Исторически разработка и безопасность находятся по разные стороны баррикад. Даже с точки зрения бизнеса различные проверки со стороны безопасности выглядят как ненужные для достижения конечного результата, улучшения показателей и т.д. Основная причина — в том, что безопасность и разработка разнесены как территориально, так и организационно, у них разные цели, задачи и руководители. И самое главное — разный подход к понятию «качественный» продукт.
Все бы ничего, но это провоцирует рост проблем безопасности, различным утечкам данных, внутренним конфликтам, потери репутации. А в России сегодня велика потребность в программном обеспечении, особенно в надежном и качественном.
Изменить ситуацию может сближение и взаимная вовлеченность в процесс отделов безопасности и разработки. Во-первых, безопасность ПО — это такой же атрибут качества, как и его стабильная работа. Во-вторых, внедрять ИБ-инструменты в процесс разработки — проще, чем может показаться изначально. Всё это объединяется термином DevSecOps, который ориентирован, как это ясно из названия, на то, чтобы объединить процессы разработки и безопасности.
