🔥 DevSecOps уже не «дополнение», а must-have для бизнеса

В материале РБК Trends я поделился своим опытом, где мы разбираем, почему безопасность перестала быть «чем-то на потом» и стала частью самой разработки.

Ремарка: согласно исследованию Positive Technologies, 83% российских корпораций уже уделяют внимание security-практикам при создании собственного ПО.

В статье сможете ознакомиться с мыслями по подходу DevSecOps и каким образом принципиально происходит встраивание ИБ в разработку.

Также своим опытом делятся Александр Самсонов Код Безопасности, Светлана Газизова Positive Technology, а также мои коллеги Николай Сальников, Александр Чербунин из ЛАНИТ.

Ключевые мысли, которые откликнутся многим:

- Инструменты — это не DevSecOps. Без процессов и культуры они превращаются в дорогую декорацию

- Основное сопротивление идёт не от технологий, а от людей: привычка «мы пишем код, а вы потом проверяйте» слишком крепкая

- Стартовать лучше маленькими шагами: встроить проверки в CI/CD, отработать триаж, постепенно прокачивать культуру команды.

- Не «слишком много работы», а экономия времени на старте, в процессе, а не в конце, когда фича в проде и могут быть последствия

- Самое ценное в работе с ИБ: PRE-, POST-условия, то есть система ограничений, допущений, когда мы можем договориться

Если по простому, по крестьянски: автоматизация — это только 20% успеха. Остальные 80% — это то, как люди договариваются между собой и берут ответственность за безопасность и понимаю, что делают. Прикрепил к посту ключевые мысли от себя.

Читать статью: Практики DevSecOps: как меняется подход бизнеса к цифровой безопасности

#кулуарка #devsecops #paper #pmcases #vulnmanagement #specialty