Методология безопасной разработки и эксплуатации ПО продолжает проникать в отрасли и ИТ-организации. CEO DevOps Institute Джейн Гролл приводит на портале TechBeacon мнения экспертов о том, как удаленная работа влияет на практику DevSecOps.
По мере того как ИТ-специалисты адаптируются к удаленным и гибридным моделям работы, их функции и роли пересматриваются в плане расширения и диверсификации знаний и навыков. Одна из конкретных областей — обеспечение безопасности в области разработки и доставки софта — по своей сути должна учитывать удаленные и гибридные рабочие среды, что добавляет еще один уровень сложности.
1. Ускорение инициатив цифровой трансформации
DevSecOps как часть практики DevOps позволяет хорошо интегрировать методы обеспечения безопасности в методы DevOps. Эта методология получает все более широкое распространение, поскольку удаленная работа заставила многие организации ускорить инициативы по цифровой трансформации. Чтобы удовлетворять требованиям этих ускоренных инициатив, централизованная команда безопасности должна принять федеративную модель, позволяющую каждой команде разработчиков ПО применять в своей DevOps-практике надлежащие средства контроля безопасности.
Дирадж Наял, глава DevOps Institute в Азиатско-Тихоокеанском регионе, на Ближнем Востоке и в Африке считает, что организациям необходимо донести важность безопасности и «глубоко внедрить ее в основу жизненного цикла доставки» для получения рыночных преимуществ, укрепления репутации бренда и повышения ценности для клиентов.
Несмотря на все инструменты, связанные с коммуникацией, сотрудничеством и производительностью, эффективно управлять распределенными сотрудниками не так-то просто. «Традиционная роль привратника, которую долгое время играли команды безопасности, больше не актуальна для распределенных команд. Однако, учитывая тот факт, что распределенные команды стали нормой, рассматривать безопасность как препятствие для быстрой разработки приложений слишком рискованно», — уверен он.
2. Безопасность становится сферой ответственности разработчиков
Поскольку за последние полтора года темпы цифровой трансформации заметно ускорились, компании обдумывают переход на облачные технологии и внедрение практик DevOps. Это оказывает большее давление на команды разработчиков ПО, поскольку акцент на безопасности смещается на более ранние этапы жизненного цикла разработки. Это, в свою очередь, ведет к росту числа практик и инструментов безопасности, в первую очередь ориентированных на разработчиков, отмечает Джони Клипперт, соучредитель и генеральный директор компании StackHawk. «Команды по безопасности знают, что единственный способ не отстать от темпов и масштабов DevOps — это внедрить автоматизированные инструменты безопасности, ориентированные на разработчиков. В конечном счете, этот сдвиг приведет к тому, что предприятие будет предоставлять функции быстрее и безопаснее», — считает он.
Кендалл Миллер, президент компании Fairwinds, говорит, что самое очевидное изменение заключается в том, что разработчики больше не могут отправлять код из жестко контролируемой внутренней офисной сети. Чтобы обеспечить безопасную разработку из удаленных мест, требуется изменить саму ИТ-практику. «В результате это заставляет организации пересматривать методы безопасности, некоторые даже проводят аудит, который в противном случае никогда бы не состоялся, — отмечает он. — Отсутствие надлежащих методов обеспечения безопасности, позволяющих работать удаленно, почти наверняка оказало значительное влияние на волну недавних атак ransomware».
3. Необходимость устранения уязвимостей в удаленных офисах возросла
Как никакие другие, распределенные команды способны подвергать организации рискам сетевых, программных и других угроз и уязвимостей. Удаленные сотрудники должны иметь возможность работать продуктивно с первого дня, поэтому очень важно предоставить командам инструменты, которые легко интегрируются в технологический стек и инфраструктуру без сбоев и необходимости быстрого обучения. Роб Кадди, глобальный евангелист по безопасности приложений DevOps-компании HCL Software, говорит, что возможность быстро выявлять проблемы во время кодирования в контексте помогает минимизировать появление новых уязвимостей: «Перед тем, как отправить код в область интеграции, команды разработчиков должны иметь возможность проверить его на предмет качества».
По его словам, в этом плане себя очень хорошо проявили решения класса Software Composition Analysis, которые предназначены для автоматизированного обнаружения рисков и устранения уязвимостей в коде, контроля использования внешних библиотек. Злоумышленнику гораздо проще внедрить удаленному работнику вредоносное ПО или создать ему другие проблемы через домашнюю сеть Wi-Fi, потому что тот может попросту забыть включить VPN или не иметь доступа к известным репозиториям, размещенным в защищенном офисе. «Очень важно быть уверенным в том, что потребляется и доставляется», — считает Кадди.
4. Акцент на взаимоотношениях и общении
Марк Питерс, технический директор поставщика DevSecOps-услуг Novetta, говорит, что удаленная работа не отменяет потребности в сотрудничестве: «Необходимость взаимодействия с людьми осталась на прежнем уровне, меняются лишь средства, с помощью которых мы это делаем. Но командам приходится прилагать больше усилий для обеспечения взаимодействия. Совсем другое дело, когда эксперт по безопасности участвует в ежедневном скруме, а не просто набирает номер и является одним из многих людей вокруг».
По словам Нилана Чокси, президента и COO компании Tasktop, безопасность во многом связана с построением доверия и отношений. «Если постоянное общение не является частью ДНК компании, то в условиях удаленной работы она теряет многие возможности для установления связей, построения отношений и неформального понимания приоритетов и проблем софтверных команд», — утверждает он. И добавляет, что удаленная работа подчеркивает важность внедрения DevSecOps в структуру организации, занимающейся разработкой и доставкой ПО. Это включает в себя необходимость автоматизированного тестирования безопасности, перенос вопросов безопасности и тестирования в процесс разработки, обучение разработчиков тому, как писать код с применением гибких методов обеспечения безопасности, и проведение непрерывного мониторинга.
Переломный момент наступил
Удаленная работа и новые формы онлайн-сотрудничества быстро увеличили зависимость людей от технологических систем передачи и хранения данных. Сегодня безопасность должна стать основополагающей и всеобъемлющей частью ИТ-стратегии предприятия. Недавний пример: ошибка с онлайн-размещением фрагментов исходного для ознакомления, благодаря чему хакеры смогли проникнуть в движок Frostbite гиганта по изданию игр EA Games, получить конфиденциальную информацию и нарушить его работу.
В настоящее время информация является самым большим и высоко ценимым ресурсом на планете. Если раньше организации могли хранить ее в основном в четырех стенах, теперь их сотрудники быстро передают ее по эфиру и хранят далеко от офиса.
Стивен Уолтерс, инженер по продажам DevOps-провайдера Everbridge, говорит, что риск сейчас высок как никогда: «Ценность данных достигла своего максимума. В то же время хакеры открыли на них настоящую охоту, чтобы использовать в злонамеренных целях. Это как никогда ранее повышает потребность в безопасности и способствует росту потребности в решениях DevSecOps».
Киберустойчивость зависит от человеческого фактора
Пожалуй, самой большой проблемой при внедрении усиленных методов обеспечения безопасности являются люди. Все мы совершаем ошибки. Но то, как мы учимся быть более устойчивыми к изменениям и возникающим угрозам, имеет сегодня большее значение, чем когда-либо. Мы постоянно говорим о том, чтобы внедрить процессы и инструменты обеспечения безопасности в наши методы работы. Но сначала мы должны инвестировать в то, что важнее всего — в человеческий фактор DevSecOps.
