Почти 80% российских компаний выстраивают процессы безопасной разработки
Исследование State of DevOps Russia 2025, проведенное компанией «Экспресс 42» в партнерстве с Positive Technologies, одним из лидеров результативной кибербезопасности, показало, что 77% организаций выстраивают процессы DevSecOps и используют инструменты ИБ в разработке и поставке ПО, а 75% собирают метрики информационной безопасности. По мнению экспертов, столь высокие показатели свидетельствуют о том, что культура безопасной разработки в России достигла нового уровня зрелости, сделав киберзащиту стандартом качества.
Изучение состояния DevOps в России проводилось в формате опроса. В нем приняли участие более 3300 респондентов — это ИТ-специалисты и руководители, работающие в крупных, средних и небольших компаниях из разных отраслей. Один из блоков исследования впервые был полностью посвящен информационной безопасности: эксперты выясняли, насколько глубоко ИБ проникла в DevOps-процессы.
Согласно результатам исследования, у 40% организаций системы безопасности интегрированы во все процессы DevOps. Около 60% компаний используют инструменты ИБ прежде всего в CI/CD-конвейере, который автоматизирует сборку, тестирование и развертывание ПО. Для обеспечения планируемых темпов выпуска ПО в продуктивную среду половина опрошенных реализуют проверки безопасности кода на ранних стадиях разработки, а 45% проводят сканирование параллельно со сборкой и тестированием ПО.
Три четверти участников опроса используют следующие метрики ИБ в своей работе:
период восстановления после инцидента (40%),
количество нарушений политик безопасности (38%),
число критических уязвимостей (37%) и время реагирования на угрозы (37%).
По словам экспертов, фокусируясь именно на этих показателях, компании делают концептуально верный шаг к построению эффективных процессов DevSecOps. Исследование так же показало, что решающими факторами при выборе ИБ-инструментов являются функциональные возможности продукта (73%), результативность (61%) и возможности его интеграции в существующие процессы DevOps (60%).
«Киберпреступники по-прежнему активно атакуют российские компании через уязвимости в ПО, часть организаций все еще игнорируют этот факт и бездействуют в защите. Однако большинство компаний на практике убеждаются, что небезопасный код создает существенные риски как для бизнеса, так и для пользователей ПО, поэтому начинают более серьезно относиться к построению процессов DevSecOps. Мы точно можем говорить об устойчивом тренде и результаты исследования это подтверждают», — прокомментировал Антон Жаболенко, директор по продуктам application security, Positive Technologies.
«Наше ежегодное исследование показывает: российский DevOps быстро эволюционирует — от CI/CD к полноценным внутренним платформам, где безопасность, контейнеризация и опыт разработчика становятся единым целым. Сегодня информационная безопасность — это уже не опциональная функция, а часть ежедневной работы большинства ИТ-команд: три из четырёх специалистов сталкиваются с ней каждый день. При этом главный вызов — не в отсутствии инструментов или метрик. Более 75% компаний собирают метрики, а у 66,8% — средства безопасности уже внедрены прямо в пайплайны Настоящая проблема — в том, насколько команды понимают и действительно используют эти инструменты на практике», — прокомментировал Алексей Крылов, менеджер продукта Deckhouse Kubernetes Platform по направлению информационной безопасности, «Флант».
Исследование также выявило, с какими трудностями сталкиваются организации при построении процессов безопасной разработки. Около 46% респондентов отметили недостаток экспертизы у команды внедрения, 42% — проблемы совместимости с существующими системами, а 41% — высокую стоимость. Еще 27% участников опроса указали, что им непонятны результаты сканирования и анализа, которые выдают инструменты. В этой связи эксперты рекомендуют развивать культуру безопасной разработки, привлекать консалтинг, доносить до сотрудников ценность ИБ и обучать их правильно интерпретировать метрики.