DevSecOps — когда «инфраструктура как код» встречается с «безопасностью как код»
Если вы, как и я, отвечаете за успешный запуск критически важных приложений, помогающих бизнесу быть на передовой в цифровой трансформации, то, несомненно, поймете, о чем пойдет речь в этой статье. Для руководства такой миссией, помимо навыков проектирования архитектуры, требуются также навыки менторинга и управления инженерными ресурсами, а также контроль работы бизнес-аналитиков, выявляющих требования. Эти навыки в значительной степени детерминированы и управляемы по сравнению с другими, необходимыми для обеспечения надежной и безопасной работы приложений. Из-за этого разработчиков часто противопоставляют администраторам инфраструктуры и специалистам по информационной безопасности, считая их «последней миле» на пути к запуску приложения. Но у администраторов и «безопасников» возникают следующие проблемы:
Инфраструктура. Планирование мощностей и провиженинг инфраструктуры по своей сути сложный и длительный процесс. Он требует времени, чтобы убедиться в доступности необходимых и достаточных вычислительных ресурсов, систем хранения данных, пропускной способности сети еще до того, как будет написана первая строчка кода. Необходимо прогнозировать увеличение нагрузки и резервировать соответствующие ресурсы, что приводит к их избыточному выделению только для того, чтобы избежать их нехватки в будущем, когда они потребуются. Это контрастирует с работой разработчиков, для которых скорость, гибкость и реакция на изменения являются фундаментальными принципами. Если вы используете локальные датацентры (aka On-Prem), то поймете меня.
Безопасность. Из-за традиционного разделения разработки и эксплуатации, у разработчиков есть только ограниченная высокоуровневая информация об инфраструктуре, на которой будет работать их приложение. И «проверка безопасности» часто откладывается на поздние этапы разработки, хотя по-прежнему рассматривается как обязательное условие для запуска в продакшн. Это, как известно, вызывает серьезные трения между разработчиками и специалистами по информационной безопасности, поскольку очень часто требования по безопасности могут повлечь за собой значительные изменения в архитектуре и дизайне приложения, вызывая задержки и недовольство архитекторов и разработчиков.
В обеих вышеуказанных проблемах прослеживается общая черта — отсутствие прозрачности, общения и сотрудничества между разработчиками, администраторами и специалистами по информационной безопасности. Понять причины проблем нетрудно, поскольку эти группы исторически работают изолированно. Но можно посмотреть на эту проблему с другой стороны — неспособность видеть межфункциональные проблемы. Например, с точки зрения разработчика, он разрабатывает критически важную функциональность для бизнеса. Однако для специалистов по эксплуатации и безопасности потенциальные сбои в работе приложения превосходят любую бизнес-ценность, которую оно может принести. И до тех пор, пока не появится работающий механизм, обеспечивающий кросс-функциональное видение, ситуация останется прежней. К счастью, такой подход появился естественным образом, и сегодня, как мы увидим ниже, он жив и процветает.
Инфраструктура как код (infrastructure as code)
«Инфраструктура как код» (Infrastructure-as-code) или «программируемая инфраструктура» — это практика провиженинга и управления ресурсами датацентра с помощью инструментов, которые описывают ресурсы (вычислительные, системы хранения данных, сеть), в форме машиночитаемых файлов. Для описания используются языки, похожие на языки программирования высокого уровня, с помощью которых разработчики могут автоматизировать настройку, развертывание, управление инфраструктурой, используя современные практики разработки программного обеспечения. Преимущества такого подхода невозможно переоценить, поскольку благодаря контролю версий появляется независимость, контроль, иммутабельность, повторяемость и трассируемость. Это первая практика, которая появилась для облегчения понимания межфункциональных проблем между разработчиками и администраторами инфраструктуры. С развитием этой практики стали проявляться два фундаментальных сдвига:
У разработчиков появляется мощный инструмент для работы с аппаратными ресурсами, хоть и виртуальными, с помощью знакомого им простого интерфейса: API и библиотек. Внезапно развертывание и эксплуатация становятся просто продолжением процесса разработки. Полезным побочным эффектом становится то, что разработчики теперь понимают требования к уровню обслуживания, такие как высокая доступность, масштабируемость, надежность и отказоустойчивость.
