Новости

Исследование Positive Technologies: более чем в 30% случаев в отечественных компаниях применяют безопасную разработку

Итоги опроса, проведенного Positive Technologies, показывают, что 45% IT-специалистов в России считают безопасную разработку (DevSecOps[1]) полезной практикой, 56% респондентов готовы изучать этот подход как в рабочее, так и в свободное время, а 36% опрошенных уже имеют наработанные практики DevSecOps. Такие результаты были получены в ходе исследования, посвященного развитию DevSecOps в России.
2 сентября 2021

Эксперты Positive Technologies выяснили, какое место занимает безопасная разработка кода в российских компаниях различных отраслей, что думают IT-специалисты об этом подходе и готовы ли они активно участвовать во внедрении DevSecOps-практик. Опрос также помог определить, что мотивирует разработчиков участвовать в DevSecOps и каких знаний из этой области им сегодня не хватает.

В исследовании[2] приняли участие сотрудники отечественных компаний из сфер IT (69%), финансов (17%), промышленности (7%), государственных и других учреждений. Опрос проводился среди организаций разных размеров — от компаний численностью более 5 000 сотрудников до среднего и малого бизнеса с персоналом 100–300 человек.

Почти половина респондентов (45%) признают, что DevSecOps — это полезная практика, которая, однако, подходит не всем компаниям в силу специфики их бизнеса. Ключевым элементом защиты любой организации DevSecOps называют 18% опрошенных.

«Место DevSecOps в безопасности компаний сильно зависит от профиля бизнеса и особенностей ее приложений. В любой организации существуют приложения, эксплуатация уязвимостей в которых является недопустимым с точки зрения бизнеса событием. Если они становятся доступны хакеру, то в конечном итоге их взлом приведет к опасным последствиям для жертвы. В данном случае безопасность кода — очевидный приоритет для бизнеса», — комментирует результаты опроса Алексей Жуков, эксперт отдела систем защиты приложений Positive Technologies.

Более трети (36%) опрошенных сообщили, что организации, в которых они работают, уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. Каждый седьмой участник уверен, что за DevSecOps будущее, но не в их компаниях.

Половина респондентов готова участвовать в DevSecOps-процессах компаний, где они сейчас работают, если у них появится понимание, что этот подход сможет защитить разрабатываемые продукты от хакеров. Десятая часть опрошенных указала, что отправной точкой для развития безопасной разработки должна быть постановка задачи от руководства, которое будет контролировать ее исполнение. За такие средства мотивации, как прозрачные KPI, повышение зарплаты и выделение отдельной роли по DevSecOps в команде, проголосовало по 9% респондентов.

«Концепцию непрерывного и безопасного процесса разработки можно развивать только при условии интереса и инициативы самих сотрудников, которые трансформируются в комфортные для них инструменты», — уверен Тимур Гильмуллин, руководитель направления по построению безопасной разработки центра исследований и разработки Positive Technologies. По его словам, «нужно, чтобы разработчики были заинтересованы в продуктах, чтобы эти решения их устраивали и были удобны в использовании. Многих проблем с безопасностью кода можно избежать еще на стадии разработки, если использовать сканеры уязвимости, такие как, например, PT Application Inspector. При этом сканер кода, внедренный в конвейер разработки, не должен мешать программистам разрабатывать фичи, а работать параллельно с основными процессами сборки и блокировать выпуск релиза в случае обнаружения уязвимого кода».

Эксперты Positive Technologies также попросили IT-специалистов указать, в чем им не хватает экспертизы и про какие элементы безопасной разработки они хотели бы получить больше знаний. В число самых популярных ответов вошли практические кейсы внедрений (35%), а также информация о процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%).

Важность правильного выбора подходов, методик и архитектуры подчеркивают и мнения специалистов в области DevSecOps. Независимый эксперт и консультант в сфере безопасной разработки Денис Якимов комментирует: «В погоне за маркетинговыми лозунгами shift left компании так увлеклись встраиванием сканеров в пайплайны, что забыли про не менее важную часть безопасности разработки — инфраструктуру и цепочку поставок».

«DevSecOps — очень интересное явление, которое заставило специалистов ИБ пересмотреть привычные подходы. К примеру, она требует большего взаимодействия с IT-специалистами и разработчиками для поиска оптимального решения и разрешения вечного спора “безопасность или функциональность”, — отмечает Антон Гаврилов, руководитель направления DevSecOps центра информационной безопасности «Инфосистемы Джет». — Кроме того, DevSecOps требует автоматизации, а постоянно развивающийся технический ландшафт определяют вопросы, что выбрать, как именно это реализовать, как сделать так, чтобы это работало в моей компании».

В ходе исследования выяснилось, что возможность изучать DevSecOps в рабочее время есть у более четверти респондентов (28%). Такое же число специалистов осваивает это направление в свободное от работы время. При этом каждый шестой респондент хочет подробнее узнать о безопасной разработке, ее методах, процессах и инструментах, но не может выделить для этого ни рабочее, ни личное время; четверть опрошенных специалистов пока не готова погружаться в ее изучение.

Результаты опроса, проведенного Positive Technologies, были представлены на круглом столе «Безопасная разработка: как жить в цифре, писать много кода и не стать жертвой хакеров» в рамках очередной встречи Positive Tech Press Club.

[1] Development, Security, Operations — концепция безопасной разработки исходного кода.

[2] Опрос проводился среди аудиторий интернет-портала Habr, тематических сообществ и Telegram-каналов, посвященных разработке программного обеспечения, технологиям, информационной безопасности.