«Надо понимать, что уязвимости могут быть не только в ПО, работающем в публичных облаках, но и в софте в локальном контуре компаний, доступа из которого в интернет обычно нет. То есть закрытость периметра не исключает возможность атак. Конечно, сообщество разработчиков Open Source-решений пытается оперативно исправлять выявленные уязвимости, но установить обновленные версии ПО в корпоративном контуре компании бывает проблематично. В первую очередь потому, что они могут вступать в конфликт с требованиями кибербезопасности, принятыми в компании, — отмечает CPO инженерных инструментов Платформы Сфера Евгений Калашников. — Таким образом, сам процесс обновления несет дополнительные риски и угрозы, а уязвимости обнаруживаются регулярно».

Альтернатива Open Source-решениям — собственная разработка. Так, о выделении бюджета на развитие DevOps-практик сообщили 55% компаний. Однако это сложный процесс с неоднозначными перспективами, поэтому бизнес также стал присматриваться к комплексным инструментам по управлению производственным циклом программного обеспечения — так называемым конвейерам безопасной разработки или платформенным решениям.

Это позволяет контролировать процесс создания ПО на всех этапах: постановка задачи, написание кода и анализ качества разработки, проведение различных тестирований, в том числе на нагрузку и уязвимости. В случае обнаружения угроз или несоответствия правилам компании вендор проводит доработку сборок и устранение выявленных замечаний.

Переход на конвейеры безопасной разработки вызван желанием компании обладать более качественными инструментами и методологиями, которые повышают степень защищенности создаваемого продукта. Поскольку злоумышленники все чаще пытаются не только проникнуть в инфраструктуру, но и обнародовать закрытые данные, контроль уязвимостей — базовый и основной сценарий в DevSecOps у 48% компаний.

Другая причина интереса к платформам — ужесточение требований к разработке ПО со стороны регулятора. «Рекомендации ФСТЭК закреплены в приказах ведомства (в первую очередь, приказ № 239, пункт 29.3), а также в нормативах ГОСТ Р 56939. Они предписывают использование инструментов, обеспечивающих безопасность разрабатываемого ПО, — подчеркивает Евгений Калашников. — Речь, в частности, идет о статических и динамических анализаторах кода, предназначенных для минимизации числа критических уязвимостей — особенно в компаниях, имеющих объекты критической информационной инфраструктуры. То есть в телекоммуникационной, банковской и транспортной сферах».

Причем сертифицировано должно быть как разрабатываемое ПО, так и инструменты разработки. Фактически сегодня российская ИТ-индустрия сталкивается с третьей волной внимания со стороны ФСТЭК. Если сначала в фокусе были операционные системы и инфраструктура, то теперь очередь дошла до средств производства программного обеспечения.

Как показывает срез рынка, бизнес — в том числе вне регулируемых сфер — и сам выступает за то, чтобы менять зарубежные DevOps-инструменты на отечественные. Компании, которые ранее смогли закрыть ряд более важных ИТ-потребностей — заместили железо и критический софт — рассматривают переход на отечественные конвейеры с привычных зарубежных. При этом они ожидают, что по функциональности и качеству новые решения не будут уступать прежним.

Так, банк ВТБ с июля 2023 г. активно переходит на отечественные инструменты. В частности, финансовая организация заменяет конвейер разработки, который был выстроен на нескольких иностранных решениях, на единую комплексную платформу Сфера, что позволит к концу года вывести из эксплуатации около 20 систем зарубежных вендоров и оптимизировать часть процессов — например, сборку, использование плагинов, распределение ресурсов в различных контурах.

По словам Евгения Калашникова, все чаще компании инициируют пилотные проекты и даже готовы инвестировать в развитие молодых экосистем. При этом определенные разработки ведут собственными силами, и от каких-то иностранных решений пока не готовы отказаться. Отчасти на путь комплексного импортозамещения компании толкают трудности интеграции. Как показал Russia DevOps Report 2023, совместимость с зарубежными решениями — проблема для трети компаний, а интеграция с инфраструктурой — почти для половины.

Российская индустрия может предложить самые разные DevOps-инструменты: от простых до тех, что сопоставимы с платформами разработки глобальных поставщиков. Выбор зависит от масштаба заказчика. Так, небольшим компаниям, стартапам и только встающим на путь цифровой трансформации организациям вполне подойдут менее комплексные платформы. Компаниям же покрупнее могут потребоваться целые модули платформ по управлению высокотехнологичным производством, а у гигантов отрасли будут востребованы полноценные конвейеры безопасной разработки.

Таким образом, один из способов сделать DevOps безопасным — это продвигать в компании культуру ответственного подхода к созданию программных продуктов, подразумевающего использование качественного импортонезависимого инструментария и эффективной методологии, которые смогли объединить российские вендоры.