Администраторы инфраструктуры получают четкое представление о динамике разработки программного обеспечения, скорости и гибкости, которые становятся все более привычными. И они сами приобретают навыки разработки, внося свой вклад в программируемую инфраструктуру. Уходят проблемы нехватки и избыточности выделенных ресурсов, а также конфликты при изменениях, что позволяет им плотно взаимодействовать с разработчиками в достижении «эластичности» и «эфемерности» программируемого инфраструктурного облака.
Слияние двух вышеупомянутых трендов известно как «DevOps», ознаменовавшее появление «инфраструктуры как кода»:
Безопасность как код (security as code)
Успех практики «инфраструктура как код» послужил примером для привлечения специалистов по информационной безопасности к обсуждению требований безопасности на ранних этапах разработки. Основным требованием для практики «безопасность как код» является возможность реализации программного управления безопасностью, автоматизации определения требований к безопасности, возможность оценки и обеспечения безопасности до и после запуска приложений, а также на протяжении всего жизненного цикла разработки. К безопасности инфраструктуры и приложений предъявляются определенные фундаментальные требования, такие как видимость, прозрачность и повторяемость средств управления безопасностью. Сложность состоит в том, чтобы реализовать все это без ущерба для скорости разработки, которая нужна разработчикам, особенно с учетом наличия в их арсенале платформ автоматизации инфраструктуры и DevOps.
Как и в случае с программируемой инфраструктурой, описанной в предыдущем разделе, здесь также происходят два фундаментальных сдвига в мышлении:
Специалисты по информационной безопасности теперь считают, что можно ожидать от разработчиков следования практикам безопасного программирования и использования наглядного и автоматизированного способа анализа безопасности кода. Теперь уязвимости кода выявляются на ранних этапах. Также специалистам по информационной безопасности становится проще предоставлять разработчикам платформы с усиленной безопасностью («security hardened») и полностью пропатченные («fully patched»), на основе которых разработчики будут создавать приложения.
Разработчики понимают, что обеспечение безопасности приложений должно быть «сдвинуто влево» и это безусловный критерий для продвижения приложения по дальнейшим этапам жизненного цикла (Dev, QA, Staging, Production).
Конвергенция двух вышеупомянутых сдвигов известна как «SecOps» — «безопасность как код» (security as code):
Собираем все вместе —- «DevSecOps»
На основе вышеизложенного должно быть очевидно, что напрашивается объединение подходов «инфраструктура как код» и «безопасность как код». Как показано на рисунке ниже, эти практики естественным образом сливаются для гармоничного взаимодействия между различными ролями и используемыми системами.
Можно выделить несколько фундаментальных принципов DevSecOps:
Обеспечьте гибкость и скорость, инвестируя в hardened-инструменты, охватывающие весь жизненный цикл приложений и ресурсов: разработка-тестирование-развертывание-мониторинг.
Подвергайте все сомнению, обеспечивая прозрачность на каждом этапе CI / CD-конвейера.
Сделайте безопасность фундаментальным и безусловным критерием приемки на раннем этапе процесса разработки. Другими словами, «сдвиньте безопасность влево».
Относитесь ко всему с подозрением, включая код, конфигурацию, артефакты, инфраструктуру, и установите оценку безопасности в качестве требования для продвижения по конвейеру.
Как можно чаще прогоняйте приложение через Dev, QA, Staging и Production.
И, наконец, автоматизируйте, автоматизируйте и автоматизируйте.
Решения для этого можно разработать и собственными силами, но выгоднее использовать готовые продуманные решения. Есть несколько работоспособных платформ с открытым исходным кодом, создание аналогов которых может потребовать серьезных ресурсов, знаний и опыта.
Основные характеристики платформы оркестрации, ориентированной на DevSecOps
На рынке существует множество решений для компаний, заинтересованных во внедрении DevSecOps-практик. При выборе любой такой платформы необходимо учитывать следующие критерии:
Программный интерфейс с открытым API. Красивый пользовательский интерфейс — это здорово, но с его помощью невозможно сделать серьезную интеграцию со сторонними продуктами.
Возможность интегрироваться и взаимодействовать с существующей ИТ-экосистемой. В enterprise-мире много легаси-систем и есть большая вероятность, что это будут критически важные системы для бизнеса.
Должна быть возможность развертывания в различных конфигурациях инфраструктуры без привязки к облакам.
Обеспечение безопасности приложений до их развертывания в рабочей среде.
