Безопасность · 149 · Q2 2026
Аналитический обзор
Редакция it-institute.ru
DevSecOps Q2 2026:
приказ №117
Приказ ФСТЭК №117 вступил в силу 01.03.2026: критические уязвимости за 24 часа, сканирование 1/мес. 77% крупных компаний внедрили DevSecOps, рынок ASOC — 12,2 млрд ₽. Кейсы Магнит, Росгосстрах, Почта России.
Скачать PDF →№117
Приказ ФСТЭК,
в силе с 01.03.2026
в силе с 01.03.2026
77%
Крупных компаний
внедрили DevSecOps
внедрили DevSecOps
12,2 млрд ₽
Рынок безопасной
разработки (ASOC)
разработки (ASOC)
Требования приказа №117
ФСТЭК, с 01.03.2026
| Уровень уязвимости | Срок устранения | Периодичность |
|---|---|---|
| Критический | 24 часа | — |
| Высокий | 7 дней | — |
| Сканирование кода | — | 1 раз/мес |
| SBOM, ASOC-платформы | в PDF | → |
+ требования к SBOM и практики внедрения — в PDF
Ключевые данные
24 ч
Максимальный срок устранения критических уязвимостей по приказу ФСТЭК №117. Без автоматизации DevSecOps — невыполнимо
77%
Крупных компаний внедрили DevSecOps-практики (Solar appScreener). Средний бизнес отстаёт вдвое, малый — втрое
12,2 млрд ₽
Рынок безопасной разработки в России. Solar — лидер с выручкой 25,6 млрд ₽. 75% приложений содержат уязвимости
Данные о 77% внедрения DevSecOps основаны на опросе Solar appScreener (преимущественно крупный бизнес). Определение «внедрения» варьируется от единичного SAST-сканирования до полной интеграции в CI/CD. Рыночная оценка 12,2 млрд ₽ — аналитика ЦСР, может включать смежные сегменты. Рекомендуется учитывать методологическую погрешность.
Внедрение
Внедрение DevSecOps по размеру бизнеса
Доля компаний с DevSecOps-практиками · Q2 2026
Solar appScreener, ЦСР
Приказ ФСТЭК №117 закрывает разрыв принудительно: требования к срокам устранения уязвимостей одинаковы для всех. Компании без автоматизированного DevSecOps-пайплайна физически не смогут уложиться в 24 часа на критические уязвимости. ASOC-платформы из «полезного инструмента» становятся обязательной инфраструктурой.
Для кого
Три сценария применения
CISO
Обеспечить соответствие приказу ФСТЭК №117
Требования по срокам: 24 часа на критические, 7 дней на высокие, сканирование 1/мес. Чек-лист соответствия, SBOM, выбор ASOC-платформы для автоматизации.
CTO
Встроить безопасность в CI/CD без потери скорости
Кейсы Магнит, Росгосстрах, Почта России — как крупные компании интегрировали SAST/DAST/SCA в пайплайн. Метрики: время сканирования, false positive rate, покрытие.
VP Engineering
Оценить рынок ASOC и выбрать платформу
Рынок 12,2 млрд ₽, Solar — лидер (25,6 млрд выручка). Сравнение российских ASOC: Solar appScreener, PT Application Inspector, Positive DevSecOps. 75% приложений уязвимы.
Содержание PDF
Что в исследовании
01Приказ ФСТЭК №117: разбор требований — сроки устранения уязвимостей, периодичность сканирования, SBOM, ответственность разработчика
02Рынок ASOC: 12,2 млрд ₽ — российские платформы безопасной разработки, доли рынка, прогноз роста, Solar vs PT
0377% крупного бизнеса — уровень внедрения DevSecOps по сегментам, барьеры для среднего и малого бизнеса
04Кейсы: Магнит, Росгосстрах, Почта России — как крупные компании выстраивают DevSecOps-пайплайн, метрики эффективности
0575% приложений уязвимы — статистика по типам уязвимостей, SAST/DAST/SCA покрытие, критические находки
06Рекомендации и методология — чек-лист соответствия №117, дорожная карта внедрения, источники и ограничения
Получите PDF
в личном кабинете
Приказ ФСТЭК №117, рынок ASOC 12,2 млрд ₽, кейсы Магнит и Росгосстрах. Данные Solar, PT, ЦСР. Каждая цифра атрибутирована источнику.
ФСТЭК + Solar + PT + ЦСР · Без спама · Один файл
Доступ к файлам исследований сразу после регистрации