Введение

Привет Хабр! Меня зовут Евгений Калашников, я CPO «Инженерных инструментов» Платформы Сфера. И сегодня я хочу поговорить о том, как меняется ландшафт цифровой трансформации в России и какую роль в этом играет DevOps. Недавно мы с коллегами провели масштабное исследование российского рынка DevOps, и результаты получились очень любопытными. Мы убедились, что цифровая трансформация сейчас затрагивает буквально все аспекты бизнеса. Компании, которые не успевают адаптироваться к новым реалиям, рискуют безнадёжно отстать. И здесь на первый план выходит DevOps как ключевой фактор, обеспечивающий скорость и гибкость в разработке ПО.

Наше исследование охватило 817 IT-специалистов и руководителей из различных отраслей. Мы опросили представителей крупных компаний, таких как МТС, IBS, Яндекс, Лаборатория Касперского, а также привлекли экспертов из НИУ ВШЭ и других организаций. Интересно, как выглядит современный российский девопс? Заходите под кат.

Автоматизация процессов

Начнём с главного — автоматизации. Наше исследование показало, что это один из ключевых драйверов внедрения DevOps в России. Уже 38% компаний используют DevOps-практики именно для снижения себестоимости разработки за счёт автоматизации рутинных процессов. При этом чаще всего автоматизируют такие вещи, как развёртывание, проверку кода на уязвимости, тестирование и сбор требований.

Интересно, что основным препятствием к внедрению автоматизации 42% руководителей назвали нехватку квалифицированных кадров, способных работать с современным стеком DevOps. На рынке наблюдается явный перекос — спрос на таких специалистов намного превышает предложение. И это создаёт серьёзные сложности для многих компаний.

Один из ключевых трендов в индустрии — активное использование ИИ-инструментов. Наш опрос показал, что 51% компаний уже применяют искусственный интеллект на разных этапах разработки. Чаще всего это системы на базе машинного обучения, которые помогают оптимизировать процессы тестирования, находить дефекты в коде, давать рекомендации по улучшению качества и производительности. Хотя есть и более экзотические примеры — чат-боты, генерация юнит-тестов, автоматический рефакторинг и так далее.

Алексей Рыбалко

Специалист по технологиям защиты сред контейнерной разработки в Лаборатории Касперского

Инструменты ИИ позволяют существенно ускорить разработку, однако ответственность за итоговый код несёт разработчик, который должен выверять полученный от «ИИ-напарника» код в соответствии с практиками написания безопасного кода. В процессе разработки кроме ИИ используется полный набор контроля и проверок кода, призванный помочь в обеспечении безопасности. Помимо инструментов разработчика после передачи кода в репозиторий в дело вступают отделы выходного контроля безопасности кода, которые применяют инструментарий для анализа полученного кода. Их задача — проследить, чтобы код разработчиков не содержал опасные конструкции, потенциально уязвимые места.

Конечно, внедрение ИИ в DevOps — это не просто. Требуются специальные знания и навыки, качественные данные для обучения моделей, отлаженные процессы сбора и разметки датасетов. Неслучайно 36% респондентов назвали недостаток компетенций главным барьером на пути к использованию ИИ. Плюс никто не отменял необходимость контроля качества работы моделей, объяснимость их решений, этические аспекты. Но в целом тренд однозначный: ИИ будет играть всё большую роль в автоматизации процессов разработки.

Качество и скорость разработки

Другой важный аспект, который исследовал наш опрос: как DevOps влияет на качество продуктов и скорость их доставки до конечных пользователей. Выяснилось, что для подавляющего большинства компаний (более 60%) это приоритетные задачи. Причем они напрямую связаны с уровнем автоматизации и использованием современных инструментов разработки.

Артур Галеев

Начальник отдела DevOps, IBS

DevOps/DevSecOps в IBS — это уже обыденность, ни одно приложение не разрабатывается без внедрения CI/CD, мониторинга и других инструментов. На скорость влияет напрямую, подсчитать сложно, но в общем и целом релизы выводятся на прод к заказчикам в 2–3 раза быстрее.

Чем больше процессов удаётся автоматизировать и перевести в непрерывный цикл интеграции и доставки (CI/CD), тем выше скорость разработки и стабильнее качество продуктов. В идеале код попадает в продуктив только после того, как успешно пройдёт через всю цепочку тестов — модульных, интеграционных, регрессионных, приемочных. И если на каком-то этапе возникает ошибка, разработчики сразу получают обратную связь и могут оперативно исправить проблему.

Однако не всё так просто. Внедрение современных инструментов DevOps, особенно связанных с автоматизацией тестирования, может быть довольно затратным. По нашим данным, 48% компаний планируют заменить текущие системы в ближайшем году, но многих останавливает высокая стоимость лицензий и дефицит специалистов, способных с ними работать.

