Это продолжение серии исследований DevSecOps в России. Q1 обзор зафиксировал регуляторную рамку — ГОСТ Р 56939, приказы ФСТЭК, карту инструментов. Q2 2026 приносит принципиальные изменения: 1 марта вступил в силу приказ ФСТЭК №117, который заменил действовавший 13 лет приказ №17. Безопасная разработка перестала быть рекомендацией — она стала обязательной мерой для всех государственных информационных систем. Параллельно рынок показал конкретные цифры: 12,23 млрд рублей на инструменты безопасной разработки, 77% крупных компаний с интегрированной безопасностью в CI/CD. Ниже — полный разбор.
Что изменилось с Q1: сводная таблица
| Параметр | Q1 2026 (январь — февраль) | Q2 2026 (март — апрель) |
|---|---|---|
| Ключевой приказ ФСТЭК | №177 (октябрь 2025) — обновление требований к ГИС/КИИ | №117 (1 марта 2026) — полная замена приказа №17, расширение на ВСЕ гос. ИС |
| Уровень интеграции DevSecOps | ~10% с зрелым DevSecOps (экспертная оценка) | 77% крупных компаний интегрировали безопасность в DevOps (thecode.media) |
| Рынок инструментов | Нет публичных оценок | 12,23 млрд ₽ — ASOC и безопасная разработка (TAdviser) |
| Срок устранения уязвимостей | Не регламентирован | 24 часа — критические, 7 дней — высокие (приказ №117) |
| SBOM | Нет требований | Появляется в вакансиях Senior DevSecOps, но без регуляторного мандата |
| Кейсы | Общие практики лидеров | Магнит (ASOC), Росгосстрах (Hexway Vampy), Почта России (Security Champions) |
| ГОСТ Р 56939-2024 | Действует как ориентир | PVS-Studio прошёл сертификацию |
Приказ ФСТЭК №117: что изменилось 1 марта 2026
Приказ ФСТЭК №117 — это не косметическое обновление. Он полностью заменил приказ №17, действовавший с 2013 года, и принципиально расширил область применения. Если приказ №17 регулировал только государственные информационные системы (ГИС), то №117 распространяется на все государственные информационные системы — включая муниципальные, ведомственные и иные ИС, обрабатывающие данные органов власти.
Ключевые требования приказа №117:
- Безопасная разработка — обязательная мера. Не рекомендация, не «по возможности», а явное требование для всех ИС, подпадающих под действие приказа.
- Жёсткие SLA на устранение уязвимостей. Критические уязвимости — 24 часа. Высокие — 7 дней. Это означает, что без автоматизации (SAST/DAST в CI/CD) соблюдение сроков физически невозможно.
- Ежемесячное сканирование. Регулярный анализ уязвимостей — не при релизе, а с заданной периодичностью.
- Кадровые требования. 30% сотрудников подразделений ИБ должны иметь профильное образование в области информационной безопасности.
Если ваш продукт используется в государственной ИС — вы обязаны обеспечить безопасную разработку и подтвердить устранение критических уязвимостей за 24 часа. Это касается не только прямых подрядчиков, но и вендоров, чьё ПО эксплуатируется в госсекторе. Рекомендуем провести gap-анализ: есть ли у вас SAST в CI/CD, настроены ли SLA на устранение, документируется ли процесс.
Приказ №117 создаёт прямой коммерческий стимул. Компании, которые не могут доказать соответствие, рискуют потерять доступ к государственным контрактам. Те, кто уже внедрил DevSecOps, получают конкурентное преимущество.
77%: DevSecOps стал нормой для крупного бизнеса
Исследование «State of DevOps Russia 2025» (thecode.media, март 2026) зафиксировало переломный момент: 77% крупных компаний интегрировали безопасность в DevOps-процессы. Для сравнения — в Q1 обзоре мы оценивали долю компаний с зрелым DevSecOps в ~10%.
Расхождение объяснимо: «интегрировали безопасность» и «зрелый DevSecOps» — разные вещи. Интеграция может означать SAST-сканер в pipeline, но без threat modeling, SCA и мониторинга в production. Тем не менее, тренд однозначный — безопасность перестала быть отдельным этапом «перед релизом» и встраивается в конвейер разработки.
Контекст усиливает картину: 75% массовых приложений содержат уязвимости (исследование Solar appScreener, Q1 2026), а число атак с использованием программ-вымогателей выросло на 58% в 2025 году. Сочетание регуляторного давления (приказ №117) и реальных угроз делает DevSecOps не опцией, а необходимостью.
Кейсы Q1 2026: Магнит, Росгосстрах, Почта России
Три кейса из первого квартала 2026 года демонстрируют разные подходы к внедрению DevSecOps в крупных российских организациях.
