Процессы DevSecOps в каждой индустрии необходимо выстраивать по-разному
15.12.2025
CNews: Что такое DevSecOps и почему она превратилась в необходимость?
Василий Саутин: DevSecOps (Development – разработка, Security – безопасность, Operations – экплуатация) — это культура безопасной разработки. Появилась она относительно недавно. Ей предшествовало формирование методологии DevOps (Development – разработка, Operations – эксплуатация), основанной на тесном сотрудничестве между командами, которое предполагает общую ответственность за результат. В DevOps все процессы непрерывны и взаимосвязаны. Эта практика намного эффективнее других и сокращает время от начала разработки идеи до выхода конечного продукта на рынок (time-to-market) в 8 раз, что является одним из ее ключевых преимуществ.
В условиях роста угроз безопасная разработка стала необходимостью. DevSecOps, как и DevOps, предполагает коллективную ответственность, сотрудничество и высокий уровень автоматизации, а также соблюдение стандартов защиты данных и использование российского ПО.
Последний пункт для многих становится камнем преткновения. Компании не хотят переходить на отечественные инструменты, предпочитая оставаться на иностранных решениях, которые порой дешевле и эффективнее. Переход на российские продукты кажется слишком долгим, дорогим и сложным, особенно с учетом доступных бесплатных открытых компонентов и возможности продолжать использовать западное ПО, в том или ином виде.
CNews: При том, что использование иностранных инструментов небезопасно.
Василий Саутин: Это подтверждается большим количеством кибератак в этом году. Переход на российские инструменты, среди прочих мер, означает повышение уровня безопасности. Отечественные решения, установленные on-premise или в частном облаке, гарантируют надежную защиту данных. Объясняя заказчикам преимущества нашей платформы «Сфера», мы не обещаем, что замена инструмента, которым пользовались двадцать лет, будет дешевой и быстрой. Но в долгосрочной перспективе внедрение эффективного российского решения окупается. Предотвратить утечку данных дешевле, чем исправлять последствия атак, не говоря уже о репутационных потерях.
Чтобы сделать условия более комфортными, мы даем возможность сэкономить на стоимости владения: по мере развития нашей платформы поддержка становится дешевле из года в год. Помимо этого, предлагаем различные дополнительные опции, в числе которых — инструменты на основе ИИ, что важно для наших заказчиков как с точки зрения повышения эффективности разработки, так и с учетом реализации нацпроекта «Экономика данных».
CNews: С какими сложностями может быть связано внедрение DevSecOps?
Василий Саутин: Переходя на практику DevSecOps, компания передает ответственность за защиту данных и систем в руки разработчиков и позволяет каждому участнику процесса производства ПО влиять на вопросы безопасности. Для этого необходима решимость, которая есть не у всех. Сегодня лидером безопасной разработки, безусловно, являются финтех-компании, которые чаще всего подвергаются атакам и одновременно меньше всего пострадали от них в этом году.
CNews: Они оказались лучше всех подготовлены?
Василий Саутин: В финтехе преобладает кастомная разработка. Если посмотреть на рынок, весь костяк команд разработчиков работает на банки, страховые компании и e-commerce. Процесс DevSecOps у них был выстроен еще до необходимости переходить на отечественные решения. Они же первыми осознали эту необходимость. А поскольку в этом секторе весь бизнес строится на разработке, то там сформировался и определенный уровень независимости от вендоров.
CNews: А как обстоят дела в других сегментах?
Василий Саутин: В финтехе понимание важности безопасной разработки на более высоком уровне, но сложности есть у всех. И здесь мы приходим к ключевой роли консалтинга. Те, кто в компаниях отвечают за безопасность, должны обращаться к экспертам и лучшим практикам, чтобы внедрить и выстроить DevSecOps у себя.
Второй барьер — это скепсис по отношению к российским инструментам. Согласно указу президента России, к 2030 году 80% предприятий должны перейти на российское ПО. И рынок отечественных решений уже сейчас достаточно зрелый для этого. Однако компании медлят. Они рассматривают и тестируют российские разработки, но выжидают, желая получить тот же уровень эффективности и функциональности, который им обеспечивали зарубежные решения.
При этом нет единого шаблона безопасной разработки, который бы подходил всем. Процессы DevSecOps в каждой индустрии необходимо выстраивать по-разному. Поэтому мы подходим индивидуально к каждому запросу, оценивая зрелость внутренней разработки, особенности бизнес-процессов и то, как наши инструменты помогают в достижении целей и решении задач клиента.
CNews: Вы упоминали, что один из барьеров для внедрения DevSecOps — это цена. Как в этом случае удается переубедить заказчика?
Василий Саутин: Все понимают, что времена непростые, и рынок диктует свои правила. Но здесь плавность подхода со стороны заказчика сочетается с гибкостью наших предложений. Например, мы можем предложить MVP — минимально жизнеспособный продукт с ограниченным функционалом. На нем заказчик может проверить эффективность, стоимость владения, различные гипотезы использования. И после апробации перейти на полную версию платформы «Сфера», развивать которую мы тоже можем с учетом запросов и пожеланий клиента. Такое тестирование, в том числе, снимает возражения против российских разработок. Заказчики могут на практике оценить их уровень и потенциал.
CNews: Если подытожить — какие основные преимущества у DevSecOps?
Василий Саутин: Основное — это возможность не допустить уязвимостей внутри кода и надежно защитить ИТ-ландшафт организации. Любая атака причиняет ущерб и приводит к серьезным убыткам, которых в случае внедрения DevSecOps можно было бы избежать.
CNews: Как выстроить культуру DevSecOps в компании? Почему это важно и можно ли без этого обойтись?
Василий Саутин: Первое, что необходимо осознать компаниям, — это то, что мы живем в эпоху эскалации киберпреступности. Внедрение культуры безопасной разработки необходимо, чтобы избежать последствий атак, которые становятся все чаще и серьезнее. DevSecOps часто называют методологией, потому что это не отдельные практики, а комплекс мер, необходимых для сохранения технологического суверенитета компании. Нельзя исключить ни одну из составляющих этого комплекса. Невозможно построить процесс безопасной разработки без коллективной ответственности, сотрудничества и соблюдения стандартов, а также вдумчивого использования открытых компонентов.
CNews: Как в ближайшее время будет развиваться российский рынок разработки?
Василий Саутин: Безопасность будет главным драйвером развития. Если раньше на него влияло внедрение той или иной методологии DevOps, то сейчас на первый план выходит вопрос защищенности, который в 2025 году окончательно доказал свою актуальность.
Рынок готов к замене зарубежных решений на отечественные. Российским вендорам стали доверять больше, появились успешные кейсы по переходу с иностранных инструментов на наши платформы и продукты. С учетом того, что миграция занимает время, компаниям следует готовить фундамент уже сейчас. Изучать лучшие практики, выбирать подходящее решение. Немаловажен также выбор специалистов, которые могут обучить построению безопасной разработки. С учетом того, что культура DevSecOps только развивается в российском ИТ-сообществе, опытных экспертов пока не так много.
CNews: Как выбрать подходящее решение? На что в первую очередь смотреть?
Василий Саутин: Подходящее решение стоит оценивать по уровню зрелости и смотреть на те эффекты, которые оно может привнести в ИТ-ландшафт. И, конечно, на соотношение цены и качества. В текущих условиях это один из основных факторов.