Что ждет DevSecOps: применение искусственного интеллекта и машинного обучения

Сегодня на ИТ-рынке есть как минимум три тенденции, стимулирующие развитие DevSecOps — это рост числа киберугроз, потребность в сокращении времени выхода продукта на рынок и, как следствие, увеличение частоты релизов. При этом компании все больше заботятся о выявлении уязвимостей на стадии создания ПО, внедряя практики безопасности в непрерывный процесс разработки и реализуя переход от DevOps к DevSecOps. Это позволяет уменьшить количество уязвимостей продуктов, повысить скорость реагирования на проблемы безопасности и снизить цену ошибок программистов, не затягивая при этом процесс разработки. Согласно прогнозам аналитиков, в 2022 году подходы DevSecOps внедрят более 90% компаний-разработчиков. По данным экспертов, рынок будет расширяться с максимальным среднегодовым темпом более 25%, в 2028 году его мировое значение достигнет 17,24 млрд долларов США. В этой статье вместе с Андреем Красовским, директором по маркетингу Swordfish Security, мы посмотрим, как будет развиваться DevSecOps в дальнейшем, и разберемся, какие аспекты процесса можно улучшить с помощью искусственного интеллекта и машинного обучения.

Тенденции развития рынка DevSecOps

DevSecOps предусматривает автоматизацию всех процессов — это одно из главных преимуществ методологии, позволяющее компаниям разрабатывать ПО в ускоренном режиме без ущерба безопасности. Согласно данным аналитического отчета «Hype Cycle for Application Security, 2022» компании Gartner, сегодня DevSecOps находится в фазе «Плато продуктивности». Это означает, что модель достигла высокой степени зрелости и получила широкое распространение, то есть стала мейнстримом.

В рамках перехода к DevSecOps многие ИТ-компании сталкиваются с трудностями на этапе встраивания инструментов анализа безопасности приложений (Application Security, или AppSec) в DevOps-разработку ПО. Они идут по пути «лоскутного» внедрения: реализуют кастомные интеграции с использованием разрозненных скриптов, которые сложно поддерживать и модернизировать. Такой подход имеет низкую эффективность, поскольку не позволяет построить полноценный процесс безопасной разработки и в полной мере использовать возможности инструментов DevSecOps.

Исходя из этих предпосылок, были разработаны DevSecOps-платформы, реализующие практику ASOC (Application Security Orchestration and Correlation). Данные инструменты работают в трех «измерениях» (оркестрация, корреляция и аналитика) и позволяют оперативно и бесшовно встраивать AppSec-инструменты во внутреннюю среду компании и реализовывать эффективный процесс безопасной разработки.

Подобные платформы появились на рынке не так давно, и у них пока низкий уровень проникновения — по данным Gartner, он составляет от 5% до 20% целевой аудитории. Но в реальности этот показатель еще меньше из-за низкого уровня осведомленности о существовании таких инструментов и их функциональных возможностях.

В будущем использование технологий искусственного интеллекта (Artificial Intelligence, AI) и машинного обучения (Machine Learning, ML) во всех трех функциональных областях DevSecOps-платформ, реализующих практику ASOC, позволит сократить до минимума количество ручных операций и ускорить процесс безопасной разработки. Ниже мы поговорим о том, какую пользу могут принести такие платформы уже в ближайшем время.

Технологии AI и ML в DevSecOps

Автоматическое создание CI/CD-пайплайнов

Нередко компании тратят 2–3 года на запуск только основных практик DevSecOps. Это очень много. Сократить срок внедрения можно за счет автоматической интеграции проверок безопасности в конвейеры разработки (CI/CD-пайплайны). AI позволяет инвентаризировать все компоненты программного продукта и генерировать соответствующие CI/CD-пайплайны, в рамках которых на каждом этапе жизненного цикла ПО вызываются нужные инструменты ИБ. Также искусственный интеллект помогает определять последовательность и необходимое количество точек контроля ПО (Quality Gates), которые используются для анализа сборки и принятия решения о том, готов ли продукт к выходу на следующий этап жизненного цикла. Такой подход позволит контролировать общую скорость всего процесса от запуска до финального релиза.

Автоматический онбординг компонентов ПО

В рамках перехода от DevOps к DevSecOps необходимо интегрировать в систему много новых инструментов и команд. Для этого потребуется выполнить большое количество операций. Для сокращения числа ручных задач, можно использовать онбординг — это эффективный способ для команды оперативно перестроить процессы DevOps под требования DevSecOps. Онбординг при помощи AI/ML автоматически собирает информацию о существующих компонентах программного продукта (кодовых базах, артефактах, экземплярах приложений), настраивает для работы с ними конвейеры ИБ и подготавливает таким образом взаимодействие с используемыми программными инструментами.

