Эксперты Positive Technologies выяснили, какое место занимает безопасная разработка кода в российских компаниях различных отраслей, что думают ИТ-специалисты об этом подходе и готовы ли они активно участвовать во внедрении DevSecOps-практик. Опрос также помог определить, что мотивирует разработчиков участвовать в DevSecOps и каких знаний из этой области им сегодня не хватает.
Почти половина респондентов (45%) признают, что DevSecOps — это полезная практика, которая, однако, подходит не всем компаниям в силу специфики их бизнеса. Ключевым элементом защиты любой организации DevSecOps называют 18% опрошенных.
Место DevSecOps в безопасности компаний сильно зависит от профиля бизнеса и особенностей ее приложений. В любой организации существуют приложения, эксплуатация уязвимостей в которых является недопустимым с точки зрения бизнеса событием. Если они становятся доступны хакеру, то в конечном итоге их взлом приведет к опасным последствиям для жертвы. В данном случае безопасность кода — очевидный приоритет для бизнеса.
Более трети опрошенных сообщили, что организации, в которых они работают, уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. Каждый седьмой участник уверен, что за DevSecOps будущее, но не в их компаниях.
Половина респондентов готова участвовать в DevSecOps-процессах компаний, где они сейчас работают, если у них появится понимание, что этот подход сможет защитить разрабатываемые продукты от хакеров. Десятая часть опрошенных указала, что отправной точкой для развития безопасной разработки должна быть постановка задачи от руководства, которое будет контролировать ее исполнение. За такие средства мотивации, как прозрачные KPI, повышение зарплаты и выделение отдельной роли по DevSecOps в команде, проголосовало по 9% респондентов.
Аналитики также попросили ИТ-специалистов указать, в чем им не хватает экспертизы и про какие элементы безопасной разработки они хотели бы получить больше знаний. В число самых популярных ответов вошли практические кейсы внедрений (35%), а также информация о процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%).
В ходе исследования выяснилось, что возможность изучать DevSecOps в рабочее время есть более чем у четверти респондентов (28%). Такое же число специалистов осваивает это направление в свободное от работы время. При этом каждый шестой респондент хочет подробнее узнать о безопасной разработке, ее методах, процессах и инструментах, но не может выделить для этого ни рабочее, ни личное время; четверть опрошенных специалистов пока не готова погружаться в ее изучение.