Почему DevSecOps?
Почему парадигма DevSecOps так важна в современной разработке?
DevOps изначально предполагал наличие проверок на безопасность. Но, как принято говорить, есть нюанс. Если вспомнить классический подход, то команды, отвечающие за безопасность, выступали не как участники непосредственного процесса разработки, а в качестве, в каком-то смысле, контрольного органа, предъявляющего определенные требования к продукту с точки зрения ИБ и проверяющего качество продукта ближе к концу релиза. Однако при таком подходе команды безопасности находятся за условной стеной от активной разработки и не принимают непосредственного участия в процессе этой самой разработки.
Таким образом, можно сформулировать основную проблему: она заключается в том, что информационная безопасность стоит отдельно от разработки. На практике существует некий ИБ-контур, включающий в себя 2-3 дорогих и громоздких инструмента. Где-нибудь раз в 6 месяцев прилетает исходный код либо программное приложение, которое надо проверить, ну и ориентировочно раз в год проводится тестирование на проникновение (пентест).
И что мы получаем в итоге? А то, что сроки выхода в прод откладываются, так как на разработчиков сваливается большое число уязвимостей из автоматизированных средств. Разобрать и исправить всё бывает попросту невозможно, особенно если учесть, что еще прошлые результаты разобрать не успели, не говоря уже о новой партии.
Сегодня такое положение вещей становится попросту недопустимым. В результате появляется понимание, что безопасность должна "крутиться" с разработкой в одном колесе (привет, Agile). И именно парадигма DevSecOps прекрасно ложится на методологию гибкой разработки, а также на внедрение, поддержку и непосредственное участие Security-специалистов в каждом релизе и итерации.
По материалам https://habr.com/ru/company/oleg-bunin/blog/448488/.