Федеральный суд США предварительно разрешил Google не продавать браузер Chrome и сохранить ОС Android. Об окончательном решении станет известно 10 сентября.

Корпорацию признали монополистом на рынке поисковиков в прошлом августе — ещё в каденцию Джо Байдена, и эксперты предполагали, что, будучи избранным, Дональд Трамп может смягчить требования в этом вопросе.

Чтобы снять статус монополиста, в декабре американский Минюст потребовал от Google продать свой браузер и открыть доступ к поисковым и рекламным данным. ИТ-гигант тогда сообщил, что готов пойти на то, чтобы сделать поисковые соглашения с Apple и другими вендорами неэксклюзивными.

В итоге на днях суд позволил Google продолжать платить производителям смартфонов за предустановку Chrome на их продукцию, но запретил заключать эксклюзивные договоры (компания также сможет сохранить сделку с «яблочниками» об использовании её поисковой системы в Safari). Плюс, ответчик будет обязан на протяжении шести лет предоставлять доступ к своим данным конкурентам: Microsoft, DuckDuckGo, OpenAI, Perplexity и другим.

В условиях быстрого роста киберугроз и непрерывного развития технологий безопасности, подходы к защите информации и приложений становятся все более комплексными и интегрированными в процессы разработки программного обеспечения.

Принципы DevSecOps, включающие безопасность на каждом этапе жизненного цикла разработки, становятся неотъемлемой частью корпоративной стратегии. Для того чтобы эффективно внедрить и развить эти принципы, требуется разработать трехлетнюю стратегию, которая будет учитывать особенности организации и текущий уровень зрелости процессов. Рассмотрим, как должна быть выстроена такая стратегия и какие ключевые метрики эффективности помогут отслеживать успех.

Год 1: Внедрение основ DevSecOps      

Первый год стратегии нацелен на внедрение основных принципов DevSecOps и создание культуры безопасности в рамках команды разработки. На этом этапе цель заключается в интеграции практик безопасности в жизненный цикл разработки ПО (SDLC), а также в формировании прочных связей между тремя ключевыми командами — разработчиками (Dev), специалистами по безопасности (Sec) и операционными командами (Ops). На этом этапе важно не отследить и устранить все уязвимости, которые могут быть обнаружены сканерами, а объективно понять текущий уровень безопасности, выстроить процесс для минимальных проверок и обеспечить первую оценку безопасности минимальными затратами. Как правило, именно первая проверка с устранением достаточно легко обнаруживаемых уязвимостей существенно повышает уровень безопасности и радикально увеличивает стоимость поиска уязвимостей для злоумышленника.

Ключевые инициативы на этот год должны включать всестороннюю оценку текущего состояния безопасности. Это важный шаг для понимания, на каком уровне находятся процессы CI/CD, каковы их слабые места и где нужно проводить изменения. Для этого необходимо провести аудит зрелости DevOps и безопасности. Важно также начать обучение сотрудников. В частности, можно организовать тренинги по безопасной разработке (SecureCoding), ознакомление с OWASP Top 10 (перечень наиболее распространенных уязвимостей) и формирование правильного DevSecOps-мышления.

Интеграция инструментов безопасности в процесс разработки также является важной частью стратегии. В первый год чаще всего внедряют статический анализ кода (SAST) в pipeline CI для анализа исходного кода на ранних этапах, а также динамический анализ (DAST) на этапе тестирования для проверки на уязвимости в реальных условиях.

Статический анализ часто генерирует большое количество ложных срабатываний, что снижает его полезность. Например, инструмент может неправильно интерпретировать использование безопасных библиотек или фреймворков как уязвимость, что приводит к лишней трате времени на обработку таких инцидентов. Также статический анализ не может обнаружить уязвимости, которые возникают только во время выполнения программы, таких как ошибки, связанные с неправильным взаимодействием компонентов, или уязвимости, которые появляются в результате динамической работы с данными.

