DevOps

Лишние процессы и конфликты в команде существенно тормозят разработку приложений. Готовые продукты часто получаются уязвимыми для хакеров и далекими от идеала в плане качества. Исправить ситуацию поможет подход DevOps, подразумевающий эффективное взаимодействие всех членов команды и автоматизацию этапов разработки. Рассказываем, в чем заключается такая методика, как она внедряется и контролируется.

Что такое DevOps

DevOps (от «development» и «operations» — разработка и эксплуатация) — усовершенствованный подход к созданию программного обеспечения. В рамках этой практики разработчики плотно взаимодействуют с IT-отделом, что позволяет быстрее выпускать и совершенствовать приложения.

Оптимизировать работу помогают две методики — Continuous integration (непрерывная интеграция) и Continuous delivery (непрерывная доставка). Для удобства функции часто обозначаются общей аббревиатурой CI/CD. Это пути автоматизации всех процессов создания ПО от сборки кода до развертывания продукта. За их внедрение и реализацию отвечает DevOps-инженер — специалист, владеющий основами работы программистов, системных администраторов и тестировщиков.

Методология также подразумевает перетекание одной фазы разработки в другую. Как это происходит на практике:

• Команда определяет требования к продукту на основе комментариев заказчика. Менеджер описывает ожидания от проекта, разработчики предлагают структуру и этапы создания, администраторы расписывают конкретные шаги.
• Команда под руководством DevOps-инженера создает среду CI/CD, в рамках которой процессы проходят оптимизировано и быстро. Одновременно пишутся скрипты для управления проектом и настраиваются кластеры для тестирования.
• Разработчики пишут и собирают код. Обычно работают не над всем приложением, а над отдельными модулями, чтобы оперативнее отправить проект на анализ. Затем запускают готовые скрипты для компиляции кода и передачи его в отдел тестирования.
• Запускаются ручные и автоматические тестирования, в рамках которых выявляются недоработки.
• В некоторых случаях (зависит от типа поставки) после успешного тестирования происходит контейнеризация — упаковка кода и других компонентов ПО в единый файл для запуска в фиксированной рабочей среде. Затем проект уходит на серверы, после чего начинается этап непрерывного развертывания.

Если компания еще не внедрила методологию, скорее всего сотрудники вручную реализуют все эти этапы. В итоге работники тратят много времени и энергии на рутинные процессы, из-за чего у них пропадает мотивация быстрее выпустить продукт на рынок. К тому же, в процессе ручного тестирования специалисты могут допустить ошибки, поэтому готовый продукт окажется низкого качества.

Преимущества DevOps для команды

Самое главное преимущество — снижение стоимости разработки и обслуживания ПО благодаря оптимизации процессов. Еще несколько причин перейти на эту методологию:

• Меньше ошибок в программах. Циклы разработок значительно короче традиционных, поэтому чаще выходят коды. А это значит, что появляется больше возможностей найти и устранить проблемы.
• Быстрая реакция на требования заказчиков. Над ПО коллективно трудится больше вовлеченных специалистов, поэтому проще воплотить пожелания.
• Более оперативный запуск приложений. Специалисты параллельно трудятся в рамках своих процессов и используют инструменты для быстрой сборки ПО, поэтому могут оперативнее развертывать разработки.
• Создание гибких систем, отвечающих всем стандартам. Использование облачных решений позволяет задействовать необходимое количество ресурсов и быстро масштабироваться.

Еще одно, более частное, преимущество — отсутствие конфликтов внутри команды. Объясним на простом примере. Допустим, компания занимается созданием ПО, DevOps еще не внедрили. Цель группы разработки — написание кода, IT-команды — поддержание работоспособности серверов. В процессе тестирования приложения возникает проблема, и обе стороны отказываются признавать ошибку, перекладывая ответственность друг на друга. Итог — конфликт между специалистами, долгая обработка неисправности. Ситуацию спасет DevOps-инженер, который прекрасно разбирается в процессах разработки, поэтому легко определяет недостатки приложений и их причины. Также специалист сможет организовать продуктивное взаимодействие всех отделов, принимающих участие в создании ПО.

Как внедрить DevOps

Перед тем, как знакомить команду с принципами подхода, следует ввести программные решения для их реализации. Это:

• Облачные хранилища, которые позволяют эффективно распоряжаться используемыми мощностями. Оптимальный вариант — готовые платформы PaaS для запуска кодов и хранения информации.
• Системы контроля версий для отслеживания процессов разработки приложений. Они позволяют видеть все модификации кода и при необходимости делать откат к предыдущим конфигурациям.
• CI/CD-инструменты для автоматизации работы и настройки скриптов.
• Решения для автоматизации управления инфраструктурой.
• Системы работы с контейнерами для оперативной доставки кодов и развертывания конфигураций для тестирования или запуска на серверах.

