, планирование спринтов, груминг бэклога. Но при этом:

  • Стендапы регулярно пропускались разными участниками команды, нарушая командную синхронность.
  • Планирование спринтов происходило без должным образом подготовленного бэклога, превращаясь в гибрид груминга и планирования.
  • User stories редко были вертикально нарезаны и не могли быть завершены в рамках двухнедельного спринта — из-за отсутствия в команде ключевых лиц, принимающих решения.

Как удалось продвинуться вперёд

Несмотря на сложности, команде удалось достичь значимых результатов, особенно в области облачной трансформации и практик инфраструктуры как кода (IaC).

1. Переход на GitHub Cloud

Переход с локального GitHub Server на GitHub Cloud стал поворотным моментом. Среди преимуществ: быстрый доступ к новым функциям, снижение затрат на сопровождение инфраструктуры, а также полноценная поддержка GitHub Actions для CI/CD. Однако этот шаг потребовал тщательной проработки вопросов безопасности, лицензирования и взаимодействия с отделом закупок.

2. Оптимизация CI/CD пайплайнов

Были разобраны и переосмыслены существующие пайплайны Jenkins. Их переработали в модульные GitHub Actions workflows с улучшенной поддержкой кэширования и согласованностью между окружениями. Это повысило стабильность сборок и снизило технический долг.

3. Работа с энтузиастами внутри организации

Ключевым фактором успеха стало сотрудничество с командами, готовыми к экспериментам. Вместе с ними удалось:

  • Демонстрировать преимущества новых подходов.
  • Создать кейсы, показывающие бизнес-ценность.
  • Запустить волну трансформации внутри организации через внутренних амбассадоров.

Основные уроки

  1. Дипломатия важна — без навыков выстраивания отношений и внутреннего влияния инновации продвигать сложно.
  2. Нужны вовлечённые лица — без поддержки принимающих решения невозможно реализовать полноценный DevSecOps-подход.
  3. Показывайте бизнес-ценность — оптимизация и безопасность должны сопровождаться улучшением метрик поставки.
  4. Работайте итеративно — постоянное улучшение и адаптация стратегий — залог успеха в сложных средах.

Заключение

Внедрение DevSecOps в банковской отрасли — задача не из лёгких. Но при наличии стратегического подхода, внутренней поддержки и технической компетенции даже самые консервативные организации могут трансформироваться. В этом процессе важно не только владеть технологиями, но и уметь выстраивать культурные и организационные изменения на всех уровнях.