Тренды DevSecOps 2022 от GitLab
Вы все знаете про исследования DORA от Google о текущем развитии DevOps. Однако, помимо DORA, есть и другие интересные отчеты о состоянии индустрии. Например, ежегодные исследования GitLab, которые содержат в себе данные не только о DevOps, но также и о DevSecOps. В этом посте мы поделимся наиболее интересными цифрами из отчета за 2022 год:
🔹71% специалистов по ИБ оценивают меры безопасности своей организации на «хорошо» и «отлично».
🔹57% сотрудников отделов безопасности сказали, что в их организациях уже внедрен или в течение года будет внедрен Shift Left подход.
🔹Сканировать стали больше: SAST используют 53%, DAST – 55%, 60% сканируют контейнеры, 56% используют сканеры зависимостей (SCA) и 61% проверяют соответствие лицензий.
🔹Больше половины специалистов по ИБ (53%) считают, что ответственность за безопасность должны нести все отделы компании в равной мере. А среди разработчиков и DevOps c этим согласны только около 40% респондентов.
🔹В течение трех последних лет наибольший процент специалистов по ИБ (47% в 2022) говорит, что разработчики находят менее четверти доступных ошибок в коде… другими словами, 75% ошибок остаются на поиск для команды безопасности.
🔹57% респондентов считают, что безопасность является одним из KPI для разработчиков. В то же время 56% специалистов по ИБ отметили, что им трудно добиться от разработчиков приоритизации исправления уязвимостей в коде вместо разработки новых фичей.
🔹Большинство респондентов из отделов безопасности (54%) считают, что больше всего им поможет в работе в будущем использование AI/ML. Интерес к AI/ML вырос резко на 33% с 2021 по 2022.
🔥 Cкоро ждите отдельного поста с итогами свежего опроса GitLab — сравним, что изменилось с прошлого года.
#аналитика
Вы все знаете про исследования DORA от Google о текущем развитии DevOps. Однако, помимо DORA, есть и другие интересные отчеты о состоянии индустрии. Например, ежегодные исследования GitLab, которые содержат в себе данные не только о DevOps, но также и о DevSecOps. В этом посте мы поделимся наиболее интересными цифрами из отчета за 2022 год:
🔹71% специалистов по ИБ оценивают меры безопасности своей организации на «хорошо» и «отлично».
🔹57% сотрудников отделов безопасности сказали, что в их организациях уже внедрен или в течение года будет внедрен Shift Left подход.
🔹Сканировать стали больше: SAST используют 53%, DAST – 55%, 60% сканируют контейнеры, 56% используют сканеры зависимостей (SCA) и 61% проверяют соответствие лицензий.
🔹Больше половины специалистов по ИБ (53%) считают, что ответственность за безопасность должны нести все отделы компании в равной мере. А среди разработчиков и DevOps c этим согласны только около 40% респондентов.
🔹В течение трех последних лет наибольший процент специалистов по ИБ (47% в 2022) говорит, что разработчики находят менее четверти доступных ошибок в коде… другими словами, 75% ошибок остаются на поиск для команды безопасности.
🔹57% респондентов считают, что безопасность является одним из KPI для разработчиков. В то же время 56% специалистов по ИБ отметили, что им трудно добиться от разработчиков приоритизации исправления уязвимостей в коде вместо разработки новых фичей.
🔹Большинство респондентов из отделов безопасности (54%) считают, что больше всего им поможет в работе в будущем использование AI/ML. Интерес к AI/ML вырос резко на 33% с 2021 по 2022.
🔥 Cкоро ждите отдельного поста с итогами свежего опроса GitLab — сравним, что изменилось с прошлого года.
#аналитика
🔥9❤3
Методология FinOps набирает популярность по всему миру, и компании все чаще задумываются о том, как им оптимизировать экономическую эффективность своей IT-инфраструктуры. Для этого существует множество специализированных инструментов и подходов, но мы рекомендуем вам начать с самого простого.
Коллеги из Yandex Cloud разработали специальные приложения, которые позволяют достаточно просто управлять эффективностью виртуальных машин и останавливать их, когда в этих ресурсах нет необходимости. Например, выключать ВМ ночью или в выходные, когда ваши разработчики не используют их
Есть 2 разновидности инструмента: VM Watchdog и VM Folder Watchdog.
VM Watchdog позволяет выключать одну конкретную ВМ по заданному расписанию, а VM Folder Watchdog – сразу все виртуальные машины, которые находятся в определенном каталоге, что значительно упрощает процесс для компаний с большими объемами ресурсов.
❗️Эти инструменты позволяют максимизировать эффект модели Pay As You Go – то есть мы платим только за те ресурсы, которые используем в настоящий момент времени.