Один из вариантов решения этой проблемы — переход на open-source-инструменты. Наше исследование показало, что доля их использования за год выросла с 56 до 73%. Open Source привлекает компании не только более низкой стоимостью владения, но и гибкостью, возможностью кастомизации и доработки под свои задачи. Кроме того, вокруг популярных открытых решений, таких как Jenkins, Selenium, Allure, сформировались большие комьюнити, где можно получить поддержку и лучшие практики.

Ещё один тренд, который мы отметили, — переход на облачную инфраструктуру. Уже 69% компаний используют гибридные облака, совмещая частные и публичные среды. Это позволяет оптимизировать затраты, обеспечить гибкость и масштабируемость инфраструктуры под меняющиеся потребности бизнеса. При этом 44% планируют активную миграцию DevOps-инструментов в облака в ближайший год.

Правда, здесь есть свои подводные камни. Главный из них — вопросы информационной безопасности. По нашим данным, это ключевой барьер, который останавливает многие компании от полного перехода в публичные облака. Требуется обеспечить защиту данных, соответствие регулярным требованиям, прозрачность процессов у провайдера. Неслучайно 50% респондентов назвали открытость внутренних процессов безопасности главным критерием выбора облачной платформы.

Подытожим. Devops напрямую влияет на скорость и качество разработки ПО за счёт автоматизации процессов и внедрения современных инструментов — от непрерывной интеграции до облачных сред. Но для многих компаний это связано с серьёзными вызовами — необходимостью изменения архитектуры, высокими затратами на лицензии, дефицитом кадров на рынке. Open Source и облака могут частично решить эти проблемы, но требуют особого внимания к вопросам безопасности и совместимости. В целом же тренд на повышение скорости и качества разработки через DevOps однозначный и будет только усиливаться.

Безопасность разработки: DevSecOps

Теперь об одном из самых важных и горячих трендов на стыке DevOps и безопасности — DevSecOps. Это подход, при котором практики и инструменты безопасности интегрируются во все этапы жизненного цикла разработки — от планирования до эксплуатации. Цель — выявлять и устранять уязвимости и дефекты безопасности как можно раньше, снижать риски и соответствовать требованиям регуляторов.

Артур Галеев

Начальник отдела DevOps, IBS

Для повышения уровня безопасности, IBS внедряет практики DevSecOps в соответствии с ГОСТ Р 56939, а также использует такие инструменты, как SAST, DAST, Fuzzing, Pentest. Управление секретами, работа с уязвимостями в зависимостях и соблюдение стандартов по безопасной разработке — основные вызовы, с которыми мы сталкиваемся.

Судя по нашему исследованию, эта тема очень актуальна для российских компаний. Уже 77% респондентов заявили, что имеют выделенные команды или специалистов по безопасной разработке (SecDevOps). При этом 80% оценивают текущий уровень зрелости своих процессов ИБ как высокий (4–5 баллов из 5). Это говорит о том, что безопасность постепенно перестаёт быть чем-то внешним по отношению к разработке и эксплуатации, а становится неотъемлемой частью всего жизненного цикла продукта.

Среди наиболее распространённых практик и инструментов безопасности в процессе CI/CD — статический анализ кода (SAST), который используют 44% компаний, динамический анализ приложений (DAST) — 43%, поиск уязвимостей в open-source-компонентах (SCA) — 33%, фаззинг-тестирование — 6%. Это базовый набор, который позволяет находить типовые уязвимости и недостатки кода ещё на этапе сборки и тестирования.

Плюс к этому многие компании внедряют специальные политики и процедуры безопасной разработки — например, гейты качества кода, сканирование контейнеров, защиту секретов и учётных данных в репозиториях и платформах CI/CD. Однако есть и проблемы. Главная из них — дефицит экспертизы и компетенций на стыке ИБ и разработки. По нашим данным, 36% компаний отметили нехватку специалистов как основной барьер для полноценного внедрения безопасности в DevOps. Внедрение практик DevSecOps требует от сотрудников не только технических навыков, но и умения выстраивать процессы, коммуницировать с командами разработки, учитывать особенности конкретных продуктов и платформ.

Алексей Рыбалко

Специалист по технологиям защиты сред контейнерной разработки в Лаборатории Касперского

Компании могут оказать значительную помощь в этом вопросе. Приведу в пример Лабораторию Касперского. Мы сотрудничаем с вузами, помогаем преподавателям в подготовке квалифицированных кадров по кибербезопасности. У нас есть развитая программа стажировки, в рамках которой студенты старших курсов проходят практику и наравне со специалистами участвуют в работе, изучают на деле специфику ИБ, проходят внутренние тренинги, сдают экзамены.

Кроме того, многие инструменты ИБ довольно ресурсоемкие и могут замедлять процесс сборки и доставки, особенно если речь идёт о больших и сложных проектах. Совместить скорость и безопасность — нетривиальная задача, требующая постоянной оптимизации, профилирования, распараллеливания сканирований. Ну и конечно, никуда не деться от импортозамещения. Многие привычные инструменты ИБ в области DevSecOps сейчас либо недоступны, либо имеют высокие риски отключения и отзыва лицензий.

