Главная / О Центре / Новости / DevSecOps или безопасная разработка: все, что вы хотели знать, но боялись спросить







DevSecOps или безопасная разработка:
все, что вы хотели знать, но боялись спросить

26 марта 2025

С 2019 по 2023 год количество ИБ-инцидентов выросло более чем на 134%, а от последствий кибератак компании теряли в среднем по 20 млн рублей. На этом фоне произошел рост интереса к отечественному ПО, что подталкивает российские ИТ-компании отдавать приоритет информационной безопасности инфраструктуры разработки и защищенности собственных приложений. Как DevSecOps может помочь противостоять киберугрозам? И насколько сложно внедрить практику в процессы предприятия? Ответы на эти и другие вопросы
о безопасной разработке собрали для вас в одной статье.

Содержание

DevSecOps: простым языком о сложном понятии

DevSecOps (англ. Development, Security, Operations) — особая методология в разработке программного обеспечения, необходимая для повышения его безопасности и снижения рисков инцидентов ИБ. DevSecOps объединяет практики разработки, эксплуатации и внедрения инструментов, помогая разработчиком создавать защищенное ПО.

За последнее время интерес к безопасной разработке ощутимо возрос, и это неудивительно: количество киберинцидентов стало увеличиваться
с каждым годом. Злоумышленники активно используют наличие уязвимостей в приложениях для различных целей: похищения конфиденциальной информации, DoS- и DDoS-атак, имплантации вредоносного ПО, получения привилегированного доступа и т.д. Все перечисленное делает выполнение практик DevSecOps обязательным для компаний, которые хотят защитить свои данные от потенциальных утечек и создать безопасный ИТ-продукт.

Основные принципы безопасной разработки

  1. Безопасность контура разработки ПО позволяет исключить риски ее компрометации, и как следствие, компрометация продуктовой инфраструктуры и самого продукта.
  2. Осуществление безопасного проектирования охватывает определение требований ИБ и установление конкретных архитектурных решений.
  3. Идентификация и управление уязвимостями включает в себя исследование и анализ уязвимостей, их устранение и дальнейшее отслеживание возможных проблем.
  4. Интеграция безопасности в CI/CD (Continuous Integration/Continuous Delivery) необходима для автоматической проверки кода на наличие уязвимостей и угроз.
  5. Защита данных предполагает использование шифрования и других методов для безопасной передачи, хранения и удаления информации.
  6. Тестирование — проверка ПО на уязвимости и устойчивость к атакам, сканирование кода, а также постоянный выпуск обновлений и патчей.
  7. Мониторинг ИБ позволяет выявлять угрозы в режиме реального времени и оперативно реагировать на них.
  8. Постоянное обучение — систематическое повышение квалификации и получение актуальных знаний в сфере ИБ. Примечательно, что это обязательно не только для разработчиков, но и для остальных сотрудников организации.

Каким компаниям необходим DevSecOps и где он применяется

Сегодня ответственное отношение к вопросам кибербезопасности стало важным аспектом для большинства компаний.
В России сфера ИБ контролируется особенно строго: существует ряд федеральных законов и постановлений Правительства, которые
регулируют вопросы безопасности объектов КИИ, перечень нормативов и требований, утвержденных приказом ФСТЭК России, а также требования Центрального банка к финансовым организациям. Кроме того, в перечисленные акты довольно часто вносятся дополнения и поправки.
Сегодня ответственное отношение к вопросам кибербезопасности стало важным аспектом для большинства компаний. В России сфера ИБ контролируется особенно строго: существует ряд федеральных законов и постановлений Правительства, которые регулируют вопросы безопасности объектов КИИ, перечень нормативов и требований, утвержденных приказом ФСТЭК России, а также требования Центрального
банка к финансовым организациям. Кроме того, в перечисленные акты довольно часто вносятся дополнения и поправки.

Узнать подробно об всех изменениях и найти нужные

нормативные документы можно в специальном разделе на нашем сайте

Каким компаниям следует внедрять DevSecOps в первую очередь? Прежде всего, практики безопасной разработки важны для крупных организаций, имеющих отношение к защите конфиденциальных данных. Речь идет о госкорпорациях, предприятиях военно-промышленного комплекса и области здравоохранения, финансовых организациях (банки, электронные биржи, криптообменники), коммуникационных компаниях
и других. Значимость DevSecOps для перечисленных сегментов тесно связана с высоким риском утечки информации.
Вторая группа — организации, работающие с большим объемом данных. В эту группу тоже входят банки, а также e-commerce и представляющие соцсети корпорации — они подвергаются кибератакам чаще других.

Третий тип предприятий, нуждающийся в услугах DevSecOps — небольшие IT-компании и стартапы, желающие интегрировать новые функции
и инструменты для улучшения качества своего продукта.

