Журнал "Information Security/ Информационная безопасность" #5, 2022

DevSecOps-платформы класса ASOC В отличие от классических методо- логий разработки, DevSecOps позво- ляет интегрировать задачи безопас- ности во все этапы создания ПО, вклю- чая начальные. Реализовать DevSecOps можно разными способами. В каче- стве альтернативы сложным подхо- дам на рынке есть решения класса ASOC, которые способны сэкономить время, финансы и трудовые ресурсы компании, а также сократить time-to- market. DevSecOps-платформы класса ASOC могут повысить эффективность тести- рования безопасности и обеспечить защиту разрабатываемого ПО, при этом не замедляя сроки поставки. По данным Gartner, приведенным в обзоре Hype Cycle for Application Security, 2021, про- никновение подобных решений на рынок составляет от 5 до 20% для кли- ентов из целевой аудитории. Но на практике распространение этой техно- логии меньше из-за низкого уровня осведомленности о существовании платформ такого типа. Решение класса ASOC интегрирует в существующие CI/CD-пайплайны инструменты тестирования безопасно- сти – AST. За счет этого создаются конвейеры ИБ и реализуется переход от DevOps к DevSecOps. Продукт обес- печивает прозрачное взаимодействие в реальном времени между инженер- ными командами и экспертами ИБ. Платформа осуществляет функциональ- ность оркестрации, то есть настраивает и реализует конвейеры безопасности, а также выполняет корреляционный анализ проблем, найденных инструмен- тами AST, и агрегирует собранные дан- ные, формирует на их основе метрики и отчеты. Инструменты ASOC по результатам своей работы предоставляют отчеты о рисках безопасности и связанных с ними бизнес-рисках. Помимо этого, платформы интегрируют инструменты сканирования безопасности в процесс разработки ПО. В рамках оркестрации и корреляции DevSecOps платформа в режиме реального времени получает и обрабатывает огромный массив информации, связанной с разработкой, тестированием и безопасностью. Все эти данные позволяют наладить обрат- ную связь с платформой и настроить интеллектуальное управление всем жизненным циклом безопасной разра- ботки ПО. 48 • ТЕХНОЛОГИИ Технологии искусственного интеллекта и машинного обучения в DevSecOps-платформах класса ASOC инансовые и репутационные показатели компании во многом зависят от безопасности разрабатываемого ПО. Рост киберпреступности, высокая потребность в новых продуктах и сокращение сроков разработки становятся предпосылками для внедрения DevSecOps. По данным зарубежных аналитиков, в текущем году эту методологию будут использовать более 90% 1 организаций-разработчиков. Согласно глобальному отчету о рынке DevSecOps за 2021 г. компании Research and Мarkets, сектор методологии безопасной разработки будет расширяться с максимальным среднегодовым темпом более 25%. Таким образом, к 2028 г. объем мирового рынка составит $17,24 млрд. Сегодня все больше компаний разного масштаба выбирает системы DevSecOps класса ASOC (Application Security Orchestration and Correlation) для безопасной разработки ПО. Ф Юрий Шабалин, ведущий архитектор информационной безопасности Swordfish Security Рис. 1. Роль платформы ASOC в процессе DevSecOps 1 https://www.vedomosti.ru/press_releases/2022/01/27/t1-cloud-i-solidlab-otsenili-tendentsii-razvitiya-devsecops-v-rossii