В целом, несмотря на все сложности, тренд на интеграцию ИБ в DevOps однозначно продолжится. С одной стороны, растут внешние риски и требования регуляторов, с другой — повышается зрелость разработки и эксплуатации. Безопасность становится таким же must-have-требованием к качеству продукта, как надёжность, производительность, удобство использования. И чем раньше компании начнут двигаться в сторону DevSecOps, тем легче им будет потом масштабировать эти практики и снижать технические и регуляторные риски.

Облачные технологии

Теперь к одной из самых горячих тем на стыке разработки, эксплуатации и инфраструктуры — облачным платформам. Как показало наше исследование, облака стали неотъемлемой частью ландшафта DevOps в большинстве российских компаний. 

Андрей Белеванцев

Д.ф.-м.н., профессор РАН, руководитель направления анализа и оптимизации программ, ИСП РАН

Наши проекты сконцентрированы вокруг разработки, а в системном программировании создаваемые программы достаточно сложные — много зависимых компонентов, в основном открытых, часто дорабатываем открытый софт под свои нужды. Поэтому правильно выстроенные DevOps-системы чрезвычайно актуальны, помогают ускорить разработку, быстро проверить множество гипотез и получить качественный продукт. Главное, что можно отследить результаты всех экспериментов, параллельно вести несколько версий разрабатываемой системы, отработать обратную связь с заказчиками. Конкретно в нашей команде хорошо показала себя связка Jenkins и GitLab, но, конечно, и без «напильника» не обошлось.

Такая расстановка вполне объяснима. С одной стороны, публичные облака дают гибкость, масштабируемость, доступ к передовым сервисам и инструментам. С другой — многие компании не готовы полностью доверить внешним провайдерам критичные данные и системы. Особенно это касается банков, госорганов, промышленных предприятий. Гибридная модель позволяет найти баланс: оставить наиболее чувствительные компоненты у себя, а остальное перенести на внешние платформы.

Интересен расклад по провайдерам облачных услуг. Российский рынок довольно фрагментирован, на нём много локальных игроков. Всё больше компаний уже используют отечественные платформы, и их доля растёт. 

И тем не менее некоторые компании всё ещё применяют иностранные облака, в основном в силу инерции — у многих там сконцентрированы данные, инфраструктура, процессы разработки. Быстро перевести это на другие платформы сложно и дорого. Плюс пока не все отечественные провайдеры могут обеспечить нужный уровень качества, поддержки, функциональности сервисов, особенно в enterprise-сегменте. Хотя разрыв постепенно сокращается.

Самый яркий тренд здесь — усиление требований по суверенитету данных и ПО. По нашим данным, для ряда компаний критически важно хранить ключевые системы и данные в российской юрисдикции, под защитой местных законов. Причём многие заказчики, включая госорганы, явно прописывают такие требования в договорах и технических заданиях. А значит, провайдерам придётся подтягивать инфраструктуру, сертификацию, поддержку, чтобы закрывать эти потребности.

Главная же трудность для поставщиков облачных услуг — дефицит экспертизы и кадров. Чтобы продавать и внедрять современные облачные решения, провайдерам нужны не просто инженеры и администраторы, а архитекторы, консультанты, евангелисты. Те, кто хорошо понимает задачи конкретных индустрий (ритейл, финтех, промышленность), говорит на языке бизнеса, может спроектировать оптимальное решение под требования заказчика, просчитать экономику, обосновать ценность для бизнеса. А таких специалистов на рынке не хватает. Приходится растить внутри, переманивать, инвестировать в обучение и развитие талантов. Это длинные инвестиции, но без них никуда.

Управление командами и процессами

Ну и напоследок — о главном активе, без которого вся цифровая трансформация и DevOps невозможны в принципе, — о людях. Наше исследование в очередной раз показало, что основным вызовом и ограничителем развития DevOps в России остаётся дефицит кадров. Причём нехватка ощущается на всех уровнях — разработчиков, инженеров, архитекторов, руководителей. Рынок перегрет, конкуренция за таланты высока как никогда.

Павел Дегтярёв

Директор по развитию продуктов в ЭКОПСИ Консалтинг

Цифровая трансформация — это изменение культуры в первую очередь. Есть классическое уже исследование МакКинзи 2014 года, которое показало, что команды, которые внедряют изменения в структуре управления, процессах, бизнес-практиках как «изменения сами по себе», вчера работали по-старому, а завтра начнём по-новому, приходят к успеху в 5% случаев. Но если сначала оценить, что должно измениться в ежедневном поведении сотрудников и воздействовать на это — поменять практики принятия решений, планирования, общения и т.д., вероятность успеха изменений достигает уже 52%. Это в 10 раз выше.

Вузы и колледжи по-прежнему фокусируются на фундаментальных знаниях, базовых языках, технологиях прошлого поколения. А рынку нужны специалисты, которые умеют работать с современными фреймворками, понимают процессы и инструменты DevOps, могут разбираться в предметных областях. Такие компетенции не сформировать за партой, они приобретаются только в реальных проектах, на стыке бизнеса и технологий.

