Kaip šios praktikos diegimas padeda verslui efektyviau veikti? Kaip išvengti rimtų incidentų, tokių kaip kibernetinės atakos? Kodėl būtina įmonėse užtikrinti aukštą saugos lygį? Įžvalgomis dalijosi JAV programavimo paslaugų įmonės „Devbridge“ vyresnysis programinės įrangos inžinierius Konstantinas Jurgilas.
Gal galėtumėte paaiškinti, ką tiksliai apibrėžia ir ką reiškia „DevSecOps“ terminas?
„DevSecOps“ terminas susideda iš trijų programinės įrangos kūrimo disciplinų sutrumpinimų: programavimas (angl. „development“), sauga (angl. „security“) bei diegimas, palaikymas (angl. „operations“). Pats terminas reiškia praktiką, kai visų disciplinų atstovai – programuotojai, saugumo specialistai bei infrastruktūros inžinieriai dirba išvien kartu, siekdami užtikrinti, kad programinės įrangos kūrimo proceso metu saugai būtų skiriamas didelis dėmesys.
Kodėl įmonėms yra svarbus šių praktikų kūrimas ir kokį pranašumą tai suteikia eiliniam verslui?
Kaip šios praktikos padeda išvengti rimtų incidentų, tokių kaip, pavyzdžiui, kibernetinės atakos?
Efektyviausias būdas išvengti rimtų incidentų yra vykdyti nuolatinę prevenciją ir kuo anksčiau sureaguoti į atsiradusias saugos spragas. „DevSecOps“ praktika suteikia galimybes nuolat ir proaktyviai stebėti informacinių sistemų saugos lygį. Automatizuoti įrankiai padeda greitai aptikti saugos pažeidimus, kurie gali iššaukti ir kibernetinius incidentus. Kai yra aptinkami įvairūs pažeidimai, jie, žinoma, yra operatyviai pašalinami, ir taip rimtų kibernetinių incidentų tikimybė yra stipriai sumažinama.
Ar šios praktikos sustiprina programinės įrangos saugumą ir ar turime pakankamai paruoštų „DevSecOps“ specialistų, pavyzdžiui, Lietuvoje, kurie padėtų įgyvendinti tokias pažangias praktikas?
„DevSecOps“ praktikų pagrindinis tikslas yra užtikrinti aukštą programinės įrangos saugos lygį ir jį nuolat stiprinti. Kibernetiniai išpuoliai organizacijoms gali padaryti labai daug sunkiai pataisomos žalos, tad visos organizacijos turėtų siekti, kad jų kuriamos ar naudojamos programinės įrangos sauga būtų kuo geresnė. „DevSecOps“ praktikų diegimas leidžia šį tikslą pasiekti. Manau, kad tiek kitose pasaulio šalyse, tiek Lietuvoje yra sėkmingai ruošiami specialistai, gebantys sėkmingai taikyti šią praktiką. Aš pats KTU baigiau „Programų sistemų“ bakalauro ir „Informacijos ir informacinių technologijų saugos“ magistro studijas. Studijų metu įgijau tiek teorinių, tiek ir praktinių įgūdžių, kurie leido geriau suprasti ir taikyti šias praktikas. „DevSecOps“ apjungia net kelias disciplinas: programavimą, saugą bei infrastruktūrą, tad norint tapti šios praktikos specialistu, reikalinga patirtis ir žinios kiekvienoje iš jų.
„Devbridge“ įmonėje jau keleri metai yra kuriama „DevSecOps“ kultūra, tačiau kaip realybėje pavyksta šias praktikas įgyvendinti, kuriant kompleksinius IT produktus klientams?
Kompanijoje dirbame mišriose komandose, kurios yra sudarytos iš programuotojų, infrastruktūros inžinierių bei testuotojų. Už kuriamos programinės įrangos saugą yra atsakinga visa komanda, tad dedikuota saugumo inžinieriaus rolė nėra reikalinga. Komandos nariai turi daug žinių saugos srityje, jas nuolat gilina ir noriai dalijasi su kitais komandos nariais, tad visi kartu nuolatos mokomės ir tobulėjame.
„DevSecOps“ praktiką diegiame kiekviename projekte ir produkte, kadangi siekiame užtikrinti, kad mūsų kuriama programinė įranga yra kokybiška visais aspektais, įtraukiant ir saugą. Kurdami IT sprendimus automatizuojame daug saugos analizės aspektų: tikriname, ar perpanaudojamo kodo bibliotekos neturi atskleistų saugos pažeidžiamumų, ar mūsų rašomas kodas atitinka geriausias saugos praktikas ir ar mūsų debesijos infrastruktūra yra apsaugota nuo išorinių grėsmių.
Nemaža dalis saugos pažeidimų į sistemas patenka naudojant kitų programuotojų parašytas atvirojo kodo bibliotekas. Kuriamose sprendimuose mes nuolat stebime, ar naudojamas trečiųjų šalių kodas neturi atskleistų pažeidžiamumų. Kuomet pažeidimas yra aptinkamas naudojant automatizuotas priemones, į tai proaktyviai reaguojame ir sprendžiame iškilusią problemą. Dažnu atveju užtenka atnaujinti bibliotekos versiją, tačiau būna atvejų, kai tai nepadeda ir reikia ieškoti kitų originalesnių sprendimų, kurie leistų pašalinti atsiradusią saugos spragą.
Ar tokių praktikų, kaip „DevSecOps“, kūrimas padeda verslui sutaupyti? Kaip tai kasdienybėje prisideda prie efektyvesnių verslo procesų kūrimo?
„DevSecOps“ praktika, apskritai, padeda verslui optimizuoti visą programinės įrangos kūrimo procesą ir mažinti kaštus. Kertiniai šios praktikos aspektai yra efektyvesnis bendradarbiavimas tarp skirtingų disciplinų inžinierių ir saugos testavimo veiklų automatizavimas, tad naujų produktų bei paslaugų išleidimas į rinką tampa spartesnis.
Taip pat ši praktika leidžia žymiai greičiau aptikti ir pašalinti atsiradusius saugos pažeidimus. Kuo greičiau šie pažeidimai yra aptinkami, tuo mažiau kainuoja jų pašalinimas. Jeigu pažeidimai nėra pašalinami, tikimybė tapti kibernetinių išpuolių taikiniu vis didėja. Įvykus kibernetinei atakai, įmonėms padaroma žala gali būti labai didelė – ir sunkiai išmatuojama, tiek materialiniu, tiek viešojo įvaizdžio sugadinimo aspektu.
Kaip „DevSecOps“ praktikos paveiks pažangių verslo įmonių procesus netolimoje ateityje? Kaip manote, kokios tendencijos vyraus šių praktikų taikymo srityje?
Esu tikras, kad „DevSecOps“ praktika įmonėse turėtų būti taikoma vis dažniau, kadangi ji leis užtikrinti aukštą saugos lygį ir optimizuoti kaštus, skirtus jam palaikyti. Įmonių vadovai taip pat vis geriau supranta šios praktikos svarbą ir šiai sričiai tendencingai skiria vis didesnį dėmesį, kadangi niekas nenori nukentėti nuo išpirkos reikalavimo atakos ar prarasti konfidencialius klientų duomenis.
„DevSecOps“ srities pagrindinis tikslas išliks aptikti ir šalinti saugos pažeidžiamumus kuo greičiau ir efektyviau. Šį tikslą leis pasiekti vis tobulėjantys automatizacijos įrankiai, saugos politikos automatizacija ir sistemų metrikų analizė, pasitelkiant mašininį mokymą.