Подробности об инструментах и инструкции для развертывания:
➡️ VM Watchdog
➡️ VM Folder Watchdog
#инструменты
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍4❤1
⚙️ Open Source-инструменты для DevSecOps
Со-основатель и технический директор Hilbert Team Алексей Цыкунов выступил на первой масштабной конференции по Application Security и DevSecOps в Казахстане AppSecFest Almaty, где поделился опытом построения DevSecOps-пайплайна с помощью Open Source-инструментов:
“Если мы нашли ошибку на фазе разработки, то исправить её достаточно легко без особых затрат. Когда ошибка найдена на этапе сборки, временные и финансовые затраты возрастают в 2 раза, на фазе интеграционного тестирования – в десятки раз, а на финальной стадии – в сотни. Поэтому крайне важно учить своих разработчиков безопасной разработке и устранять уязвимости на этапе создания кода”.
Алексей подробно разобрал, какими Open Source-инструментами можно пользоваться на каждой фазе DevSecOps-пайплайна, начиная с pre-commit до post-deploy.
➡️ Выступление целиком смотрите на YouTube
#мероприятия_оффлайн
Со-основатель и технический директор Hilbert Team Алексей Цыкунов выступил на первой масштабной конференции по Application Security и DevSecOps в Казахстане AppSecFest Almaty, где поделился опытом построения DevSecOps-пайплайна с помощью Open Source-инструментов:
“Если мы нашли ошибку на фазе разработки, то исправить её достаточно легко без особых затрат. Когда ошибка найдена на этапе сборки, временные и финансовые затраты возрастают в 2 раза, на фазе интеграционного тестирования – в десятки раз, а на финальной стадии – в сотни. Поэтому крайне важно учить своих разработчиков безопасной разработке и устранять уязвимости на этапе создания кода”.
Алексей подробно разобрал, какими Open Source-инструментами можно пользоваться на каждой фазе DevSecOps-пайплайна, начиная с pre-commit до post-deploy.
➡️ Выступление целиком смотрите на YouTube
#мероприятия_оффлайн
🔥9❤3🤔1
Улыбнул слайд из доклада Дмитрия Родионова из Yandex Cloud 😁⬆️
Миграция в облако — действительно серьезное мероприятие, тем более если у вас не было опыта работы с облачной инфраструктурой. Но она всегда себя окупает в дальнейшем!
А чтобы не было «депрессии», выбирайте себе надежных партнеров, которые пройдут с вами этот путь и помогут разобраться со всеми этими новыми технологиями 🙂
Миграция в облако — действительно серьезное мероприятие, тем более если у вас не было опыта работы с облачной инфраструктурой. Но она всегда себя окупает в дальнейшем!
А чтобы не было «депрессии», выбирайте себе надежных партнеров, которые пройдут с вами этот путь и помогут разобраться со всеми этими новыми технологиями 🙂
😁18👍2❤1
⛈ На что заказчику обратить внимание при миграции
Наша команда реализовала более 100 миграций в облака, и мы заметили несколько распространенных ошибок, с которыми сталкиваются заказчики при миграции в облачную инфраструктуру:
1️⃣ Отсутствие IT-аудита
Миграция в облако требует тщательной подготовки, включая анализ текущей инфраструктуры и ее совместимости с облачными решениями. Чтобы избежать непредвиденных проблем и дополнительных затрат, проведите предпроектное исследование инфраструктуры и составьте ее детальное описание.
2️⃣ Мало внимания к безопасности
Нельзя полагаться исключительно на облачного провайдера для обеспечения безопасности данных. Бизнесу важно использовать соответствующие меры защиты, такие как Security Groups, ACL, антивирус, антиспам, анти-DDoS, WAF, NGFW и др, чтобы избежать утечек данных и нарушения конфиденциальности.
3️⃣ Отсутствие бэкапов
Для обеспечения сохранности данных перед миграцией сделайте резервную копию системы и делайте бэкапы настроек после каждого успешно выполненного этапа миграции.
4️⃣ Недостаток опыта работы с облаками
Сотрудники вашей компании, которые будут в дальнейшем работать с облачной инфраструктурой, должны быть обучены и готовы к работе в новой среде, чтобы избежать ошибок и снижения производительности.
5️⃣ Отсутствие мониторинга
Правильная настроенная система мониторинга является залогом успешной миграции, т к она позволяет определить отклонения в работе инфраструктуры и информационных систем и вовремя предпринять меры по их устранению.
#экспертиза
Наша команда реализовала более 100 миграций в облака, и мы заметили несколько распространенных ошибок, с которыми сталкиваются заказчики при миграции в облачную инфраструктуру:
1️⃣ Отсутствие IT-аудита
Миграция в облако требует тщательной подготовки, включая анализ текущей инфраструктуры и ее совместимости с облачными решениями. Чтобы избежать непредвиденных проблем и дополнительных затрат, проведите предпроектное исследование инфраструктуры и составьте ее детальное описание.
