DevSecOps – безопасная разработка программного обеспечения как процесс и образ жизни

114
7 минут
DevSecOps – безопасная разработка программного обеспечения как процесс и образ жизни

Анастасия Голева, АО «РАСЧЕТНЫЕ РЕШЕНИЯ»

Говорят, не бывает идеальных систем обеспечения безопасности, поскольку в любой системе так или иначе присутствует ряд уязвимостей, и вопрос только в их критичности в настоящее время и оперативности устранения данных уязвимостей в будущем. C данными утверждениями сложно спорить. Однако плох тот солдат…, потому стремиться к совершенству – правильно. Кому же нужны стандарты безопасной разработки программного обеспечения?

Долгое время бытовала уверенность, что такие стандарты нужны исключительно специализированным организациям, чей бизнес основан на разработке программного обеспечения и их продажи заказчикам. Однако в современном мире, особенно после того, как информационные технологии плотно вошли в каждый дом и поселились в устройствах большинства людей уже независимо от возраста, социального статуса и рода деятельности, разработка ПО – явление, можно сказать, повседневное. Разработку мобильных приложений, а также интернет-сайтов заказывают представители бизнеса любого уровня, начиная от малого и самозанятых граждан. Проверить полученные программные продукты на безопасность задача заказчика, однако далеко не у всех имеются компетенции в данном вопросе. И риск выложить недостаточно безопасный продукт в продуктовую среду – разместить сайт в публичном сегменте интернета, либо опубликовать мобильное приложение в одном из соответствующих магазинов – возрастает. Ни в коем случае нельзя недооценивать компетенции самих разработчиков. Естественно, проверка программного продукта на этапе разработки в ИТ-компаниях должна быть и ведется в большинстве случаев, однако такой проверки без должного контроля со стороны заказчика все же недостаточно. Из этого можно сделать вывод о необходимости по крайней мере информирования заказчиков о процессах безопасной разработки, но в идеале – о внедрении соответствующих процессов в компании даже при условии отсутствия собственного штата специалистов в части разработки и тестирования, по меньшей мере, для решения ряда периодически возникающих задач по разработке программного обеспечения, даже если такие действия выполняются внешними подрядчиками.