На securitymedia.org опубликована новая статья Андрея Красовского, директора по маркетингу Swordfish Security, на тему что ждет DevSecOps: применение искусственного интеллекта и машинного обучения .
Сегодня на ИТ-рынке есть как минимум три тенденции, стимулирующие развитие DevSecOps — это рост числа киберугроз, потребность в сокращении времени выхода продукта на рынок и, как следствие, увеличение частоты релизов. При этом компании все больше заботятся о выявлении уязвимостей на стадии создания ПО, внедряя практики безопасности в непрерывный процесс разработки и реализуя переход от DevOps к DevSecOps. Это позволяет уменьшить количество уязвимостей продуктов, повысить скорость реагирования на проблемы безопасности и снизить цену ошибок программистов, не затягивая при этом процесс разработки. Согласно прогнозам аналитиков, в 2022 году подходы DevSecOps внедрят более 90% компаний-разработчиков. По данным экспертов, рынок будет расширяться с максимальным среднегодовым темпом более 25%, в 2028 году его мировое значение достигнет 17,24 млрд долларов США.
DevSecOps предусматривает автоматизацию всех процессов — это одно из главных преимуществ методологии, позволяющее компаниям разрабатывать ПО в ускоренном режиме без ущерба безопасности. Согласно данным аналитического отчета «Hype Cycle for Application Security, 2022» компании Gartner, сегодня DevSecOps находится в фазе «Плато продуктивности». Это означает, что модель достигла высокой степени зрелости и получила широкое распространение, то есть стала мейнстримом.
В рамках перехода к DevSecOps многие ИТ-компании сталкиваются с трудностями на этапе встраивания инструментов анализа безопасности приложений (Application Security, или AppSec) в DevOps-разработку ПО. Они идут по пути «лоскутного» внедрения: реализуют кастомные интеграции с использованием разрозненных скриптов, которые сложно поддерживать и модернизировать. Такой подход имеет низкую эффективность, поскольку не позволяет построить полноценный процесс безопасной разработки и в полной мере использовать возможности инструментов DevSecOps.
Исходя из этих предпосылок, были разработаны DevSecOps-платформы, реализующие практику ASOC (Application Security Orchestration and Correlation). Данные инструменты работают в трех «измерениях» (оркестрация, корреляция и аналитика) и позволяют оперативно и бесшовно встраивать AppSec-инструменты во внутреннюю среду компании и реализовывать эффективный процесс безопасной разработки.
Подобные платформы появились на рынке не так давно, и у них пока низкий уровень проникновения — по данным Gartner, он составляет от 5% до 20% целевой аудитории. Но в реальности этот показатель еще меньше из-за низкого уровня осведомленности о существовании таких инструментов и их функциональных возможностях.
В будущем использование технологий искусственного интеллекта (Artificial Intelligence, AI) и машинного обучения (Machine Learning, ML) во всех трех функциональных областях DevSecOps-платформ, реализующих практику ASOC, позволит сократить до минимума количество ручных операций и ускорить процесс безопасной разработки.
Статья:Что ждет DevSecOps: применение искусственного интеллекта и машинного обучения (securitymedia.org)