Поэтому многие компании вынуждены растить кадры внутри — через стажировки, школы, программы развития талантов. Например, в в одной компании уже несколько лет работает образовательное подразделение, которое готовит специалистов как раз на стыке разных дисциплин — разработки, анализа данных, кибербезопасности, управления продуктами. Лучших студентов и выпускников приглашают на работу к себе, часть идёт в другие компании. То есть фактически эта компания выступает поставщиком кадров для всего рынка и закрывает не только свои потребности, но и потребности партнеров и клиентов. Это хороший пример симбиоза образования и бизнеса.

Артур Галеев

Начальник отдела DevOps, IBS

Мы работаем с вузами в городах присутствия IBS, проводим стажировки, выращиваем специалистов внутри компании, всегда открыты к кандидатам, которые ищут стажировку.

А чтобы удержать таланты, компании идут на разные ухищрения: предлагают высокие зарплаты и бонусы, улучшают соцпакет, дают возможности удалёнки и релокации. Но главное, на мой взгляд, создать внутри среду, которая мотивирует людей учиться, экспериментировать, привносить новые идеи и практики. Нужна культура общения и обмена опытом между командами, совместного решения инженерных задач, взаимной поддержки и уважения. Только в такой среде люди чувствуют себя комфортно и безопасно, видят смысл и ценность своей работы, могут реализовать свой потенциал.

Отдельно отмечу важность прокачки софт-скиллов у технических специалистов. Недостаточно уметь писать код по ТЗ, нужно уметь объяснять свои решения, аргументировать, договариваться, управлять ожиданиями стейкхолдеров. Многие конфликты и проблемы в DevOps возникают не из-за технических ошибок, а из-за коммуникационных барьеров, недопонимания между командами разработки, эксплуатации, бизнеса. Тот же разработчик должен уметь не только реализовать фичу, но и объяснить её ценность для продукта, согласовать требования с аналитиком, протестировать с инженером качества, передать эксплуатанту. А для этого нужны навыки презентации, переговоров, управления конфликтами, эмоциональный интеллект. К сожалению, этому мало где учат, приходится прокачиваться самим, учиться на своих ошибках.

И последнее — про удалёнку и распределенные команды. Пандемия и уход многих иностранных компаний подтолкнули этот тренд, люди поняли, что можно работать эффективно и из дома, были бы задачи и интернет. Это, с одной стороны, развязало руки работодателям — теперь можно нанимать таланты из регионов, экономить на офисах, привлекать экспертов под проекты. С другой стороны, усложнило коммуникацию и координацию, повысило риски утечек и безопасности. Ведь когда люди не видят друг друга живьём, теряется вовлечённость и доверие, работают в разных часовых поясах, сложнее передать знания, синхронизировать работу.

Поэтому компаниям, которые практикуют распределённую разработку (а таких уже больше 50%), приходится усиливать техническую и культурную составляющую. Использовать асинхронные средства связи (почта, мессенджеры, доски задач), практики документирования знаний (вики, confluence), инструменты удалённого парного программирования и код-ревью. И конечно, чаще созваниваться, проводить виртуальные летучки и синки, устраивать неформальные встречи для укрепления отношений. 

В общем, удалёнка — это не панацея, а испытание на прочность процессов и культуры, которое не каждая компания выдерживает. Но куда деваться — тренд однозначный.

Заключение

Наше исследование показало, что российский рынок DevOps активно развивается, несмотря на все вызовы и ограничения. Всё больше компаний внедряют практики и инструменты, направленные на ускорение и повышение качества разработки. Растёт уровень автоматизации, проникновения облачных платформ, интеграции ИБ в цикл разработки. Хотя до полной зрелости большинству ещё далеко, тренды однозначно позитивные.

Главными драйверами этой трансформации являются сами заказчики, которые требуют от IT всё более быстрой реакции на изменения бизнеса, частых релизов новых продуктов и фич, высокого качества и безопасности цифровых сервисов. А самыми острыми болями — дефицит экспертизы и кадров на рынке, сложности перехода от монолитных архитектур к микросервисам и облакам, регуляторные ограничения на передачу данных и использование зарубежных решений.

В этих условиях повышается роль отечественных вендоров и интеграторов, которые могут предложить заказчикам комплексные решения по DevOps и цифровизации, без привязки к иностранным платформам и с учётом российской специфики. Им стоит фокусироваться на обучении и сертификации клиентов, пакетировании типовых продуктов и сервисов, гибкой модели ценообразования и поддержки. А ещё лучше — инвестировать в собственные школы и академии, растить таланты, формировать вокруг себя экспертные комьюнити. Это хоть и долгий путь, но самый правильный.