Автоматизированное управление процессами DevSecOps

Выполнить одномоментно все работы по внедрению DevSecOps невозможно. Чтобы построить эффективный процесс безопасной разработки и получить от него ожидаемые результаты, нужно контролировать внедрение ИБ-инструментов и мониторить прогресс. С помощью технологий AI и ML можно непрерывно собирать данные DevSecOps и анализировать их в режиме реального времени — это значительно сэкономит время команды. В рамках анализа прогресса DevSecOps-платформы, реализующие практику ASOC, проводят корреляционный анализ обнаруженных проблем и отслеживают метрики уровня защищенности выпускаемых программных продуктов и эффективности процесса DevSecOps.

Полная автоматизация тестирования безопасности приложений

Постоянно увеличивающиеся возможности искусственного интеллекта позволяют максимально сократить количество ручных задач в процессе тестирования безопасности. Инструменты анализа с помощью AI и ML могут автоматически записывать и настраивать необходимые тесты и охватывать проверками значительную часть функциональной части приложения. Для этого AI определяет все возможные сценарии взаимодействия клиента с приложением и задействует в тестах элементы пользовательского интерфейса ПО. Также инструменты безопасности могут анализировать найденные уязвимости, отфильтровывать ложные срабатывания, выявлять дубликаты, группировать ошибки в дефекты ИБ, сопоставлять обнаруженные уязвимости и определять приоритетность их устранения. DevSecOps-платформы, реализующие практику ASOC, осуществляют такие функции, используя предсказательные и корреляционные ML-модели. Это позволяет командам значительно сэкономить время и сосредоточиться на более критических уязвимостях, которые требуют нестандартного подхода.

Руководство по устранению уязвимостей

Устранение найденных в коде уязвимостей вручную часто задерживает сроки поставки ПО и требует привлечения дорогостоящих ресурсов со стороны команд ИБ и разработки. Но среди множества обнаруживаемых ошибок всегда есть типовые проблемы, в том числе критического уровня. Их можно устранить относительно несложным способом. Технологии искусственного интеллекта и машинного обучения способны выделить такие уязвимости и дать разработчикам конкретные подсказки по устранению. Например, выполнение соответствующих функций на базе ML в DevSecOps-платформах, реализующих практику ASOC, позволяют формировать шаблоны защищенного кода, если «предоставить» им подробные стандарты и детальные рекомендации по безопасному кодированию для каждого языка программирования.

Автоматическая проверка критериев качества ПО

Сократить время разработки и выхода новых продуктов на рынок поможет автоматическая проверка критериев качества ПО. В DevSecOps- платформах, реализующих практику ASOC, искусственный интеллект может формировать точки контроля качества ПО (Quality Gates) для компонентов программного продукта и критерии их прохождения, а также добавлять эти точки в CI/CD-пайплайны. Механизм анализирует сборку в различных средах и затем автоматически принимает решение о том, можно ли передавать ее на следующий этап или выводить в промышленную эксплуатацию.

Соответствие требованиям ИБ

Один из важных аспектов разработки, который никак нельзя исключить из процесса — соответствие требованиям регуляторов и индустриальным стандартам. Проверки в этой области также можно полностью автоматизировать — это значительно сэкономит время ИБ-специалистов. AI может задать критерии для прохождения точек контроля качества ПО в виде проверки на соответствие определенным стандартам. В рамках такой задачи требования будут сопоставляться с компонентами каждого программного продукта в режиме реального времени. Постоянный мониторинг позволит в любой момент на основе предиктивного анализа спрогнозировать соответствие разрабатываемого ПО всем необходимым стандартам. Такие проверки можно настроить с помощью DevSecOps- платформы, реализующей практику ASOC, или отдельного инструмента сканирования.

Заключение

Технологии искусственного интеллекта и машинного обучения способны повысить уровень автоматизации процессов DevSecOps, степень качества и безопасности создаваемых ПО. В будущем это выведет разработку на новый уровень, более скоростной и эффективный. Сегодня DevSecOps-платформы, реализующие практику ASOC, уже используют возможности AI/ML. Это позволяет компаниям-разработчикам осуществлять «бесшовный» переход от DevOps к DevSecOps, оптимизировать с помощью автоматизации работу всех вовлеченных команд (разработки (Dev), безопасности (Sec), эксплуатации (Ops)) и совершенствовать процесс принятия решений командой менеджмента. Будущее DevSecOps стоит именно за такими платформами: если улучшить их текущие возможности и добавить новый функционал, основанный на технологиях AI/ML, результаты компаний-разработчиков значительно вырастут.

Искусственный интеллект и машинное обучение также проникли и в сканеры безопасности. Благодаря этим технологиям анализаторы могут бесшовно интегрировать с инструментами DevOps, обеспечивать сквозную автоматизацию тестирования, предлагать оптимальный способ устранения уязвимостей и предоставлять отчеты о соответствии безопасности продуктов индустриальным стандартам. Возможно, в будущем AI и ML позволят сканерам покрывать проверками практически все области ПО, находить даже самые уникальные и сложные уязвимости и давать рекомендации по их устранению.