Установка базового уровня безопасности (baseline) и постоянный мониторинг отклонений от него.
Поддержка оценки безопасности как на определенный момент времени, так и на основе мониторинга и событий. Это очень важно для отслеживания таких метрик, как MTTD (Mean-time-to-detect, среднее время обнаружения) и MTTR (Mean-time-to-recover, среднее время восстановления) для постоянного улучшения процессов.
Сбор всей необходимой информации о проблеме и предложение способов ее устранения — зачем говорить о проблеме, если мы не знаем, как ее решить?
Обеспечение информированности о работе конвейера через отправку уведомлений.
Поддержка механизмов реагирования на инциденты через интеграцию с другими системами, чтобы анализ «первопричин» проводился сразу же, а не через несколько дней после инцидента, повлиявшего на бизнес.
Материал подготовлен в рамках курса «Внедрение и работа в DevSecOps». Если вам интересно узнать подробнее о формате обучения и программе, познакомиться с преподавателем курса — приглашаем на день открытых дверей онлайн. Регистрация здесь.
DevSecOps
Что такое DevSecOps?
DevSecOps — сокращенно от development, security и operations — автоматизирует интеграцию задач безопасности на всех этапах жизненного цикла разработки программного обеспечения, от проектирования до интеграции, тестирования, развертывания и доставки ПО.
DevSecOps — закономерный и необходимый виток в развитии подходов к обеспечению безопасности в ходе разработки ПО. Ранее задачи безопасности «достраивались» в конце жизненного цикла разработки ПО как нечто второстепенное, при этом за обеспечение и тестирование (QA) безопасности отвечали отдельные команды специалистов.
Ситуация оставалась под контролем, пока обновления ПО выходили не чаще, чем пару раз в год. С появлением методик Agile и DevOps, направленных на сокращение длительности циклов разработки ПО до нескольких недель или даже дней, традиционная стратегия «достраивания» безопасности стала неприемлемой.
DevSecOps интегрирует задачи по обеспечению безопасности приложений и инфраструктуры в процессы и инструменты Agile и DevOps. DevSecOps позволяет решать проблемы безопасности по мере их появления, когда это можно сделать с меньшими затратами времени и средств (до развертывания функций в рабочей среде). Кроме того, DevSecOps позволяет разделить ответственность за безопасность приложений и инфраструктуры между специалистами по разработке, безопасности и эксплуатации ИТ-систем. Это позволяет реализовать девиз DevSecOps — «Разработка ПО. Безопаснее. Быстрее» — путем автоматизации доставки безопасного ПО, не замедляя цикл разработки.
Преимущества DevSecOps
Основными преимуществами DevSecOps являются скорость и безопасность. Скорость разработки, безопасность и качество кода растут, а затраты снижаются.
«Цель и смысл внедрения DevSecOps — сформировать такой образ мышления, при котором каждый участник несет ответственность за безопасность. Это обеспечивает быструю и масштабируемую передачу решений по безопасности тем, кто лучше всего владеет контекстом, без ущерба для безопасности», — считает Шэннон Лиц, соавтор «Манифеста DevSecOps».
Быстрая, экономичная доставка программного обеспечения
При разработке программного обеспечения в среде, не использующей принципы DevSecOps, проблемы с безопасностью могут привести к огромным временным потерям. Исправление кода и проблем безопасности требует больших затрат времени и средств. Быстрая, безопасная доставка ПО в соответствии с принципами DevSecOps позволяет сократить временные и денежные затраты, минимизируя потребность в устранении проблем безопасности на поздних этапах.
Интеграция задач безопасности исключает необходимость повторных проверок и ненужных повторных сборок, тем самым повышая безопасность и качество кода.
Улучшенные, упреждающие меры безопасности
DevSecOps внедряет процессы обеспечения кибербезопасности с первого этапа цикла разработки. Проверка, аудит, сканирование и тестирование кода на безопасность проводятся на каждом этапе цикла разработки. Проблемы безопасности устраняются сразу же после их обнаружения. Это исключает появление дополнительных зависимостей. Внедрение технологий защиты на ранних этапах цикла снижает расходы на устранение проблем безопасности.
Кроме того, более эффективное взаимодействие между специалистами по разработке, безопасности и эксплуатации улучшает способность организации оперативно реагировать на инциденты и проблемы. Методы DevSecOps ускоряют исправление уязвимостей и помогают специалистам по безопасности сосредоточиться на более важных задачах. Кроме того, эти методы упрощают контроль за соблюдением нормативных требований и устраняют потребность в доработке проектов с целью повышения безопасности.