Введение

Привет Хабр! Меня зовут Евгений Калашников, я CPO «Инженерных инструментов» Платформы Сфера. И сегодня я хочу поговорить о том, как меняется ландшафт цифровой трансформации в России и какую роль в этом играет DevOps. Недавно мы с коллегами провели масштабное исследование российского рынка DevOps, и результаты получились очень любопытными. Мы убедились, что цифровая трансформация сейчас затрагивает буквально все аспекты бизнеса. Компании, которые не успевают адаптироваться к новым реалиям, рискуют безнадёжно отстать. И здесь на первый план выходит DevOps как ключевой фактор, обеспечивающий скорость и гибкость в разработке ПО.

Наше исследование охватило 817 IT-специалистов и руководителей из различных отраслей. Мы опросили представителей крупных компаний, таких как МТС, IBS, Яндекс, Лаборатория Касперского, а также привлекли экспертов из НИУ ВШЭ и других организаций. Интересно, как выглядит современный российский девопс? Заходите под кат.

Автоматизация процессов

Начнём с главного — автоматизации. Наше исследование показало, что это один из ключевых драйверов внедрения DevOps в России. Уже 38% компаний используют DevOps-практики именно для снижения себестоимости разработки за счёт автоматизации рутинных процессов. При этом чаще всего автоматизируют такие вещи, как развёртывание, проверку кода на уязвимости, тестирование и сбор требований.

Интересно, что основным препятствием к внедрению автоматизации 42% руководителей назвали нехватку квалифицированных кадров, способных работать с современным стеком DevOps. На рынке наблюдается явный перекос — спрос на таких специалистов намного превышает предложение. И это создаёт серьёзные сложности для многих компаний.

Один из ключевых трендов в индустрии — активное использование ИИ-инструментов. Наш опрос показал, что 51% компаний уже применяют искусственный интеллект на разных этапах разработки. Чаще всего это системы на базе машинного обучения, которые помогают оптимизировать процессы тестирования, находить дефекты в коде, давать рекомендации по улучшению качества и производительности. Хотя есть и более экзотические примеры — чат-боты, генерация юнит-тестов, автоматический рефакторинг и так далее.

Алексей Рыбалко

Специалист по технологиям защиты сред контейнерной разработки в Лаборатории Касперского

Инструменты ИИ позволяют существенно ускорить разработку, однако ответственность за итоговый код несёт разработчик, который должен выверять полученный от «ИИ-напарника» код в соответствии с практиками написания безопасного кода. В процессе разработки кроме ИИ используется полный набор контроля и проверок кода, призванный помочь в обеспечении безопасности. Помимо инструментов разработчика после передачи кода в репозиторий в дело вступают отделы выходного контроля безопасности кода, которые применяют инструментарий для анализа полученного кода. Их задача — проследить, чтобы код разработчиков не содержал опасные конструкции, потенциально уязвимые места.

Конечно, внедрение ИИ в DevOps — это не просто. Требуются специальные знания и навыки, качественные данные для обучения моделей, отлаженные процессы сбора и разметки датасетов. Неслучайно 36% респондентов назвали недостаток компетенций главным барьером на пути к использованию ИИ. Плюс никто не отменял необходимость контроля качества работы моделей, объяснимость их решений, этические аспекты. Но в целом тренд однозначный: ИИ будет играть всё большую роль в автоматизации процессов разработки.

Качество и скорость разработки

Другой важный аспект, который исследовал наш опрос: как DevOps влияет на качество продуктов и скорость их доставки до конечных пользователей. Выяснилось, что для подавляющего большинства компаний (более 60%) это приоритетные задачи. Причем они напрямую связаны с уровнем автоматизации и использованием современных инструментов разработки.

Артур Галеев

Начальник отдела DevOps, IBS

DevOps/DevSecOps в IBS — это уже обыденность, ни одно приложение не разрабатывается без внедрения CI/CD, мониторинга и других инструментов. На скорость влияет напрямую, подсчитать сложно, но в общем и целом релизы выводятся на прод к заказчикам в 2–3 раза быстрее.

Чем больше процессов удаётся автоматизировать и перевести в непрерывный цикл интеграции и доставки (CI/CD), тем выше скорость разработки и стабильнее качество продуктов. В идеале код попадает в продуктив только после того, как успешно пройдёт через всю цепочку тестов — модульных, интеграционных, регрессионных, приемочных. И если на каком-то этапе возникает ошибка, разработчики сразу получают обратную связь и могут оперативно исправить проблему.

Однако не всё так просто. Внедрение современных инструментов DevOps, особенно связанных с автоматизацией тестирования, может быть довольно затратным. По нашим данным, 48% компаний планируют заменить текущие системы в ближайшем году, но многих останавливает высокая стоимость лицензий и дефицит специалистов, способных с ними работать.

Один из вариантов решения этой проблемы — переход на open-source-инструменты. Наше исследование показало, что доля их использования за год выросла с 56 до 73%. Open Source привлекает компании не только более низкой стоимостью владения, но и гибкостью, возможностью кастомизации и доработки под свои задачи. Кроме того, вокруг популярных открытых решений, таких как Jenkins, Selenium, Allure, сформировались большие комьюнити, где можно получить поддержку и лучшие практики.