2️⃣ Мало внимания к безопасности
Нельзя полагаться исключительно на облачного провайдера для обеспечения безопасности данных. Бизнесу важно использовать соответствующие меры защиты, такие как Security Groups, ACL, антивирус, антиспам, анти-DDoS, WAF, NGFW и др, чтобы избежать утечек данных и нарушения конфиденциальности.
! Одно из уязвимых мест безопасности – отсутствие или некорректная конфигурация механизмов аутентификации и управления доступами в облаке. Скоро на этом канале мы анонсируем бесплатный курс по этой теме, разработанный совместно с Yandex Cloud.
3️⃣ Отсутствие бэкапов
Для обеспечения сохранности данных перед миграцией сделайте резервную копию системы и делайте бэкапы настроек после каждого успешно выполненного этапа миграции.
4️⃣ Недостаток опыта работы с облаками
Сотрудники вашей компании, которые будут в дальнейшем работать с облачной инфраструктурой, должны быть обучены и готовы к работе в новой среде, чтобы избежать ошибок и снижения производительности.
5️⃣ Отсутствие мониторинга
Правильная настроенная система мониторинга является залогом успешной миграции, т к она позволяет определить отклонения в работе инфраструктуры и информационных систем и вовремя предпринять меры по их устранению.
#экспертиза
👍13🔥2❤1
⚡️ЦБ позволит банкам хранить сведения с банковской тайной в облачных сервисах
Законопроект, который регламентирует IT-аутсорсинг и использование облачных сервисов, уже готов и находится на этапе межведомственного согласования по словам представителей ЦБ.
Это важное событие для рынка, потому что откроет банкам дорогу к активному использованию всех преимуществ сторонних облачных платформ, а также позволит им сократить затраты на внутренние IT-подразделения и сэкономить сотни миллионов рублей в год.
В одном из следующих постов расскажем об успешном кейсе по миграции в облако сервиса для получения банковских гарантий.
#дайджест_новостей
Законопроект, который регламентирует IT-аутсорсинг и использование облачных сервисов, уже готов и находится на этапе межведомственного согласования по словам представителей ЦБ.
Это важное событие для рынка, потому что откроет банкам дорогу к активному использованию всех преимуществ сторонних облачных платформ, а также позволит им сократить затраты на внутренние IT-подразделения и сэкономить сотни миллионов рублей в год.
В одном из следующих постов расскажем об успешном кейсе по миграции в облако сервиса для получения банковских гарантий.
#дайджест_новостей
Ведомости
ЦБ разработал законопроект, упрощающий оборот материалов с банковской тайной
Инициатива регламентирует IT-аутсорсинг и использование облачных сервисов
🔥14👍2❤1🤔1
🏦 Банки и облако
Быстрое развитие финтеха подталкивает классические банки к цифровизации и миграции в облака, чтобы оставаться актуальными для рынка. Возник даже новый тип облачных сервисов – Bank as a Service (BaaS).
Что такое BaaS?
Это модель банкинга на основе открытых интерфейсов. Банковская инфраструктура предоставляется через Open API и позволяют бизнесу легко и с минимальными затратами интегрировать новые финансовые продукты и услуги в свои сервисы.
BaaS выгоден для обеих сторон: бизнес получает доступ к финансовой инфраструктуре, а банк остается в тренде и находит новые каналы для роста. В будущем банки фактически станут маркетплейсами для бизнеса.
Какие есть примеры BaaS в России:
✔️Альфа-Банк в партнерстве c X5 Retail Group запустили кастомизируемый сервис Distributed Treasury and Cash Management (DTCM), который позволяет корпоративным клиентам банка управлять платежами, кредитно-депозитными продуктами и пулом ликвидности внутри больших холдингов.
✔️Росбанк планирует в этом году масштабировать интеграции с партнерами в рамках BaaS и уже создал платформу WSO2 API Manager для создания и управления API.
✔️ Делобанк предоставляет API для подключения финтех-компаний к СПБ.
Центробанк также активно поддерживает развитие направления, в прошлом году представил концепцию внедрения открытых API на финансовом рынке РФ, а в этом году рекомендует внедрение следующих API – информация об организации и продуктах организации, сведения о счетах и продуктах клиента, заявки на действия с банковским счетом, инициирование платежа. В 2024 и 2025 их использование станет обязательным.
#экспертиза
Быстрое развитие финтеха подталкивает классические банки к цифровизации и миграции в облака, чтобы оставаться актуальными для рынка. Возник даже новый тип облачных сервисов – Bank as a Service (BaaS).
Что такое BaaS?
Это модель банкинга на основе открытых интерфейсов. Банковская инфраструктура предоставляется через Open API и позволяют бизнесу легко и с минимальными затратами интегрировать новые финансовые продукты и услуги в свои сервисы.