Помимо потребности в защите данных и соблюдении законодательства, существуют еще несколько значимых причин, по которым компании прибегают к услугам безопасной разработки. Некоторые из них:

  • Time to Market (скорость выхода рынок)
  • Столкновение с ИБ-инцидентом
  • Конфликт между отделом ИБ и разработчиками
  • Стремление разгрузить персонал и сократить рутинные задачи
  • Экономия при делегировании задачи на аутсорс
Таким образом, DevSecOps — это многофункциональная передовая практика, которая с той или иной стороны может быть полезна для любой компании. Внедрение функций безопасной разработки защищает от утечек данных и кибератак, увеличивает возможности предприятия (технические ресурсы и human resources) и помогает избежать потенциальных финансовых и репутационных потерь.

Основные инструменты DevSecOps

Инструменты DevSecOps — специальные продукты и услуги, обеспечивающие безопасность отдельных составляющих ПО. К ним относятся код, цепочки поставок и среды исполнения. Поскольку каждый из инструментов предназначен для различных целей, на этапе выбора важно учесть множество аспектов: от определения конкретного спектра задач до сопоставления с выделенным бюджетом.

Те инструменты DevSecOps, которые используются наиболее часто, можно классифицировать на несколько групп по критерию типа проблем, которые они решают.

1. Сканеры безопасности кода (Code Security Scanners)

  • SAST — инструмент для статического анализа кода. Помогает находить потенциальные уязвимости и выявлять ошибки в исходном коде
  • DAST — инструмент для динамического анализа. Обнаруживает уязвимости в работающем приложении
  • MAST — инструмент для анализа защищенности мобильных приложений
  • Fuzzing — техника тестирования ПО, основанная на передаче приложению неправильных или случайных данных
  • OSA (Open-Source Analysis) — инструмент для анализа компонентов с открытым исходным кодом
  • SCA (Software Composition Analysis) — инструмент для анализа состава программного кода

2. Средства анализа защищенности и мониторинга инцидентов

ASOC — платформа для управления процессами безопасной разработки SOC. Выполняет функции мониторинга: собирает и анализирует
ИБ-инциденты с разных объектов инфраструктуры

3. Инструменты для безопасности контейнеров

Container Security (CS) — инструмент для обеспечения безопасности контейнеров на разных уровнях, а также защиты инфраструктуры
и приложений, в которых они работают

4. Межсетевые экраны для веб-приложений

WAF — защищает от уязвимостей путем фильтрации вредоносного трафика
И это далеко не весь спектр решений, которые может предложить DevSecOps. Кроме упомянутых средств также есть инструменты для управления уязвимостями, секретами и многие другие.

Помимо этого, в рамках безопасной разработки представлены специальные платформы для управления требованиями по безопасности ПО
и интерактивные тренажеры, обучающие специалистов разных уровней соответствующим навыкам. Каждое решение может быть полезно
для компании, однако окончательный подбор и внедрение целесообразно делать исходя из конкретных условий и задач проекта.

Стадии безопасной разработки

С одной стороны, методология DevSecOps охватывает те же этапы, что и DevOps: планирование, разработку, сборку, тестирование, развертывание и мониторинг. В чем они различны? Отличие первой практики от второй состоит в применении совершенно иных инструментов и в фокусе
на обеспечении безопасности каждой стадии. Ниже разберем подробно каждую из них.

1. Планирование

Любой проект начинается с составления плана, который предусматривает функционал и различные аспекты будущего приложения.
В случае с DevSecOps этап подразумевает контекст безопасности: это анализ и предварительная оценка состояния безопасности,
выбор оптимальных инструментов и моделирование угроз.

2. Разработка/написание кода

Стадия разработки предполагает процесс кодинга и поиск уязвимостей в приложении с помощью инструментов статического (SAST)
и композиционного (SCA) анализа. Важно отметить, что в данной фазе полноценное тестирование ПО пока еще не проводится — анализируется только исходный код в соответствии со стандартами его написания.

3. Сборка

Основная задача третьего этапа — подготовка ПО к дальнейшему запуску. В это время происходит сама «сборка» программы и проверка
ее внутреннего функционала с помощью инструментов класса DAST. На данной стадии необходимо еще раз провести анализ исходного кода
и зависимостей, дабы убедиться, что в приложение не попали уязвимости.

4. Тестирование

Один из наиболее важных и продолжительных этапов DevSecOps. Кроме стандартных тестов (автоматических, функциональных и проверки конфигураций) сканируются уязвимости, проводятся пентесты и регрессионное тестирование – повторная проверка ПО на наличие ошибок, которые могли возникнуть в процессе внесения изменений и доработки. Для поиска уязвимостей используется различные техники и инструменты, среди которых можно выделить фаззинг, сканеры анализа защищенности и тестирование на проникновение.

5. Развертывание и релиз

Стадия развертывания частично продолжает процессы предыдущего этапа: проверяются среды установки продукта, политики безопасности и конфигурации. Кстати, один из наиболее известных инструментов для управления конфигурацией контейнеров — Docker. Недавно он уходил из России, но в скором времени вернулся. О том, какими последствиями могло грозить ограничение доступа к ресурсу и существуют ли альтернативы на случай его реального ухода, можно прочитать в нашем материале.

