DevSecOps стає популярним терміном в IT-середовищі. Але чи всім вже зрозуміло, що воно таке, та як використовувати цей тренд у своїй роботі розробникам ПЗ? Ми вирішили запитати про це експерта з IT-технологій Костянтина Золялетдінова, який є одним із визнаних світових дослідників феномену DevSecOps та його ефективності. Костянтин стояв біля джерел розробки цієї системи роботи та продовжує активно працювати у галузі на даний час.
Отже, що таке DevSecOps
Минулі роки в Hi-Tech пройшли під егідою методології DevOps, тобто швидкої розробки програмних продуктів з тестуванням їх вразливості та безпеки на фінальному етапі. Цю методологію можна було порівняти з давнім гаслом спортсменів “Швидше, вище, сильніше”. Але були й суттєві недоліки, адже через пришвидшення процесів страждав захист ПЗ. З підвищенням рівня кіберзлочинів це стало критичною рисою. Так настав час DevSecOps.
За своїм змістом DevSecOps – це також процес комплексної розробки програмного забезпечення, але в нього є характерні відмінні риси, які підвищують ефективність та результативність роботи команд розробників. Що це за риси, запитали ми в Костянтина?
- Перш за все DevSecOps – це активна співпраця усіх підрозділів, що відповідають за проект. Тобто, вся команда працює на результат, а не перекладає відповідальність з одного фахівця на іншого. Тому теза перша: DevSecOps – це колективна відповідальність за результат. Якщо дизайнер бачить помилку у роботі девелопера, він має не просто про неї повідомити, але й допомогти вирішити проблему якнайшвидше та найефективніше.
- Друге - це постійний контроль рівня безпеки. В DevSecOps програмне забезпечення тестується на безпеку та наявність лакун постійно та безперервно. З цього виходить теза друга: DevSecOps пропонує постійний контроль коду на безпечність та безпомилковість.
- Третє - це мотивація. Крім підбору дієвих технологій та методів розробки DevSecOps потребує ще й формування певної культури, а суттєвою частиною культури є мотивація співробітників, як матеріальна, так і моральна.
Тобто, DevSecOps – це комплексний підхід до розробки ПЗ з забезпеченням неперервності процесів, залучення команди до культури DevSecOps, та підвищеною увагою до безпеки та виправлення помилок тут-і-зараз під час роботи над продуктом.
Як імплементувати DevSecOps в українських реаліях?
Звісно ж, DevSecOps не запрацює миттєво. Костянтин на основі власних досліджень та досвіду закордонних компаній виділяє декілька основних ідей, які можуть стати в пригоді українським IT-агенціям та прагнуть застосувати DevSecOps.
- Відносьтеся до DevSecOps, як до культури, а не інструменту. Це зсув в головах перш за все, та перехід від особистого виконання обов’язків до колективної відповідальності.
- Підбирайте інструменти, які допоможуть контролювати безпеку, безперервність та повторюваність процесів.
- Мотивуйте співробітників працювати злагоджено.
- Пам’ятайте, що контроль безпеки не уповільнює розробку в DevSecOps.
Тому не слід боятися цього терміна, а скоріше брати його за основу своїх розробок.
Інна Войченко