Журнал "Information Security/ Информационная безопасность" #2, 2020

ции на ранних этапах процесса поставки программного обеспечения является одним из основных принципов DevOps. Обратная связь не только помогает гарантировать, что вы даете клиентам то, что они на самом деле хотят, но и в конечном итоге снижает нагрузку на команды разработки. Governance – управляемость Под управляемостью понимают набор метрик и критериев, с помощью которых компании оценивают процесс разработки ПО и получают гарантии, что отдача от инвестиций в технологии соответствует ожиданиям. Кроме соответствия биз- нес-целям также обеспечивается выпол- нение требований общих стандартов, OWASP, PCI 3.2 и др. NoOps Тип организации управления процес- сом создания систем, при котором все управление процессом создания про- дукта отдано внешним командам (воз- можно, внешним провайдерам продуктов автоматизации) или полностью автома- тизировано внутри компании. Такая орга- низация ставит своей целью минимизи- ровать или исключить внутренние пози- ции управления разработкой или создать выделенные роли. Shifting Left – "сдвиг влево" к самым ранним этапам цикла SDLC С увеличением скорости создания про- дуктов возрастают риски безопасности кода и проблемы с соответствием тре- бованиям в различных приложениях, группах и средах, так как проверка без- опасности существенно замедляет про- цесс выпуска новых сборок продукта. Сдвиг влево предполагает интеграцию процессов оценки рисков, тестирования безопасности и оценки соответствия на ранних этапах конвейера поставки. Он делает процессы создания продукта и контроля его качества и безопасности параллельными. Это позволяет обнару- живать потенциальные риски безопас- ности и связанные с ними задержки в выпуске релизов на более ранних ста- диях разработки, что значительно сни- жает затраты на исправление ошибок, ускоряет выпуск новых версий и упро- щает решение проблем безопасности и надежности ПО. Общий язык, единый репозиторий инструментов и обратная связь – основы автоматизации В любой компании есть множество ролей, которые сильно влияют на успеш- ность цифровой трансформации, и авто- матизация процессов должна отвечать интересам каждой роли. Разработчики, пытающиеся ускорить релизы, системные администраторы, запускающие скрипты для рутинных задач, менеджеры, уста- навливающие расписание на автогене- рацию отчетов, – всем нужно что-то, что автоматизирует их работу, и это что-то должно уметь гибко и просто подстраи- ваться под непрерывные изменения. Компаниям нужен общий язык автома- тизации на уровне всего бизнес-процесса и всех пользователей. Это не значит, что должен быть некий единый продукт, автоматизирующий все процессы и инструменты, это значит, что не должно быть перекоса, когда "слабое звено" тормозит процессы или создает излиш- ние риски, связанные с человеческим фактором. Если разработчики исполь- зуют передовые решения для автомати- зации разработки, но потом сталкивают- ся с многодневным ручным согласова- нием развертывания релиза в производ- ственной среде или тестированием без- опасности кода, то, очевидно, возникнет желание оптимизировать и автоматизи- ровать и эти процессы. И для каждого из них, как правило, выбирается свой инструмент автоматизации. В какой-то мере быстрое развитие автоматизации и легкость цифровизации зависит от имеющихся технологических партнерств различных производителей, обеспечивающих интеграцию технологий и упрощение их совместного использо- вания. Для этого нужно четко понимать производственную нишу каждого инстру- мента. Ярким примером такой класси- фикации по нишам является периоди- ческая таблица инструментов DevOps от XebiaLabs. Но это только часть проблем. Совре- менная компания, как правило, имеет большое количество команд, вовлеченных в процесс разработки, причем эти команды не всегда имеют одинаковый уровень зре- лости. Как же с этим бороться? Создание единого методологического и инструмен- тального репозитория, а также формиро- вание сообщества энтузиастов-новаторов, способных реализовывать инновационные подходы, методологии и инструментарий, позволяют другим командам быстро дости- гать высокого уровня зрелости. Такое сообщество может объединять членов раз- личных команд, помогает понять их потреб- ности, способствует развитию совместной работы и обмену практиками автоматиза- ции, специфичными конкретно для этой компании. Группа новаторов создает место для формирования новых связей, о необхо- димости которых многие даже не подо- зревали. Для успешного масштабирования автоматизации требуются как технологии, так и пользователи, которые хотят и могут воспользоваться преимуществами авто- матизации. Для повышения эффективности авто- матизации бизнес-процессов компании необходимо найти платформу автомати- зации всего процесса разработки, кото- рая имеет необходимую аналитику для создания эффективной обратной связи в управлении процессами разработки. Особенно важна аналитика, которая может сказать, как используется авто- • 43 РАЗРАБОТКИ www.itsec.ru Реклама