Обсуждение темы DevSecOps на сентябрьской встрече Positive Tech Press Club
Люди, чья зарплата так или иначе связана с ИТ, уже несколько лет сталкиваются с понятием DevSecOps. Но лишь треть из них, возможно, перешли от стадии мимолётного дружеского «кивка» в сторону этого вышедшего из тени игрока рынка «технологий» программных разработок к регулярным рабочим «дискуссиям» с ним.
По крайней мере, такой вывод можно сделать по результатам опроса компании Positive Technologies, представленных 2 сентября на Круглом столе «Безопасная разработка: как жить в цифре, писать много кода и не стать жертвой хакеров».
Для порядка напомним, что DevSecOps – это сокращение от слогана Development, Security, Operations, обозначающего концепцию безопасной разработки программного обеспечения.
Что же касается предположения о том, что осознано задумываются об информационной безопасности лишь треть желающих «жить в цифре» и предпринимающих самостоятельные шаги для обеспечения себя и окружающих этой радостью, то такой вывод можно сделать после изучения результатов упомянутого опроса:
36% опрошенных уже имеют наработанные практики DevSecOps, 45% ИТ-специалистов в России считают DevSecOps полезной практикой, а 56% респондентов готовы изучать этот подход как в рабочее, так и в свободное время.
Эти цифры сами по себе ещё не являются пугающими (ведь можно дискутировать о характеристиках репрезентативности опроса), но цифры эти, к сожалению, подкрепляются косвенно цифрами роста успешных кибератак на приложения и метриками доступности приложений даже в условиях их штатной (с точки зрения отсутствия злонамеренных угроз) работы. Эти показатели во множестве разбросаны по отчётам и презентациям «Лаборатории Касперского», Positive Technologies, ряда зарубежных компаний и воспроизводить их особого смысла нет.
Имеет смысл лишь упомянуть, что аутентичные докладчики при озвучивании этих показателей не забывают упомянуть, что приводимые данные далеко не полны, т.к. сведения об ИБ-инцидентах зачастую являются коммерческой или государственной тайной.
Упомянутые цифры (36%, 45%, 56%) тем более настораживают с учётом того, что исследование Positive Technologies базируется в основном на мнениях сотрудников отечественных компаний из сфер ИТ (69%) и финансов (17%). А ведь первые – это те, кто тянут нас в «жизнь в цифре», и пишут для этого «много кода», а вторые ещё при этом и находятся как бы под неимоверным гнётом регулятора, который с подвижническим упорством насаждает культуру ИБ в финансовой сфере.
И если благодаря Центробанку упомянутые 36% опрошенных, имеющих «наработанные практики DevSecOps» – это те, кто по большей части имеет отношение к финансовым приложениям, то каково состояние метрик ИБ для кода, обслуживающего нефинансовую часть «жизни в цифре», остаётся лишь догадываться.
При этом вызывает серьёзные сомнения допустимость повсеместной цифровизации в технологической ситуации, при которой концепция безопасной разработки программного обеспечения является не единственно приемлемой и используемой, а имеет более жизнеспособную (как сорняк) и шире распространённую альтернативу.
Эту альтернативу нельзя назвать иначе, как концепцией опасной разработки программного обеспечения.
Правда её сторонники (а вполне возможно, что это 55% «ИТ специалистов») избегают честного определения и прикрываются фиговым листочком риск-менеджмента и рассуждениями о приемлемых рисках для бизнеса. Но ведь «жить в цифре» – это не только осознанный выбор бизнеса, но и новая реальность, в которую люди, не намеренные принимать на себя риски, втягиваются зачастую против своей воли.
Что же мешает превращению DevSecOps в единственно допустимую концепцию разработки программного обеспечения?
Похоже, что это деформации управленческих концепций и деградация образования.
Сомнительные принципы организации работ, в основе которых лежит неочевидное утверждение о том, что «концепцию непрерывного и безопасного процесса разработки можно развивать только при условии интереса и инициативы самих сотрудников».
Развивая эту мысль на прошедшей встрече Тимур Гильмуллин, руководитель направления по построению безопасной разработки центра исследований и разработки Positive Technologies, заявил, что «нужно, чтобы разработчики были заинтересованы в продуктах [имеется ввиду инструментарий для поддержки технологий DevSecOps], чтобы эти решения их устраивали и были удобны в использовании. Многих проблем с безопасностью кода можно избежать еще на стадии разработки, если использовать сканеры уязвимости, такие как, например, PT Application Inspector. При этом сканер кода, внедрённый в конвейер разработки, не должен мешать программистам разрабатывать фичи, а работать параллельно с основными процессами сборки и блокировать выпуск релиза в случае обнаружения уязвимого кода».
Трудно не согласиться с этим утверждением за исключением слов о том, что «нужно, чтобы разработчики были заинтересованы в продуктах».
Разработчик не должен быть заинтересован в использовании инструментария для поддержки технологий DevSecOps.
Разработчик ОБЯЗАН ИСПОЛЬЗОВАТЬ инструментарий и принципы DevSecOps!
Антон Гаврилов, руководитель направления DevSecOps центра информационной безопасности «Инфосистемы Джет» отметил в ходе Круглого стола, что DevSecOps требует большего взаимодействия специалистов по ИБ с ИТ-специалистами и разработчиками для поиска оптимального решения и разрешения вечного спора «безопасность или функциональность».
Это утверждение отражает ныне существующую реальность, но совершенно неприемлемо с точки зрения инженерии, соглашаясь с легитимностью спора «безопасность или функциональность».
Такого спора не должно быть, подобный спор должен уступить место поиску решения класса «функциональность и безопасность». И лишь в некоторых случаях возможен риск-ориентированный компромисс, но в этом случае к взаимодействию специалистов по ИБ, ИТ-специалистов и разработчиков ДОЛЖЕН ПОДКЛЮЧАТЬСЯ не только бизнес, согласный принять «приемлемые» риски, но и ЮРИСТ, который определит, как будут защищены интересы людей, не готовых делить риски с бизнесом.
Тезис о взаимодействии «специалистов по ИБ» с «ИТ-специалистами» и «разработчиками» (в кавычки взяты термины, употреблявшиеся экспертами Круглого стола) интересен ещё и тем, что он неявно, но фактически закрепляет согласие с заменой в современной программной инженерии ИТ-профессионалов, исполняющих в данный момент в данном проекте некоторые функции, на узких функциональных специалистов с ограниченным мышлением, каждый из которых при выполнении проекта сидит в своём «домике» (по образному выражению Алексея Жукова, эксперта отдела систем защиты приложений Positive Technologies).
Подобное окукливание – это следствие как недостатков в организации рабочего процесса, так и провалов в области образования.
Последняя тема, как и тема нарастания вала ИБ-инцидентов разной природы, достаточно заезжена, а исследование Positive Technologies, послужившее триггером для проведения Круглого стола, лишь подтвердило существование проблемы:
возможность изучать DevSecOps в рабочее время есть лишь у 28% респондентов, тогда как у опрошенных не хватает знаний о процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%), а 35% хотели бы ознакомиться с практическими кейсами внедрений методологии DevSecOps.
И хотя приведённые в исследовании Positive Technologies цифры должны нормироваться (масштабироваться) с учётом уже упомянутых базовых показателей опроса (согласно одному из которых 55% ИТ-специалистов в России НЕ СЧИТАЮТ DevSecOps полезной практикой!), но болевые точки ИБ эти цифры обозначают верно.
.jpg)