На этапе релиза продукта начинается подготовка учетных записей пользователей: настраиваются системы мониторинга и сбора логов,
веб-интерфейсы сторонних систем и т.д. Также назначаются необходимые права доступа. Одновременно с этим осуществляется настройка WAF или иных систем безопасности.

6. Мониторинг

Мониторинг — это финальная стадия DevSecOps, которая заключается в отслеживании ошибок и проблем с безопасностью. Он проводится не однократно, а регулярно после выпуска ПО. Под непрерывное наблюдение попадают все части системы, в том числе, инфраструктура, тестовые среды и среда разработки. Для реализации мониторинга возможно задействование различных решений: это межсетевые экраны, WAF, SIEM-системы для сбора ИБ-инцидентов и пр. Стоит отметить, что многие современные инструменты уже имеют функции автоматического составления отчетов и рекомендаций по обнаруженным ошибкам.

Как компании внедряют безопасную разработку?

Часто процесс интеграции DevSecOps начинается с аудита процессов разработки. Этот этап предполагает исследование и анализ «слабых мест» текущих процессов, после которых следует создание дорожной карты внедрения методики. На основе дорожной карты происходит отбор наиболее значимых процессов, после чего формируется план их внедрения и подбираются подходящие инструменты. Вместе с этим определяются желаемый результат после интеграции. Подробнее о том, как проводятся такие аудиты рассказываем на примере проекта с Ctrl2GO — разработчика
и поставщика цифровых продуктов на базе ИИ, IIoT и интеллектуальной аналитики.
После оценки текущего состояния и выявления актуальных проблем команда переходит к реализации процессов безопасной разработки на каждом из перечисленных ранее этапов (планирование, разработка, сборка, тестирование, развертывание и мониторинг). Параллельно с внедрением разработчики компании начинают процесс обучения необходимым навыкам безопасного кодирования, постановке ИБ-задач, выявлению уязвимостей и защите от них. Вместе с ними идет подготовка Security Champions — специалистов, которые улучшают взаимодействие между командами разработчиков и безопасности.
По завершению этих этапов продукт полностью готов к проверке на соответствие требованиям законодательства и при необходимости может быть сертифицирован. В том случае, если было выявлено, что ПО не соответствует нормативам регуляторов, готовится список рекомендаций
для устранения обнаруженных проблем.

Можно ли обойтись без DevSecOps?

По данным Contrast Security 97% приложений имеют более одной уязвимости в коде, а 39% таких уязвимостей имеют высокий и критический уровни опасности. Отсутствие должного внимания к безопасной разработке уже неоднократно приводило крупные организации к репутационным
и финансовым потерям.

О том, как DevSecOps помогает финансовым организациям выпускать надежные сервисы читайте в кейсе с Банком Синара

Отсутствие надлежащего внимания к защищенности разработки и приложений часто влечет за собой и другое опасное последствие — возможность утечки персональных данных.

Еще один немаловажный драйвер интеграции DevSecOps — стремление бизнеса к повышению качества и функциональности своих разработок. Высокая скорость разработки и качество ПО — ключевые преимущества перед конкурентами, позволяющие быстрее выйти на рынок.
Поэтому прибегая к практикам безопасной разработки, компания может обнаружить уязвимости на более ранних этапах и за счет этого
оперативно приступить к их устранению.
Кроме того, согласно последним исследованиям IBM Security, внедрение DevSecOps способно повысить окупаемость инвестиций.
Согласно отчетам аналитиков, средняя стоимость утечки данных в 2023 году составила 4,45 млн долларов. При этом те предприятия,
которые использовали практики DevSecOps, наоборот, смогли ощутимо сэкономить. В среднем — 1,68 млн долларов за год.

Заключение

В 2025 году безопасная разработка стала обязательной практикой для большинства компаний из самых разных сегментов. Отказ от внедрения практик DevSecOps может нести непредсказуемые последствия: появление уязвимых мест в коде и конфигурациях, обнаружение уязвимостей после выпуска ПО, возникновение киберинцидентов, некорректная настройка систем, противоречия регламентам ИБ, несоответствие требованиям регулирующих органов и другое. Эти риски грозят серьезными финансовыми и репутационными потерями, а также способны тормозить выход программного продукта на рынок.

При этом задача обеспечения безопасности ПО и инфраструктуры разработки затрагивают не только разработчики, для которых приложение — продукт для внешнего пользователя и инструмент получения прибыли. ИТ- подразделения в составе организаций, относящихся к объектам КИИ также сталкиваются с этой задачей, создавая приложения для внутреннего использования.

Внедрение DevSecOps требует обширного опыта и знаний, а одним из наиболее быстрых путей его внедрения является поддержка экспертов. Какой бы глобальной или локальной не была ваша задача, команда Центра кибербезопасности УЦСБ готова поддержать ее — просто напишите нам.
Автор публикации: Анастасия Камалова, пресейл-инженер направления безопасной разработки УЦСБ

Напишите нам на cybersec@ussc.ru или оставьте заявку

Нужна консультация по внедрению DevSecOps?

Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных