09.04.2025  Экспертиза, Безопасность, Менеджмент

Встраивая безопасность непосредственно в общие процессы и операции, команды разработчиков могут масштабироваться, чтобы удовлетворять свои потребности сегодня и в будущем, пишет на портале The New Stack Джош Лемос, директор по информационной безопасности GitLab. Уже более десяти лет DevSecOps обещает повысить уровень безопасности за счет устранения разделения между командами разработки (Dev), безопасности (Sec) и эксплуатации (Ops). При правильном подходе этот подход интегрирует безопасность в весь жизненный цикл разработки, повышая скорость, снижая затраты и уменьшая количество инцидентов безопасности. Однако организации часто думают, что они «делают DevSecOps», в то время как они просто создали новые команды (Dev, Sec и Ops) и прикрутили новые инструменты безопасности, которые не позволяют достичь интегрированного, управляемого процесса. Целый перечень инструментов безопасности (SAST, DAST, SCA, CSPM) порождает горы обнаруженных уязвимостей, для управления которыми требуются целые команды безопасности. Аналогичным образом разработчикам приходится просеивать удручающее количество шума. Организации в этом не виноваты. Индустрия безопасности продвигает все больше инструментов для выявления проблем, не улучшая качество организационных процессов или рабочих потоков, чтобы добиться лучших результатов. Безопасность, которая поверхностно добавляется к существующим процессам, а не действительно интегрируется, создает значительное операционное бремя в рабочих процессах ... читать далее.