Ещё один тренд, который мы отметили, — переход на облачную инфраструктуру. Уже 69% компаний используют гибридные облака, совмещая частные и публичные среды. Это позволяет оптимизировать затраты, обеспечить гибкость и масштабируемость инфраструктуры под меняющиеся потребности бизнеса. При этом 44% планируют активную миграцию DevOps-инструментов в облака в ближайший год.

Правда, здесь есть свои подводные камни. Главный из них — вопросы информационной безопасности. По нашим данным, это ключевой барьер, который останавливает многие компании от полного перехода в публичные облака. Требуется обеспечить защиту данных, соответствие регулярным требованиям, прозрачность процессов у провайдера. Неслучайно 50% респондентов назвали открытость внутренних процессов безопасности главным критерием выбора облачной платформы.

Подытожим. Devops напрямую влияет на скорость и качество разработки ПО за счёт автоматизации процессов и внедрения современных инструментов — от непрерывной интеграции до облачных сред. Но для многих компаний это связано с серьёзными вызовами — необходимостью изменения архитектуры, высокими затратами на лицензии, дефицитом кадров на рынке. Open Source и облака могут частично решить эти проблемы, но требуют особого внимания к вопросам безопасности и совместимости. В целом же тренд на повышение скорости и качества разработки через DevOps однозначный и будет только усиливаться.

Безопасность разработки: DevSecOps

Теперь об одном из самых важных и горячих трендов на стыке DevOps и безопасности — DevSecOps. Это подход, при котором практики и инструменты безопасности интегрируются во все этапы жизненного цикла разработки — от планирования до эксплуатации. Цель — выявлять и устранять уязвимости и дефекты безопасности как можно раньше, снижать риски и соответствовать требованиям регуляторов.

Артур Галеев

Начальник отдела DevOps, IBS

Для повышения уровня безопасности, IBS внедряет практики DevSecOps в соответствии с ГОСТ Р 56939, а также использует такие инструменты, как SAST, DAST, Fuzzing, Pentest. Управление секретами, работа с уязвимостями в зависимостях и соблюдение стандартов по безопасной разработке — основные вызовы, с которыми мы сталкиваемся.

Судя по нашему исследованию, эта тема очень актуальна для российских компаний. Уже 77% респондентов заявили, что имеют выделенные команды или специалистов по безопасной разработке (SecDevOps). При этом 80% оценивают текущий уровень зрелости своих процессов ИБ как высокий (4–5 баллов из 5). Это говорит о том, что безопасность постепенно перестаёт быть чем-то внешним по отношению к разработке и эксплуатации, а становится неотъемлемой частью всего жизненного цикла продукта.

Среди наиболее распространённых практик и инструментов безопасности в процессе CI/CD — статический анализ кода (SAST), который используют 44% компаний, динамический анализ приложений (DAST) — 43%, поиск уязвимостей в open-source-компонентах (SCA) — 33%, фаззинг-тестирование — 6%. Это базовый набор, который позволяет находить типовые уязвимости и недостатки кода ещё на этапе сборки и тестирования.

Плюс к этому многие компании внедряют специальные политики и процедуры безопасной разработки — например, гейты качества кода, сканирование контейнеров, защиту секретов и учётных данных в репозиториях и платформах CI/CD. Однако есть и проблемы. Главная из них — дефицит экспертизы и компетенций на стыке ИБ и разработки. По нашим данным, 36% компаний отметили нехватку специалистов как основной барьер для полноценного внедрения безопасности в DevOps. Внедрение практик DevSecOps требует от сотрудников не только технических навыков, но и умения выстраивать процессы, коммуницировать с командами разработки, учитывать особенности конкретных продуктов и платформ.

Алексей Рыбалко

Специалист по технологиям защиты сред контейнерной разработки в Лаборатории Касперского

Компании могут оказать значительную помощь в этом вопросе. Приведу в пример Лабораторию Касперского. Мы сотрудничаем с вузами, помогаем преподавателям в подготовке квалифицированных кадров по кибербезопасности. У нас есть развитая программа стажировки, в рамках которой студенты старших курсов проходят практику и наравне со специалистами участвуют в работе, изучают на деле специфику ИБ, проходят внутренние тренинги, сдают экзамены.

Кроме того, многие инструменты ИБ довольно ресурсоемкие и могут замедлять процесс сборки и доставки, особенно если речь идёт о больших и сложных проектах. Совместить скорость и безопасность — нетривиальная задача, требующая постоянной оптимизации, профилирования, распараллеливания сканирований. Ну и конечно, никуда не деться от импортозамещения. Многие привычные инструменты ИБ в области DevSecOps сейчас либо недоступны, либо имеют высокие риски отключения и отзыва лицензий.

