Finansai

„DevSecOps“: įmantriai skambantis receptas, kaip padidinti programinės įrangos saugumą ir kartu sutaupyti

Skaitmeninei transformacijai vis labiau įsibėgėjant, dienos šviesą kasdien išvysta daugybė virtualių paslaugų ir sistemų. Be nuosavos skaitmeninės paslaugų valdymo platformos, internetinio puslapio ar išmaniesiems telefonams skirtos programėlės šiais laikais, rodos, negali apsieiti nė viena didesnė įmonė. Tačiau vykstant masiniam persikėlimui į internetinę erdvę atsiradusios kibernetinės grėsmės nejučia skatina versti naują lapą ir į programinę įrangą bei jos kokybę pasižiūrėti iš naujo taško. Sparčiai populiarėjančios „DevSecOps“ praktikos sistemos saugumą paverčia centrine jos kūrimo figūra ir taip padeda verslui lengviau diegti inovacijas bei taupyti.

Saugesnė sistema ir greitesnis jos kūrimas

„Terminas „DevSecOps“ yra trijų angliškų žodžių developer-security-operations trumpinys, reiškiantis, jog į naujos programinės įrangos kūrimą nuo pat pradžių įtraukiami ne tik programuotojai ir su sukurta sistema dirbsiantys darbuotojai, bet ir kibernetinio saugumo specialistai. Tai leidžia įvairius saugumo mechanizmus įdiegti kiekviename platformos vystymo etape, taip padidinant būsimosios programinės įrangos atsparumą atakoms bei sumažinant jos kūrimui reikalingas laiko ir pinigines sąnaudas“, – „DevSecOps“ esmę aiškina Mindaugas Plukys, „Huawei Technologies“ korporatyvinės komunikacijos vadovas Lietuvoje.

Nors „DevSecOps“ jau taiko dauguma technologijų rinkos lyderių, vis dar ganėtinai populiaru, kai programinės įrangos kūrime dalyvauja tik programuotojai ir kompanijos darbuotojai, o kibernetinio saugumo specialistai prie projekto prisijungia tik tada, kai sistema būna beveik pabaigta. Tokia ydinga praktika ne tik neleidžia saugumo ekspertams pakreipti programinės įrangos vystymo ta linkme, kad būtų galima sėkmingiau išvengti įvairių pažeidžiamumų bei kibernetinių išpuolių, bet ir smarkiai išaugina platformos kūrimo kaštus bei laiko sąnaudas, kadangi specialistams užtrunka daug laiko perprasti be jų dalyvavimo kurtos sistemos veikimą, ją ištestuoti ir parinkti tinkamus saugumo sprendimus.

Dar didesnis „DevSecOps“ praktikų potencialas atsiskleidžia, kai saugumo patikrų mechanizmai nuo pat pradžių automatizuojami. Tai leidžia verslui daug paprasčiau ir greičiau kurti nuosavos programinės įrangos atnaujinimus bei klientams pasiūlyti naujų jos funkcijų, kas įgalina paprastesnį inovacijų diegimą. Būtent dėl šios priežasties „DevSecOps“ praktikų diegimas daugumos technologijų rinkos analitikų įvardijamas kaip būtina sąlyga kiekvienai įmonei, siekiančiai ateityje plėsti savo siūlomų skaitmeninių paslaugų portfelį ir iki minimumo sumažinti kibernetinių išpuolių riziką.

Saugumas – bendra atsakomybė

Nors „DevSecOps“ įveda nemažai techninių pokyčių programinės įrangos kūrime, pasak M. Plukio, svarbiausia šių praktikų nauda yra susijusi su pasikeitusiu požiūriu į kuriamos sistemos saugumą. „DevSecOps“ praktikos atsakomybę už platformos ar aplikacijos saugumą perkelia ant kiekvieno proceso dalyvio pečių – IT sistemų architekto, programuotojo ir administratoriaus – priversdamos į programinės įrangos veikimą  žiūrėti ne tik per funkcionalumo ar patogumo, bet ir per saugumo prizmę.

M. Plukys įsitikinęs, jog į „DevSecOps“ praktikų taikymą atsižvelgti reikia ne tik toms įmonėms, kurios kuria nuosavą programinę įrangą, bet ir toms, kurios renkasi naudoti įvairias licencijuojamas skaitmenines paslaugas. Geras to pavyzdys galėtų būti šiuo metu itin plačiai naudojamos debesijos platformos. Tokie produktai, kaip „Huawei Cloud“, kurių kūrimo cikle pritaikomi „DevSecOps“ įrankiai ir specifikacijos, leidžia pagrįstai tikėtis, kad įvairios jų saugumo spragos bus skaidriai atsektos ir pašalintos, o ne nepastebėtos ar nutylimos, rizikuojant šiuos produktus pasirinkusios naudoti kompanijos klientų privačios informacijos saugumu ar jiems teikiamų paslaugų kokybe.

„DevSecOps“ yra kur kas daugiau, nei tik efektyvesnis būdas kurti saugią programinę įrangą. Tai nauja kultūra, ugdanti supratimą, jog pats svarbiausias kiekvienos elektroninės sistemos tikslas yra ne tinkamai funkcionuoti, o būti saugiai. Šios praktikos kuria naują pasitikėjimo skaitmeninėmis paslaugomis standartą, užtikrinantį, kad jas kūrusios komandos platformai apsaugoti dėjo maksimalias pastangas ir taip leidžiantį kiekvienam iš mūsų internetinėje erdvėje jaustis kur kas saugiau“ – teigia „Huawei Technologies“ korporatyvinės komunikacijos vadovas Lietuvoje.

Pranešimą paskelbė: Matas Ramonas, UAB „INK agency“
„DevSecOps“: įmantriai skambantis receptas, kaip padidinti programinės įrangos saugumą ir kartu sutaupyti

(Perskaityta per mėnesį: 1, iš jų šiandien: 1.)