При динамическом анализе кода (DAST) тестирование приложения происходит во время его выполнения, что позволяет выявить уязвимости в реальном времени. Однако настройка и использование DAST связана с рядом проблем. Чтобы провести качественный динамический анализ, необходимо правильно настроить инструменты для работы с реальными средами и сценариями. Это включает настройку окружений тестирования, взаимодействие с базами данных, внешними сервисами и инфраструктурой, что требует высококвалифицированных специалистов. Динамический анализ зачастую не охватывает весь код приложения, особенно в случае сложных и многослойных приложений, когда тестирование проводится только на части доступных функциональных компонентов.

Сегодня существует необходимость в более интеллектуальных и гибких решениях, которые могут не только повысить точность, но и ускорить процесс анализа. Одним из самых перспективных подходов является использование искусственного интеллекта (ИИ) и машинного обучения (ML) для автоматизации процессов безопасности. ИИ может анализировать код и выявлять уязвимости, используя не только синтаксический анализ, но и контекстуальные связи. Это позволяет предсказать уязвимости, которые могли бы быть пропущены статическими или динамическими анализаторами. ИИ может даже обнаружить «скрытые» уязвимости — как те, что возникают только при специфических данных или в условиях, когда взаимодействуют разные модули программы. Также в отличие от традиционных методов, решения на базе ИИ могут адаптироваться к изменениям в проекте. Это позволяет значительно снизить количество ложных срабатываний и ложных тревог, так как система учится на прошлых ошибках и находит оптимальные способы анализа каждого конкретного случая.

Метрики эффективности на первом году внедрения DevSecOps будут включать такие показатели, как процент покрытия исходного кода DevSecOps-анализом, количество устраненных уязвимостей до того, как они попадут в продакшен, а также уровень вовлеченности в процесс ИБ и R&D. Важно сформировать команду, которая будет следовать принципам безопасной разработки, поощрять DevSecOps-чемпионов и вовлеченных ИБ-экспертов внутри компании. Эти специалисты будут не только обеспечивать соблюдение стандартов безопасности, но и помогать другим сотрудникам адаптироваться к новой культуре безопасности.

Год 2: Масштабирование и автоматизация

На второй год фокус стратегии переносится на масштабирование практик DevSecOps на все команды и проекты организации. Задача заключается в том, чтобы повысить степень автоматизации и контроля безопасности на всех уровнях.

Внедрение IaCSecurity (инфраструктуры как кода) становится важной инициативой, позволяющей автоматически проверять шаблоны, такие как Terraform или Kubernetes YAML, на предмет уязвимостей и ошибок. Также важно организовать сканирование контейнеров и реестров. Инструменты Security-as-Code помогут управлять политиками безопасности как кодом, что позволит автоматизировать контроль на всех этапах разработки и эксплуатации.

В первый год внедрить качественные процедуры динамического анализа получается далеко не всем. Поэтому развитие осуществляется как раз на второй год. В частности, настраиваются инструменты для фаззинга (fuzzing) и динамического тестирования кода.

Не менее важным шагом на втором году будет внедрение систем, с помощью которых можно будет автоматически блокировать нежелательные изменения. Такие технологии позволят контролировать соблюдение политик безопасности и предотвращать ошибки на ранних этапах. Плюс, необходимо интегрировать автоматические проверки pull-requests, что ускорит выявление уязвимостей еще до того, как изменения попадут в основной код.

Кроме того, на этом этапе должна быть создана база безопасных компонентов: реестр одобренных библиотек, контейнеров и других инструментов. Это упростит работу команд и гарантирует, что только безопасные элементы будут использоваться в проектах.

Метрики успеха для второго года будут включать такие показатели, как время от обнаружения уязвимости до ее устранения, процент покрытия IaC сканированием и количество уязвимостей, попавших в продакшен.

Год 3: Оптимизация, культура и устойчивость

На третий год стратегия DevSecOps должна стать неотъемлемой частью корпоративной культуры. Целью является укрепление этих практик как повседневный инструмент, повышение устойчивости и упрощение поддержки, а также внедрение более продвинутой аналитики для предсказания угроз и уязвимостей.