В целом, несмотря на все сложности, тренд на интеграцию ИБ в DevOps однозначно продолжится. С одной стороны, растут внешние риски и требования регуляторов, с другой — повышается зрелость разработки и эксплуатации. Безопасность становится таким же must-have-требованием к качеству продукта, как надёжность, производительность, удобство использования. И чем раньше компании начнут двигаться в сторону DevSecOps, тем легче им будет потом масштабировать эти практики и снижать технические и регуляторные риски.

Облачные технологии

Теперь к одной из самых горячих тем на стыке разработки, эксплуатации и инфраструктуры — облачным платформам. Как показало наше исследование, облака стали неотъемлемой частью ландшафта DevOps в большинстве российских компаний. 

Андрей Белеванцев

Д.ф.-м.н., профессор РАН, руководитель направления анализа и оптимизации программ, ИСП РАН

Наши проекты сконцентрированы вокруг разработки, а в системном программировании создаваемые программы достаточно сложные — много зависимых компонентов, в основном открытых, часто дорабатываем открытый софт под свои нужды. Поэтому правильно выстроенные DevOps-системы чрезвычайно актуальны, помогают ускорить разработку, быстро проверить множество гипотез и получить качественный продукт. Главное, что можно отследить результаты всех экспериментов, параллельно вести несколько версий разрабатываемой системы, отработать обратную связь с заказчиками. Конкретно в нашей команде хорошо показала себя связка Jenkins и GitLab, но, конечно, и без «напильника» не обошлось.

Такая расстановка вполне объяснима. С одной стороны, публичные облака дают гибкость, масштабируемость, доступ к передовым сервисам и инструментам. С другой — многие компании не готовы полностью доверить внешним провайдерам критичные данные и системы. Особенно это касается банков, госорганов, промышленных предприятий. Гибридная модель позволяет найти баланс: оставить наиболее чувствительные компоненты у себя, а остальное перенести на внешние платформы.

Интересен расклад по провайдерам облачных услуг. Российский рынок довольно фрагментирован, на нём много локальных игроков. Всё больше компаний уже используют отечественные платформы, и их доля растёт. 

И тем не менее некоторые компании всё ещё применяют иностранные облака, в основном в силу инерции — у многих там сконцентрированы данные, инфраструктура, процессы разработки. Быстро перевести это на другие платформы сложно и дорого. Плюс пока не все отечественные провайдеры могут обеспечить нужный уровень качества, поддержки, функциональности сервисов, особенно в enterprise-сегменте. Хотя разрыв постепенно сокращается.

Самый яркий тренд здесь — усиление требований по суверенитету данных и ПО. По нашим данным, для ряда компаний критически важно хранить ключевые системы и данные в российской юрисдикции, под защитой местных законов. Причём многие заказчики, включая госорганы, явно прописывают такие требования в договорах и технических заданиях. А значит, провайдерам придётся подтягивать инфраструктуру, сертификацию, поддержку, чтобы закрывать эти потребности.

Главная же трудность для поставщиков облачных услуг — дефицит экспертизы и кадров. Чтобы продавать и внедрять современные облачные решения, провайдерам нужны не просто инженеры и администраторы, а архитекторы, консультанты, евангелисты. Те, кто хорошо понимает задачи конкретных индустрий (ритейл, финтех, промышленность), говорит на языке бизнеса, может спроектировать оптимальное решение под требования заказчика, просчитать экономику, обосновать ценность для бизнеса. А таких специалистов на рынке не хватает. Приходится растить внутри, переманивать, инвестировать в обучение и развитие талантов. Это длинные инвестиции, но без них никуда.

Управление командами и процессами

Ну и напоследок — о главном активе, без которого вся цифровая трансформация и DevOps невозможны в принципе, — о людях. Наше исследование в очередной раз показало, что основным вызовом и ограничителем развития DevOps в России остаётся дефицит кадров. Причём нехватка ощущается на всех уровнях — разработчиков, инженеров, архитекторов, руководителей. Рынок перегрет, конкуренция за таланты высока как никогда.

Павел Дегтярёв

Директор по развитию продуктов в ЭКОПСИ Консалтинг

Цифровая трансформация — это изменение культуры в первую очередь. Есть классическое уже исследование МакКинзи 2014 года, которое показало, что команды, которые внедряют изменения в структуре управления, процессах, бизнес-практиках как «изменения сами по себе», вчера работали по-старому, а завтра начнём по-новому, приходят к успеху в 5% случаев. Но если сначала оценить, что должно измениться в ежедневном поведении сотрудников и воздействовать на это — поменять практики принятия решений, планирования, общения и т.д., вероятность успеха изменений достигает уже 52%. Это в 10 раз выше.

Вузы и колледжи по-прежнему фокусируются на фундаментальных знаниях, базовых языках, технологиях прошлого поколения. А рынку нужны специалисты, которые умеют работать с современными фреймворками, понимают процессы и инструменты DevOps, могут разбираться в предметных областях. Такие компетенции не сформировать за партой, они приобретаются только в реальных проектах, на стыке бизнеса и технологий.