Ускоренное исправление уязвимостей безопасности
Главное преимущество DevSecOps — скорость исправления обнаруженных уязвимостей безопасности. Поскольку DevSecOps интегрирует задачи сканирования и исправления уязвимостей в жизненный цикл выпуска, необходимость обнаруживать и исправлять общеизвестные уязвимости (CVE) вручную исчезает. Это ограничивает возможности злоумышленников по использованию уязвимостей в общедоступных производственных системах.
Автоматизация, совместимая с современными подходами к разработке
Если в организации применяется конвейер непрерывной интеграции/непрерывной доставки программного обеспечения, тестирование кибербезопасности можно интегрировать в наборы автоматических тестов.
Автоматизация проверок безопасности в высокой степени зависит от проекта и организационных целей. Автоматизация тестирования позволяет включить зависимости ПО в подходящие уровни исправлений и удостовериться в том, что продукт успешно прошел этап модульного тестирования безопасности. Кроме того, для тестирования и защиты кода могут применяться методы статического и динамического анализа до развертывания итогового обновления в рабочей среде.
Повторяющийся, адаптивный процесс
По мере накопления организацией опыта укрепляется и ее система безопасности. DevSecOps подходит для реализации повторяющихся, адаптивных процессов. Это обеспечивает последовательную, масштабируемую реализацию мер безопасности в процессе адаптации к изменениям и новым требованиям. Для сформированной среды DevSecOps характерны надежная автоматизация, управление конфигурациями, координация, контейнеры, неизменяемая инфраструктура и даже бессерверные вычисления.
Рекомендации по DevSecOps
DevSecOps должен стать закономерным этапом интеграции средств обеспечения безопасности в процессы разработки, доставки и эксплуатации.
Сдвиг влево
DevSecOps реализует принцип «сдвиг влево» (Shift left): это помогает программистам переместить задачи безопасности с правой части (т. е. с конца) цикла доставки DevOps в его левую часть (т. е. в начало). В среде DevSecOps безопасность с самого начала является неотъемлемой частью процесса разработки. В организациях, следующих принципам DevSecOps, инженеры и архитекторы кибербезопасности входят в состав команды разработчиков. Их задача — убедиться в том, что каждый компонент и элемент конфигурации в стеке исправлен, настроен согласно требованиям безопасности и задокументирован.
Концепция «сдвига влево» позволяет специалистам DevSecOps обнаруживать и устранять риски и угрозы безопасности на самых ранних этапах. Разработчики стремятся не только обеспечить эффективную работу продукта, но и реализовать меры безопасности еще на этапе разработки.
Обучение в сфере безопасности
Безопасность — это сочетание инженерно-технических решений и нормативных требований. Организации должны объединить в одно сообщество специалистов по разработке, эксплуатации и нормативному контролю, чтобы каждый сотрудник разбирался в корпоративной системе безопасности и следовал единым стандартам.
Все участники жизненного цикла доставки должны быть знакомы с базовыми принципами защиты приложений, списком из 10 самых опасных уязвимостей OWASP (Open Web Application Security Project), методами тестирования безопасности приложений и другими подходами к проектированию. Разработчики должны хорошо понимать модели угроз, проверки на соответствие нормативным требованиям и обладать практическими навыками оценки рисков, угроз и реализации средств контроля безопасности.
Культура: взаимодействие, люди, процессы и технологии
Высокие лидерские качества помогают сформировать культуру, стимулирующую изменения внутри организации. Важную роль в DevSecOps играет эффективное донесение информации об обязанностях владельцев продуктов и процессов с точки зрения безопасности. Это обязательное условие для того, чтобы разработчики и инженеры могли стать владельцами процессов и взять ответственность за свою работу.
Специалисты по эксплуатации DevSecOps должны создать удобную для себя систему, выбирая технологии и протоколы в зависимости от конкретного проекта и команды. Предоставив сотрудникам возможность самостоятельно создавать рабочую среду в соответствии с текущими потребностями, вы превратите их в проактивных участников, заинтересованных в результате проекта.