BaaS выгоден для обеих сторон: бизнес получает доступ к финансовой инфраструктуре, а банк остается в тренде и находит новые каналы для роста. В будущем банки фактически станут маркетплейсами для бизнеса.
Какие есть примеры BaaS в России:
✔️Альфа-Банк в партнерстве c X5 Retail Group запустили кастомизируемый сервис Distributed Treasury and Cash Management (DTCM), который позволяет корпоративным клиентам банка управлять платежами, кредитно-депозитными продуктами и пулом ликвидности внутри больших холдингов.
✔️Росбанк планирует в этом году масштабировать интеграции с партнерами в рамках BaaS и уже создал платформу WSO2 API Manager для создания и управления API.
✔️ Делобанк предоставляет API для подключения финтех-компаний к СПБ.
Центробанк также активно поддерживает развитие направления, в прошлом году представил концепцию внедрения открытых API на финансовом рынке РФ, а в этом году рекомендует внедрение следующих API – информация об организации и продуктах организации, сведения о счетах и продуктах клиента, заявки на действия с банковским счетом, инициирование платежа. В 2024 и 2025 их использование станет обязательным.
#экспертиза
👍11❤1
🔥 Мы запустили новый курс – Аутентификация и управление доступами
Для обеспечения информационной безопасности каждой компании важно использовать надежные механизмы управления доступом к своей инфраструктуре. А системы управления доступом в свою очередь неразрывно связаны с решениями в области
Если всё работает верно, то мы можем определить подлинность каждого пользователя и предоставить ему ровно тот объем доступа, которые ему необходим для выполнения своих задач.
На новом курсе вы научитесь:
● использовать возможности ресурсной модели Yandex Cloud для создания максимально защищенной облачной инфраструктуры;
● настраивать федеративный доступ между вашей IT-инфраструктурой и облаком с помощью SAML-совместимых федераций удостоверений;
● настраивать гранулярный доступ для каждого пользователя в соответствии с его ролью с помощью Yandex Cloud IAM;
● настраивать аутентификацию в приложениях с помощью Keycloak;
● использовать сервисные аккаунты для работы с облачными ресурсами из написанных вами программ;
● настроите мониторинг безопасности облачной инфраструктуры, сбор и анализ аудитных логов с помощью Yandex Audit Trails.
#курсы
Для обеспечения информационной безопасности каждой компании важно использовать надежные механизмы управления доступом к своей инфраструктуре. А системы управления доступом в свою очередь неразрывно связаны с решениями в области
идентификации, аутентификации и авторизации пользователей.Если всё работает верно, то мы можем определить подлинность каждого пользователя и предоставить ему ровно тот объем доступа, которые ему необходим для выполнения своих задач.
На новом курсе вы научитесь:
● использовать возможности ресурсной модели Yandex Cloud для создания максимально защищенной облачной инфраструктуры;
● настраивать федеративный доступ между вашей IT-инфраструктурой и облаком с помощью SAML-совместимых федераций удостоверений;
● настраивать гранулярный доступ для каждого пользователя в соответствии с его ролью с помощью Yandex Cloud IAM;
● настраивать аутентификацию в приложениях с помощью Keycloak;
● использовать сервисные аккаунты для работы с облачными ресурсами из написанных вами программ;
● настроите мониторинг безопасности облачной инфраструктуры, сбор и анализ аудитных логов с помощью Yandex Audit Trails.
#курсы
🔥16👍6
Наши DevOps-инженеры Алексей Колосков и Михаил Кажемский в новой статье рассказали, как встроить автоматизированные проверки безопасности в цикл разработки и находить уязвимости на самых ранних этапах, а также какие для этого использовать бесплатные и опенсорс-инструменты.
Статья будет полезна руководителям и сотрудникам отделов информационной безопасности, разработки и DevOps-команд.
#статьи
Please open Telegram to view this post
VIEW IN TELEGRAM
vc.ru
Как построить DevSecOps-пайплайн на Open Source-инструментах — Разработка на vc.ru
DevOps-инженеры Hilbert Team Алексей Колосков и Михаил Кажемский рассказали, как встроить автоматизированные проверки безопасности в цикл разработки и обнаруживать уязвимости на самых ранних этапах, экономя нервы, время и деньги.
🔥16❤11💯1
Последние несколько лет опросы GitLab показывают, что безопасность является главным приоритетом на рынке, и эта тенденция продолжается в 2023 году. Организации стремятся внедрять проверки безопасности на ранних этапах разработки, а разработчики чаще находят уязвимости и используют инструменты на основе AI и ML для проверки кода.
Несколько цифр из нового отчета GitLab:
Отчет Gitlab Global DevSecOps Report 2023: https://about.gitlab.com/developer-survey/
Предыдущий отчет: https://t.iss.one/hilbertteam/9
#аналитика
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍5
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥6💯1