Поэтому многие компании вынуждены растить кадры внутри — через стажировки, школы, программы развития талантов. Например, в в одной компании уже несколько лет работает образовательное подразделение, которое готовит специалистов как раз на стыке разных дисциплин — разработки, анализа данных, кибербезопасности, управления продуктами. Лучших студентов и выпускников приглашают на работу к себе, часть идёт в другие компании. То есть фактически эта компания выступает поставщиком кадров для всего рынка и закрывает не только свои потребности, но и потребности партнеров и клиентов. Это хороший пример симбиоза образования и бизнеса.

Артур Галеев

Начальник отдела DevOps, IBS

Мы работаем с вузами в городах присутствия IBS, проводим стажировки, выращиваем специалистов внутри компании, всегда открыты к кандидатам, которые ищут стажировку.

А чтобы удержать таланты, компании идут на разные ухищрения: предлагают высокие зарплаты и бонусы, улучшают соцпакет, дают возможности удалёнки и релокации. Но главное, на мой взгляд, создать внутри среду, которая мотивирует людей учиться, экспериментировать, привносить новые идеи и практики. Нужна культура общения и обмена опытом между командами, совместного решения инженерных задач, взаимной поддержки и уважения. Только в такой среде люди чувствуют себя комфортно и безопасно, видят смысл и ценность своей работы, могут реализовать свой потенциал.

Отдельно отмечу важность прокачки софт-скиллов у технических специалистов. Недостаточно уметь писать код по ТЗ, нужно уметь объяснять свои решения, аргументировать, договариваться, управлять ожиданиями стейкхолдеров. Многие конфликты и проблемы в DevOps возникают не из-за технических ошибок, а из-за коммуникационных барьеров, недопонимания между командами разработки, эксплуатации, бизнеса. Тот же разработчик должен уметь не только реализовать фичу, но и объяснить её ценность для продукта, согласовать требования с аналитиком, протестировать с инженером качества, передать эксплуатанту. А для этого нужны навыки презентации, переговоров, управления конфликтами, эмоциональный интеллект. К сожалению, этому мало где учат, приходится прокачиваться самим, учиться на своих ошибках.

И последнее — про удалёнку и распределенные команды. Пандемия и уход многих иностранных компаний подтолкнули этот тренд, люди поняли, что можно работать эффективно и из дома, были бы задачи и интернет. Это, с одной стороны, развязало руки работодателям — теперь можно нанимать таланты из регионов, экономить на офисах, привлекать экспертов под проекты. С другой стороны, усложнило коммуникацию и координацию, повысило риски утечек и безопасности. Ведь когда люди не видят друг друга живьём, теряется вовлечённость и доверие, работают в разных часовых поясах, сложнее передать знания, синхронизировать работу.

Поэтому компаниям, которые практикуют распределённую разработку (а таких уже больше 50%), приходится усиливать техническую и культурную составляющую. Использовать асинхронные средства связи (почта, мессенджеры, доски задач), практики документирования знаний (вики, confluence), инструменты удалённого парного программирования и код-ревью. И конечно, чаще созваниваться, проводить виртуальные летучки и синки, устраивать неформальные встречи для укрепления отношений. 

В общем, удалёнка — это не панацея, а испытание на прочность процессов и культуры, которое не каждая компания выдерживает. Но куда деваться — тренд однозначный.

Заключение

Наше исследование показало, что российский рынок DevOps активно развивается, несмотря на все вызовы и ограничения. Всё больше компаний внедряют практики и инструменты, направленные на ускорение и повышение качества разработки. Растёт уровень автоматизации, проникновения облачных платформ, интеграции ИБ в цикл разработки. Хотя до полной зрелости большинству ещё далеко, тренды однозначно позитивные.

Главными драйверами этой трансформации являются сами заказчики, которые требуют от IT всё более быстрой реакции на изменения бизнеса, частых релизов новых продуктов и фич, высокого качества и безопасности цифровых сервисов. А самыми острыми болями — дефицит экспертизы и кадров на рынке, сложности перехода от монолитных архитектур к микросервисам и облакам, регуляторные ограничения на передачу данных и использование зарубежных решений.

В этих условиях повышается роль отечественных вендоров и интеграторов, которые могут предложить заказчикам комплексные решения по DevOps и цифровизации, без привязки к иностранным платформам и с учётом российской специфики. Им стоит фокусироваться на обучении и сертификации клиентов, пакетировании типовых продуктов и сервисов, гибкой модели ценообразования и поддержки. А ещё лучше — инвестировать в собственные школы и академии, растить таланты, формировать вокруг себя экспертные комьюнити. Это хоть и долгий путь, но самый правильный.

Комментарии (2)


  1. vaniacer
    23.09.2024 09:55
    +1

    CPO интересно звучит по русски)


  1. Melonom
    23.09.2024 09:55

    А можно вот подробнее про инструменты от российских поставщиков которые используют уже 77%?