Отслеживаемость, контролируемость и прозрачность
Отслеживаемость, контролируемость и прозрачность в рамках стратегии DevSecOps обеспечивают углубленный анализ и повышают безопасность среды:
DevSecOps и IBM
Организации, внедряющие инструменты и методы DevSecOps, закладывают мощную основу для цифровой трансформации и модернизации приложений, так как потребность в автоматизации затрагивает все больше направлений деятельности и ИТ-операций.
Прежде чем внедрять обширную автоматизацию, начните с небольших проектов, успешность которых можно измерить. Впоследствии это можно будет оптимизировать и расширить на другие проекты в других подразделениях организации.
Сотрудничая с IBM, вы получаете доступ к средствам автоматизации на основе ИИ, включая готовые рабочие процессы, которые помогут повысить эффективность каждого процесса, высвободив время для решения более важных ИТ-задач и ускорения инноваций.
Кроме того, IBM предоставляет набор оптимизированных для DevSecOps инструментов и услуг, поддерживающих конвейеры безопасной непрерывной доставки, интегрированного тестирования безопасности и облачной доставки.
Сделайте следующий шаг:
Начните работу с учетной записью IBM Cloud уже сегодня.
Консалтинговые услуги DevSecOps
Философия интеграции методов безопасности в процесс DevOps
В последнее время внедрение культуры DevOps в работу привело к значительным изменениям процесса обработки данных. Для организаций методы DevOps приводят к получению ряда несомненных преимуществ, таких как гибкость, оперативность и сокращение расходов, а также бессерверные вычисления, динамичный провижиниг и оплата по мере использования/оплата по факту оказания услуги.
Несмотря на огромную популярность, одного DevOps недостаточно в случаях, требующих безопасной доставки кода. Это привело к развитию нового подхода (известного, как DevSecOps), интегрирующего методы безопасности с DevOps.
В чем необходимость DevSecOps?
DevOps позволил разрабатывать кастомизированное программное обеспечение и приложения для бизнеса в гораздо более короткие сроки за счет объединения с командой разработки и управления. Однако, в большинстве случаев, вопрос обеспечения безопасности не является основным приоритетом и часто считается препятствием на пути к стремительному развитию.
Хотя компании искренне сосредоточены на преодолении традиционных барьеров между командами разработки, тестирования и управления, многие из них до сих пор уделяют недостаточно внимания вопросу интеграции безопасности в процесс разработки, что делает их особенно подверженным риску возникновения угроз и уязвимостей.
Здесь нам и поможет метод/механизм DevSecOps, который подразумевает внедрение безопасности, создавая различные средства защиты для DevOps. Благодаря постоянному мониторингу, оценке и анализу процесса, DevSecOps гарантирует выявление возможных неполадок и слабых мест уже на ранней стадии процесса разработки и их мгновенное устранение.
Различия между DevOps и DevSecOps
DevOps относится к налаживанию эффективного взаимодействия между командами разработки, тестирования и управления с целью обеспечения непрекращающейся и стабильной доставки приложений. А DevSecOps, в свою очередь, интегрирует компонент безопасности в процессы DevOps.
DevSecOps основным образом фокусируется на разрешении проблем, связанных с обеспечением безопасности автоматизированных процессов DevOps, таких как управление настройками, анализ композиции программного обеспечения и др.
Что такое DevSecOps?
DevOps широко известен как набор функций и инструментов для упрощения взаимодействия между командами разработчиков программного обеспечения и инфраструктуры. Это, в свою очередь, обеспечивает процесс быстрой и надежной доставки приложений и услуг между организациями.
DevOps включает несколько основных областей работы: автоматизированный провижининг, постоянная интеграция, стабильный мониторинг и разработка на базе тестирования.
Будучи расширением стратегии DevOps, DevSecOps внедряет инструменты управления безопасностью в рабочий процесс DevOps и автоматизирует основные процессы, связанные с обеспечением безопасности. Принципы безопасности вводятся на первых этапах процесса разработки и применяются в течение всего цикла разработки/производства.
В дополнение к интеграции безопасности в DevOps культуру, DevSecOps владеет уникальным набором информации по развитию приложения и способствуют продуктивному сотрудничеству между командами.
В среде IT нет единогласного мнения по поводу названия DevSecOps, иногда вы можете встретить DevOpsSec, SecDevOps или Rugged DevOps.
Основные компоненты DevSecOps
Компаниям критически важно осуществить технический и культурный сдвиг, взаимодействуя с DevSecOps, чтобы эффективно справляться с актуальными, в настоящий момент, угрозами безопасности.
