Польза DevOps
Культура организаций, происходящие в них процессы и используемые технологии меняются беспрецедентно быстрыми темпами. И вряд ли удастся просто переждать, пока пройдет «мода» на DevOps. Это не преходящее увлечение, а новая эволюционная ступень разработки программного обеспечения. Не стоит также откладывать преобразования в области информационной безопасности как нечто слишком сложное. Безопасность тоже должна эволюционировать, плавно переходя в SecDevOps.
Во многих организациях ежедневно выпускают десятки, если не сотни релизов ПО. А при содействии и под руководством специалистов по безопасности разработчики могли бы с первой попытки выпустить защищенный код, сэкономив массу денег и времени.
Создает культуру единства и взаимодействия
Одна из главных задач DevOps – сформировать культуру, построенную на взаимодействии, позволяющую находить пути повышения качества работы всех участвующих отделов. Разработчикам не всегда удается написать безопасный код, а многие инструменты безопасности отбрасываются, поскольку программистов не проинструктировали о способах их применения или потому что инструменты не адаптируются к быстро меняющемуся циклу разработки ПО. DevOps помогает избавиться от разобщенности, позволяет теснее интегрировать безопасность, автоматизировать ее обеспечение, облегчает понимание и совершенствование разработчиками соответствующих процессов.
Помогает координировать обеспечение безопасности с бизнесом
Еще одно преимущество DevOps, помимо улучшения отношений с разработчиками и другими участниками, – координация с бизнесом. Согласно недавнему опросу Puppet Labs, высокоэффективные организации тратят на 22% меньше времени на незапланированную работу и устранение дефектов. Интегрированный контроль безопасности позволяет обнаруживать проблемы на более ранних этапах цикла разработки ПО, благодаря чему на безопасность удается тратить меньше.
Меньше становится брешей безопасности и меньше требуется времени на поиск уязвимостей. Становится проще внедрять политики и процедуры реагирования на потенциальные бреши и принимать решения с учетом рисков. Снижается вероятность простоев бизнеса.
Способствует безопасной инновации и agile-разработке
Все больше организаций переходят на agile-методы разработки ПО; по сути, они уже стали предпочтительными для многих компаний во всем мире. Но обеспечивать слаженную работу и высокие темпы без контроля безопасности можно лишь до определенной степени. Чтобы agile-разработка дала оптимальные результаты, необходима грамотная реализация процессов обеспечения безопасности. Когда специалисты по безопасности больше вовлечены в процессы разработки, защищать новые продукты с самого начала проще. DevOps позволяет встроить ревизии безопасности непосредственно в спринты разработки, что дает возможность быстро добавлять новый защищенный функционал. Контроль защищенности при разработке новшеств помогает бизнесу, делая специалистов по безопасности реальной опорой разработки ПО.
Обеспечивает приоритет автоматизации
DevOps внедряют ради автоматизации и повышения эффективности процессов разработки ПО. Взаимодействуя с руководителями по эксплуатации и программированию, менеджеры по безопасности могут разработать автоматизированные процессы контроля на основе политик выявления небезопасных компонентов, создания защищенных виртуальных машин и выполнения нормативных требований. Тем самым обеспечивается более активное участие специалистов по безопасности в разработке. Встраивание системы статичного анализа кода в автоматизированный процесс разработки позволит позаботиться о том, чтобы код в обязательном порядке проходил проверки на выполнение стандартов безопасности и нормативных требований.
Безопасность информационных систем в условиях постоянного изменения объектов защиты
Информационная система предприятия состоит из множества в разной степени интегрированных подсистем, за их совершенствование и эксплуатацию отвечают разные подразделения. Уследить за всеми изменениями в приложениях и в их взаимодействии между собой невозможно, а между тем до 40% атак используют уязвимости в бизнес-логике корпоративных решений, традиционные средства защиты их вообще не замечают. Как полагает Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch, в таких условиях традиционная служба информационной безопасности, будучи не в силах разобраться в происходящем «на лету», фактически переходит в режим расследования произошедшего, да и расследования эти требуют все больше средств и все меньше помогают бизнесу решать проблемы «здесь и сейчас».
Поскольку обеспечить безопасное функционирование корпоративных решений по старой схеме «сначала создаем систему, потом боремся за ее защищенность» невозможно, то нужно и совершенствование средств информационной безопасности перевести на методологию Agile, сделать этот процесс непрерывным, интегрировать средства с объектами защиты
За безопасность отвечают все участники
Один из самых труднодостижимых, но ценных результатов перехода на DevOps – появление ответственности за безопасность у всех участников цикла разработки. Специалисты по безопасности не любят доверять свои обязанности другим отделам, но если такое становится возможным, то снижается нагрузка и освобождаются ресурсы для решения экстренных проблем безопасности. К примеру, если интегрировать контроль безопасности в самые первые стадии разработки, уже не придется беспокоиться о том, что выпуск задержится из-за тестирования, выполняемого в последний момент.
Когда у специалистов по разработке и эксплуатации появляется ответственность за безопасность кода, у них будет больше стимулов расширять свои познания в соответствующей области.
Способствует улучшению мониторинга
Краткость спринтов разработки способствует непрерывному совершенствованию. Без интеграции контроля безопасности с DevOps мониторинг характеристик приложений нередко выполняется как отдельный процесс. А при встраивании безопасности в процесс разработки соответствующий контроль можно интегрировать в существующие процедуры мониторинга. Как следствие, показатели безопасности будут лучше согласованы с процессами разработки, эксплуатации и управления.
Скажем, команда DevOps задается целью обнаружить 75% всех ошибок на ранних стадиях разработки. SecDevOps позволяет осуществлять мониторинг и проводить измерения, направленные на обнаружение уязвимостей, уже на первых этапах цикла, благодаря чему все ошибки, способные задержать разработку, будут выявлены и посчитаны.
Устраняет узкие места
Без DevOps пользователям приходится самим выискивать нужную информацию и тратить время на поиск контакта, чтобы решить возникшую проблему. Поскольку в командах DevOps обязательны каналы связи между отделами, у пользователей всегда есть доступ к различным контактам, которые помогут решать проблемы по мере возникновения. Еще одним ключевым компонентом инициатив DevOps наряду с доступностью связи является обучение участников. Согласно данным уже упомянутого опроса Puppet Labs, эффективные организации тратят на 50% меньше времени по сравнению с остальными на устранение проблем безопасности и следят за тем, чтобы соответствующий отдел заранее готовил простые в использовании библиотеки, комплекты, инструментальные цепочки и процессы для применения разработчиками и специалистами по эксплуатации.
– Ryan Francis, 7 ways DevOps benefits security programs. CSO. Oct 4, 2016