Один из ключевых шагов на третьем году — внедрение Threat Modeling как обязательного стандарта на этапе проектирования систем. Это позволит заранее идентифицировать и минимизировать риски, связанные с уязвимостями. Также на этом этапе следует активизировать взаимодействие с Red и Blue командами через Purple Team-упражнения, что даст возможность протестировать реакцию на реальные угрозы и улучшить процессы безопасности.

Кроме того, стоит интегрировать показатели эффективности DevSecOps в систему оценки OKR команд. Это в свою очередь поможет отследить, насколько хорошо безопасность интегрирована в общие цели команд R&D и ИБ. На этом этапе важным элементом будет интеграция с SIEM/SOAR-системами, что позволит автоматизировать реакцию на инциденты и ускорить их разрешение. Использование технологий AI/ML для выявления уязвимостей также повысит устойчивость систем и уровень проактивного фиксирования угроз.

Важно на третьем году и развивать межфункциональные гильдии, где специалисты из разных команд смогут обмениваться знаниями и улучшать общие практики безопасности.

Метрики успеха на этот год включают среднее время реакции на инциденты (MTTR), долю DevSecOps практик в архитектурных проектах и уровень зрелости по модели Security by Design.

Отличия в подходах

Процессы внедрения и развития DevSecOps в разных отраслях имеют свои особенности. Например, в банковском секторе требования к безопасности значительно жестче из-за строгих нормативных актов, таких как PCI DSS и GDPR. Поэтому в банках внимание уделяется не только защите от атак, но и соблюдению всех стандартов. Нужно, чтобы безопасность была интегрирована в каждый этап разработки и эксплуатации с акцентом на защиту данных клиентов, предотвращение мошенничества, краж и утечек.

В ритейле, в свою очередь, ключевыми угрозами являются утечка личной информации клиентов и атаки на платежные системы. Практика DevSecOps здесь также необходима, но акцент может быть сделан на более быстрой интеграции с внешними системами и повышения гибкости, что важно для быстрого внедрения новых бизнес-функций и обеспечения бесперебойной работы платформ и сервисов.

Для промышленных компаний, работающих с цепочками поставок, подход DevSecOps может существенно повысить защиту от атак на поставщиков и внешние сервисы, а также обеспечить безопасность на всех этапах жизненного цикла разработки и эксплуатации ПО — контроль интеграций, open-source компонентов, собственных наработок и т. д.

Заключение

Стратегия DevSecOps должна быть выстроена с учетом специфики отрасли и зрелости организации в вопросах безопасности. Внедрение этих практик требует комплексного подхода, начиная с оценки текущего состояния и завершая масштабированием и интеграцией передовых инструментов безопасности. Внедрение безопасных практик в процессы CI/CD, использование инструментов для ИБ-анализа, а также постоянный мониторинг и автоматическое реагирование на инциденты помогут минимизировать риски, повысить устойчивость бизнес-систем и создать сильную культуру безопасности, которая обеспечит защиту от современных кибератак.

Комментарии экспертов

Игорь Бирюков, генеральный директор INFERA Security:

Интеграция безопасности с DevOps требует четкой стратегии, которая охватывает все ключевые аспекты — от анализа кода до его развертывания в инфраструктуре компании. Это связано с необходимостью не только внедрять инструменты безопасности, но и формировать культуру, в которой безопасность становится частью повседневной работы каждой команды. Это не просто формальные задачи, а внедрение целых процессов и процедур, которые требуют постоянного взаимодействия между командами разработки (Dev), безопасности (Sec) и эксплуатации (Ops). Процессы будут не банальным дополнением к существующим средствам разработки, а неотъемлемой частью самого цикла разработки с минимальным вмешательством человека и использованием инструментов AI.Security. Безопасность должна быть встроена в архитектуру кода с самого начала. Именно такой принцип мы заложили в свой продукт InfEraAI.SafeCode. Только так можно гарантировать защиту данных и приложений от современных киберугроз.