На практике подход DevSecOps включает в себя шесть основных компонентов:
Внедрение стратегии DevSecOps
Переход от DevOps к DevSecOps — не самая простая задача, но вполне выполнимая при наличии хорошего плана действий.
Существуют три ключевых шага, на которые нужно обратить внимание при внедрении DevSecOps:
Основные инструменты DevSecOps
Внедрение DevSecOps подразумевает оценку всех возможных рисков системы безопасности приложения и при тестировании кода, для чего особо необходимо владение специальными инструментами.
Использование инструментов автоматизированного тестирования в интегрированной среде разработки (IDE) позволяет разработчикам внедрять элемент безопасности в рабочие процессы DevOps, избегая необходимость каждый раз запускать новую среду для тестирования кода.
Перед вами несколько инструментов, разработанные с целью упрощения процесса интегрирования DevSecOps:
DevSecOps — главный приоритет бизнеса
Элемент безопасности в DevOps — это не исключительно технический инструмент, он также включает деятельность людей и отлаженное функционирование всех процессов. Наряду с укреплением безопасности, успешное внедрение DevSecOps подразумевает анализ всех возможных бизнес-рисков. Ожидается, что в глобальном масштабе рынок DevSecOps вырастет на 33.7% в период с 2017 до 2023 года.
Сервисы DevSecOps обеспечивают не только безопасную, но и значительно более быструю доставку приложений.
Активное внедрение DevSecOps и переосмысление текущего подхода к управлению и безопасности помогает компаниям достичь небывалый уровень успеха.
Влияние DevSecOps на бизнес в цифрах
| Прогноз мирового рынка DevSecOps 5.9 млрд. долларов к 2023 Совокупный среднегодовой темп роста (CAGR) 31.2% | 2:7 Среднее соотношение необходимых Devsecops сканирований приложений ежегодно | 91% Компаний рассматривают возможность интеграции безопасности во время разработки программного обеспечения |
| >11,5 X Скорость программ DevSecOps по сравнению с традиционными методами разрешения неполадок | 338% Готовых/зрелых DevOps компаний, готовых интеграции автоматизированной безопасности | 50% Рост прибыли после внедрения DevSecOps по мнению экспертов по безопасности программного обеспечения |
| 80% Команд разработчиков внедрят DevSecOps в свои процессы к 2021 | 24% IT компаний частично применяют DevSecOps практики, начиная с 2018 | 2.5Х Преимущество показателей эффективности фирм DevSecOps по сравнению с конкурентами |
Как внедрить DevSecOps?
DevSecOps собрал всё в единый оптимизированный процесс, включив безопасность на уровне кода, тем самым обеспечив защиту приложений на всех уровнях процесса производства.
5 признаков успешной реализации DevSecOps:
Бизнес-преимущества DevSecOps
Переходя от DevOps к DevSecOps, организации совершенствуют процессы конвейера разработки/пайплайна. Повышение эффективности сотрудничества команд разработки и безопасности обеспечивает выявление уязвимостей и минимизацию угроз на ранних стадиях.
DevSecOps также предоставляет ряд других преимуществ для компаний, таких, как, например, большая гибкость и скорость реагирования в вопросах безопасности, усовершенствованная коммуникация между командами, а также быстрое выявление уязвимостей кода. Это позволяет организациям быстро реагировать и адаптироваться к новым изменениям.
Некоторые дополнительные преимущества также являются результатом внедрения DevSecOps, например:
Автоматическая защита кода – DevSecOps снижает риск возникновения проблем с безопасностью из-за человеческого фактора за счет автоматизации тестов, высокий охватов, согласованности и максимальной автоматизации процессов. Любые проблемы будут выявлены и устранены мгновенно после их обнаружения.
Непрерывное обеспечение безопасности – благодаря средствам автоматизации, организации могут максимально отладить механизмы тестирования и предоставления отчетности, тем самым, гарантируя немедленное решение всех возникающих проблем безопасности.
Использование ресурсов безопасности – DevOps автоматизирует большинство стандартных процессов безопасности, таких как мониторинг событий, управление учетными записями, безопасность кода и оценка уязвимостей. Это позволяет специалистам по безопасности сэкономить время и сосредоточить свое внимание на выявлении угроз и устранении стратегических рисков.