Помимо инструментов для разработки и развертывания ПО следует предусмотреть механизмы контроля безопасности. Например, SAST — статический анализ кодов приложений.

SAST для обеспечения безопасности в рамках DevOps

SAST (Static Application Security Testing) позволяет проверить код (полностью или частично) на ошибки и уязвимости без запуска ПО. Тестирование работает на основе баз типичных и специфических угроз для приложений. Также оно проверяет коды на соответствие стандартам.

Ключевые преимущества SAST:

• Охват большинства платформ разработки и языков программирования.
• Легкое и быстрое внедрение.
• Высокая скорость тестирования.

Анализ ПО на этапе разработки позволяет получать точные сведения о локации потенциальных угроз. У создателей будет возможность оперативно устранить уязвимости до развертывания проекта.

Эффективность тестирования напрямую зависит от способа реализации инструмента SAST. Например, многие компании отдали предпочтение комплексному решению для обеспечения безопасности приложений — Solar appScreener. Модуль тестирования здесь работает на основе собственной технологии Fuzzy Logic Engine, благодаря которой удалось снизить количество ложных сигналов (False Positive) и повысить эффективность анализа.

Еще несколько полезных функций Solar appScreener для безопасной разработки ПО:

• Обнаружение проблем безопасности на любом этапе разработки приложений.
• Выявление закладок — вредоносных элементов кода.
• Встраивание SAST в цикл безопасной разработки приложений (Secure SDLC).
• Повышение качества итоговых кодов приложений.

Solar appScreener заменяет несколько решений для тестирования кодов приложений. Это удобно, поскольку можно управлять процессами из одного интерфейса.

DAST для обеспечения безопасности в рамках DevOps

Dinamic Application Security Testing (DAST) — динамическое тестирование уже готовых и работающих приложений, которые еще до конца не завершены и могут дорабатываться. В процессе анализа имитируются атаки на ПО — используемый анализатор воссоздает различные действия с целью проверить интерфейс, работу функций, скорость отклика на запросы и другие факторы. Иметь доступ к исходному коду и знать особенности приложений для этого не нужно, поэтому такое тестирование получило название «метод черного ящика».

Перечислим ключевые преимущества динамического тестирования:

• Возможность обнаружить уязвимости, которые никак себя не проявляли до запуска ПО.
• Отсутствие False Positive.
• Выбор степени агрессивности атаки для всесторонней проверки работы приложений (при использовании сканеров в автоматическом анализаторе).

Минусы тоже есть. Во-первых, это потребность в имитированной рабочей среде, которая должна максимально повторять реальную. Во-вторых — отсутствие полного покрытия кода, из-за чего можно упустить часть уязвимостей. Чтобы нивелировать этот недостаток, DAST в рамках DevOps часто выполняют в комплексе с SAST. Solar appScreener предоставляет такую возможность, поскольку в анализаторе реализованы оба модуля. По результатам платформа сформирует коррелированный отчет, который даст представление об обнаруженных уязвимостях и способах их устранения.

OSA для обеспечения безопасности в рамках DevOps

Open Source Analysis (OSA) — комплекс инструментов для анализа безопасности Open Source-компонентов, которые нередко присутствуют в составе ПО. Особенно эффективны такие методы, как:

• Software Composition Analysis (SCA) — анализ состава приложений, который позволяет обнаружить уязвимости и проблемы, связанные с открытыми компонентами. С его помощью удается выявить все фрагменты Open Source, отследить их зависимости, проверить сторонние библиотеки на наличие программных закладок. По результатам SCA-анализа можно сделать вывод, насколько безопасно и целесообразно использовать заимствованные компоненты, не возникнет ли проблем с лицензированием ПО.
• Supply Chain Security (SCS) — контроль безопасности цепочки поставок, представляющей собой путь программы со старта разработки до доставки конечным пользователям. В рамках SCS на основе определенных метрик каждому звену цепи присваивается оценка доверия, позволяющая прогнозировать возможные риски.
• Анализ лицензионных рисков — инструмент, благодаря которому можно обнаружить устаревшие лицензии, несовместимость лицензий для разных Open Source-компонентов и другие проблемы, связанные с лицензированием.

В Solar appScreener реализован модуль OSA, позволяющий внедрять перечисленные виды тестирований. Чтобы выполнить проверку, достаточно загрузить в анализатор Software Bill of Materials (SBOM) — файл с перечнем конкретных компонентов ПО, их зависимостей и библиотек. Solar appScreener проверит его по общедоступным базам уязвимостей и собственным, разработанным командой ГК «Солар». Если SBOM-файла нет, анализатор соберет его из других исходных данных, например, архива с программным кодом.