Не верь, не бойся, не проси — автоматизируй. Как 75% компаний перешли от «бумажной» безопасности к сбору точных метрик ИБ

devsecops безопасность разработка контейнеризация инфраструктура Positive Technologies
Не верь, не бойся, не проси — автоматизируй. Как 75% компаний перешли от «бумажной» безопасности к сбору точных метрик ИБ
devsecops безопасность разработка контейнеризация инфраструктура Positive Technologies

Кто и как автоматизирует проверки кода на самых ранних стадиях разработки в 2025 году.

image

Российский DevOps вышел на новый уровень зрелости — безопасность становится частью стандартной инженерной практики. Исследование State of DevOps Russia 2025, проведённое «Экспресс 42» при поддержке Positive Technologies, фиксирует: 77% организаций уже встроили DevSecOps в разработку и поставку ПО, ещё 75% системно собирают метрики ИБ.

В опросе участвовали свыше 3300 специалистов из разных отраслей. Безопасность перестаёт быть «финальной приёмкой»: у 59,9% компаний инструменты ИБ интегрированы в CI/CD, у 40% — охватывают весь процесс DevOps и дают понятный измеримый результат.

Чаще всего команды считают четыре показателя: время восстановления после инцидента — 39,6%, нарушения политик — 37,6%, число критических уязвимостей — 37%, время реагирования — 36,6%. Метрики становятся управленческим инструментом и помогают расставлять приоритеты правок.

Практики «смещаются влево»: половина команд запускает проверки безопасности кода на ранних стадиях, ещё 45% — параллельно со сборкой и тестированием. Это сокращает дорогостоящие доработки в конце цикла и стабилизирует поставку. (данные пресс-релиза)

Инструментарий: 46,85% используют сканирование уязвимостей контейнерных образов, 35,63% — проверки конфигураций, 19,28% — аудит кластеров и хостов. При выборе решений на первом месте функциональные возможности — 73,4%, далее результативность обнаружения — 61% и интеграция в текущие процессы — 60,4%.

Основные барьеры остаются типовыми: нехватка экспертизы — 45,5%, совместимость с действующими системами — 42,2%, стоимость — 41%. Эти факторы тормозят масштабирование DevSecOps и усиливают запрос на обучение и консалтинг.

Контейнеризация стала нормой: Docker используют 66,5% респондентов; без контейнеров работают 7,1%. В оркестраторах растут Deckhouse (11,5%) и Rancher (8,5%), OpenShift удерживает 11,9%; доля компаний без оркестратора снизилась до 14,6%.

По базовым ОС для контейнеров лидируют Debian/Ubuntu — 59,1%, далее Alpine — 37,8% и семейство EL — 20,4%; из российских — Astra Linux 15,2%, РЕД ОС 9,6%, «Альт» 5,0%. Дополнительно 15,0% применяют distroless-образы, Windows в контейнерах — у 13,1%.

В производственных средах (за пределами контейнеров) картина смещена ещё сильнее: Debian/Ubuntu — 60,7%; из российских систем — Astra Linux 25,3%, РЕД ОС 14,6%, «Альт» 6,9%. Эти доли уже сопоставимы с распространёнными зарубежными ОС в корпоративной инфраструктуре.

CI/CD-ландшафт: GitLab CI/CD — 64,5%, Jenkins — 34,7%, Argo CD — 21,8%. В наблюдаемости лидируют Grafana (74,1%) и Prometheus (58,5%), растут Elasticsearch/OpenSearch (49,2%), VictoriaMetrics (31,4%) и Loki (26,2%).

По моделям размещения инфраструктуры распределение такое: on-prem — 34%, гибрид — 29%, one-cloud — 11%, private- и multi-cloud — по 9%, bare metal — 8%. Среди преимуществ облаков чаще всего отмечают надёжность и масштабируемость (по 82%), соответствие требованиям (81%) и ускорение вывода продукта (79%).

Вектор на платформенный подход подтверждён целями развития внутренних платформ (IDP): автоматизация рутины — 62,1%, расширение функционала — 53%, улучшение мониторинга и аналитики — 46,7%, интеграция новых инструментов — 45,4%. По DORA-профилю доля High/Elite достигла 64% (High — 41%, Elite — 23%).

Финал (нейтрально): исследование фиксирует широкое распространение практик DevSecOps: безопасность интегрируется в пайплайны, инструменты и процессы разработки и эксплуатации, а метрики и автоматизация контроля становятся базовой частью жизненного цикла ПО.