Игорь Душа, директор портфеля продуктов экосистемы в области информационной безопасности «Нота Купол»:

Сегодня достаточно большое число компаний внедряет у себя процессы безопасной разработки. Специалистов, как по направлению DevSecOps, так и Security Champions не хватает. Поэтому вопрос автоматизации ряда процессов особенно важен. Более того, многие начинают понимать важность максимально раннего обнаружения и устранения уязвимостей (принцип Shift Left), что существенно уменьшает затраты на их устранение, не говоря уже о потенциальных последствиях эксплуатации уязвимостей. Поэтому грамотное встраивание процессов и использование современных инструментов важно для многих заказчиков, а нам особенно важен подбор лучших технических решений.

Сервис PayPal объявил о расширении стратегического партнёрства с ИИ-стартапом Perplexity. Пользователям самого PayPal и связанного с компанией приложения Venmo предоставили ранний доступ к браузеру Comet и бесплатную годовую подписку на Perplexity Pro (цена в обычных условиях — 200 долларов). Стороны рассматривают союз как возможность усилить вовлечённость клиентов и продвинуть недавно запущенный центр подписок для управления рекуррентными платежами.

Comet при этом позиционируется как браузер нового поколения, в котором поиск и навигация изначально строятся вокруг ИИ. Он способен генерировать краткие ответы с цитированием источников, автоматически суммировать содержимое веб-страниц, сравнивать товары и услуги, а также взаимодействовать с электронной почтой, календарями и историей просмотра, чтобы помогать в организации встреч и обработке информации. Альтернатива Chrome и Safari с упором на автоматизацию. В стек браузера от Perplexity входят GPT-4 Turbo и GPT-5 с улучшенной точностью и сниженным уровнем «галлюцинаций», Claude 3 и 4.0 Sonnet от Anthropic, Google Gemini 2.5 Pro, а также собственная модель вендора Sonar Large.

Интеграция с платёжной инфраструктурой PayPal важна в свете того, что Perplexity Pro поддерживает концепцию «агентной» коммерции — когда оплата совершается прямо в чат-интерфейсе. Система использует токенизированные кошельки и passkey-аутентификацию без паролей, а также автоматически «подтягивает» платёжные и адресные данные из аккаунта PayPal. Антифрод-фильтр прилагается.

У мессенджера Max нет технических и правовых возможностей, чтобы «оформлять доносы», утверждает член думского комитета по информполитике Антон Немкин.

«Слух о том, что мессенджер Max якобы "будет оформлять доносы" с помощью искусственного интеллекта — из области фантастики. Ни технических возможностей, ни правовых оснований для этого не существует. Приложение выполняет те же функции, что и любой современный мессенджер: обмен сообщениями, звонки, передача файлов», — заверил депутат.

Он также отметил, что распространение подобных мнений имеет целью посеять недоверие к отечественным цифровым продуктам: «На смартфонах большинства граждан давно установлены сервисы крупнейших компаний и госструктур — "Сбер", ВТБ, "Госуслуги". За все годы их работы не было ни одного факта использования встроенного ИИ для „доносов“ или отслеживания личных действий пользователей. На практике же Max проходит те же самые проверки безопасности и соответствует тем же правилам, что и другие популярные приложения. Его главная задача — обеспечить удобную и защищённую коммуникацию, а не заниматься слежкой».

Карты платёжной системы «Мир» могут в скором времени начать принимать в Таиланде. Об этом на проходящем в эти дни во Владивостоке Восточном экономическом форуме рассказал глава Российско-Таиландского делового совета Иван Демченко.

По его словам, сейчас в соответствующем направлении ведётся активная работа с банками королевства. Ранее Демченко заявлял, что Таиланд — «точка притяжения» для россиян, так как около двух миллионов граждан РФ посещают эту страну ежегодно.

В мае иранский центробанк сообщал о завершении второго этапа интеграции «Мира» и местной платёжной системы Shetab. Таким образом, российские туристы смогут расплачиваться отечественным «пластиком» на территории Исламской Республики уже к концу этого года.