«Экспресс 42» — команда консалтингового направления компании «Флант» — этой осенью представила результаты очередного ежегодного «Исследования состояния DevOps в России 2025». В этом году в исследовании приняли участие более 3300 респондентов. Опрос показал, что каждый четвёртый из них занимается задачами, связанными с информационной безопасностью (ИБ), и более 70% респондентов используют в работе инструменты и метрики ИБ. Информационная безопасность в целом была одним из главных фокусов State of DevOps Russia 2025 года.
В этой статье поделимся основными выводами о развитии ИБ в сфере DevOps в России.
Метрики
Внедрение метрик ИБ в работу уже не в новинку: их пока не применяет всего четверть опрошенных. В списке наиболее популярных метрик — время восстановления после инцидента, количество нарушений политик безопасности, количество критических уязвимостей и время реагирования на инциденты. Очевидно, что есть акцент на обнаружении инцидентов и времени их устранения, что закономерно, особенно если до этого в компании не учитывались никакие метрики безопасности.
Интеграция ИБ в процессы разработки
Инструменты ИБ довольно широко распространены в процессах разработки и поставки: они встроены в весь цикл DevOps у 40% респондентов. Ещё у четверти опрошенных инструменты интегрированы, однако результат их работы не понятен. Около 14% участников также поделились, что у них инструменты не настроены и не дают результата. Таким образом, компании, похоже, испытывают трудности с внедрением и использованием средств безопасности. Как мы увидим в одном из пунктов ниже, командам внедрения часто не хватает экспертизы — вероятно, это и приводит к сложностям с интеграцией инструментов, их настройкой и интерпретацией результатов.
Системы, в которые интегрируется ИБ
Инструменты ИБ в основном встроены в конвейеры CI/CD, что неудивительно: CI/CD позволяет быстро получать обратную связь и автоматизировать рутинные операции. Второе место по популярности (с небольшой процентной разницей) делят системы баг-трекинга, реестры образов контейнеров, а также системы управления секретами (например, Deckhouse Stronghold) и SAST/DAST (тестирование кода на уязвимости).
Инструменты ИБ для повседневной работы
При развёртывании приложений в Kubernetes чаще всего используют сканеры/линтеры уязвимостей образов и конфигураций. При этом больше 20% респондентов вообще не применяют средства ИБ в повседневной работе.
Использование Open Source-продуктов для обеспечения ИБ
Отношение к ПО с открытым исходным кодом в целом положительное, однако использует его только половина участников исследования: у остальных Open Source не является приоритетом, не подходит под корпоративные политики или до его внедрения пока просто не дошли руки.
Наиболее важные факторы при выборе инструментов ИБ
Больше всего ценятся те средства обеспечения ИБ, которые предлагают богатую функциональность, эффективно обнаруживают активность злоумышленников и могут интегрироваться в различные инфраструктуры. Эти критерии показались респондентам существенно важнее, чем, например, простота установки и настройки инструментов.
Сложности при использовании инструментов ИБ
Больше всего трудностей вызывают недостаток технической экспертизы у команды внедрения, проблемы совместимости с существующими системами и высокая стоимость инструментов. В то же время такие сложности, как «Нарушение рабочих процессов» и «Потеря производительности» оказались далеко не на первых местах. Из этого можно сделать вывод, что уже существуют решения ИБ, которые не сильно влияют на разработку и поставку.
Практики быстрой поставки кода при сохранении его качества и безопасности
Здесь наблюдается характерный для DevSecOps «сдвиг влево»: проверки безопасности внедряются в ранние этапы разработки и запускаются параллельно с потоками сборки и тестирования. Сокращение или отключение отдельных этапов для ускорения поставки кода применяет меньшинство — около 16% опрошенных.
Реакция на уязвимости, обнаруженные в процессе CI/CD
Чаще всего команды эскалируют инциденты, немедленно разрабатывают исправление и заново запускают полный цикл пайплайна. Немного реже (36% респондентов) уязвимости исправляют хотфиксами с запуском укороченного пайплайна. Реже всего в ответ на обнаружение уязвимости решают временно или полностью заблокировать поставку.
Способ получения уведомлений о найденных уязвимостях
Главные каналы получения информации об уязвимостях — инструменты CI/CD и электронная почта. Наименее популярно информирование через системы мониторинга — его выбирают всего около 15% опрошенных.
Таким образом, практики ИБ используются в DevOps уже довольно широко и продолжают набирать популярность:
- инструменты ИБ для большинства — привычный атрибут повседневной работы;
- стала очевидна ценность метрик ИБ;
- проверки безопасности внедряются в разработку с ранних этапов;
- при обнаружении уязвимостей команды всё реже блокируют поставку кода.
Тем не менее пока есть и проблемные области:
- до сих пор встречаются случаи, когда не используются никакие проверки безопасности;
- результаты работы ИБ-инструментов бывает сложно интерпретировать;
- у команд внедрения не всегда хватает экспертизы;
- средства ИБ могут быть плохо совместимы с инфраструктурой;
- инструменты ИБ дорогостоящие.
Минимизировать трудности можно, если внедрить в инфраструктуру «коробочное» решение, которое уже включает в себя нужные инструменты безопасности или имеет стандартные сценарии интеграции с ними и устраняет необходимость собирать собственную систему ИБ с нуля по частям. Пример такого решения — Deckhouse Kubernetes Platform (DKP).
Это сертифицированная по требованиям ФСТЭК России платформа управления контейнерными нагрузками.
- DKP делает неактуальным внедрение отдельных классов инструментов ИБ и тем самым снижает затраты на обеспечение безопасности.
- Благодаря автоматизации платформа на 80% сокращает объём ручных операций по обеспечению лучших практик ИБ.
- DKP интегрируется с CI/CD и имеет встроенные политики «сдвига влево»: проверки безопасности внедряются в начальные этапы разработки.
- Более 60 дашбордов мониторинга и более 300 преднастроенных уведомлений позволяют сократить время реакции на инцидент, а детальный аудит и структурированные логи — успешно расследовать их.
- Курс «Инструменты безопасности в Deckhouse Kubernetes Platform» знакомит с основными возможностями инструментов ИБ в DKP и позволяет развить техническую экспертизу команды.
Подробнее об организации безопасности в DKP можно узнать на специальной странице на сайте Deckhouse.