Магнит — ASOC и Shift Left
Розничная сеть «Магнит» внедрила платформу оркестрации безопасности приложений (ASOC) с подходом Shift Left — перенос проверок безопасности на ранние этапы разработки. Результат — обнаружение уязвимостей до попадания кода в production, сокращение стоимости исправлений. Кейс показателен тем, что DevSecOps внедряется не только в IT-компаниях, но и в ритейле, где цифровые продукты стали критическим элементом бизнеса.
Росгосстрах — Hexway Vampy и оптимизация
Росгосстрах интегрировал платформу Hexway Vampy для управления уязвимостями. Заявленный результат — сокращение времени разработки на 10-15% за счёт автоматизации рутинных проверок безопасности. Hexway Vampy выступает как агрегатор результатов сканирования из разных инструментов — SAST, DAST, SCA — с единым интерфейсом приоритизации и отслеживания.
Почта России — Security Champions в масштабе
«Почта России» — 38 000 отделений, 28 объектов КИИ — реализовала программу Security Champions. Подход: в каждой команде разработки выделяется сотрудник, ответственный за безопасность. Он не заменяет ИБ-специалистов, а выступает связующим звеном между разработкой и безопасностью. Для организации такого масштаба с десятками объектов КИИ это единственный способ масштабировать DevSecOps без кратного увеличения штата ИБ.
| Компания | Подход | Инструмент | Результат |
|---|---|---|---|
| Магнит | ASOC + Shift Left | Платформа оркестрации | Обнаружение уязвимостей до production |
| Росгосстрах | Управление уязвимостями | Hexway Vampy | -10-15% времени разработки |
| Почта России | Security Champions | Организационный | Масштабирование на 38 000 отделений, 28 КИИ |
SBOM: практика опережает регулятора
Software Bill of Materials (SBOM) — перечень всех компонентов ПО, включая open-source-зависимости — появился в вакансиях Senior DevSecOps на Careerist.ru (март 2026). Работодатели начинают требовать опыт формирования и поддержки SBOM как обязательный навык.
При этом ФСТЭК пока не включил SBOM в обязательные меры ни в приказ №117, ни в другие нормативные документы. Ситуация аналогична тому, как развивался SAST: сначала — практика лидеров, затем — требование регулятора. Учитывая глобальный тренд (US Executive Order 14028 обязывает SBOM для госзакупок), появление российского требования — вопрос времени.
ГОСТ Р 56939-2024 косвенно подготавливает почву: стандарт требует «анализа состава ПО» и «контроля цепочки поставок». PVS-Studio в Q1 2026 прошёл сертификацию на соответствие ГОСТ Р 56939-2024 — первый шаг к формализации инструментов анализа кода под российский стандарт.
Начните формировать SBOM до появления регуляторного требования. CycloneDX и SPDX — два открытых формата. CodeScoring и Solar appScreener поддерживают генерацию SBOM для российских проектов. Когда ФСТЭК введёт обязательный SBOM — у вас уже будет налаженный процесс.
Рынок ASOC: 12,23 млрд рублей и ключевые игроки
TAdviser в марте 2026 оценил российский рынок безопасной разработки в 12,23 млрд рублей. Это включает ASOC-платформы (Application Security Orchestration and Correlation), SAST/DAST-сканеры, SCA-инструменты и консалтинг по внедрению DevSecOps.
Общий рынок кибербезопасности России прогнозируется на уровне 297 млрд рублей (рост +40%). Безопасная разработка — примерно 4% от этого объёма, но один из самых быстрорастущих сегментов.
Обновления ключевых вендоров Q1 2026
Solar appScreener интегрирован в платформу «Сфера» (NOTA) — экосистему для разработки. Добавлен AI-плагин, который, по заявлению вендора, снижает стоимость DevSecOps-процессов на 15%. ГК «Солар» показала выручку 25,6 млрд рублей (+15,3% к 2024), клиентская база выросла до 1 500 компаний (+50%). Рост клиентской базы на 50% за год — индикатор того, что спрос на инструменты безопасной разработки формируется не только регуляторикой, но и реальными потребностями бизнеса.
PT Application Inspector Enterprise — новый продукт Positive Technologies, представленный в марте 2026. Расширяет линейку PT AI для крупных организаций с десятками команд разработки и сотнями репозиториев. Позиционируется как решение для централизованного управления анализом кода в enterprise-масштабе.
Рекомендации по приоритетам Q2 2026
| Приоритет | Действие | Для кого | Срок |
|---|---|---|---|
| Критический | Gap-анализ соответствия приказу №117 — проверить SLA на устранение, ежемесячное сканирование, квалификацию персонала | Все разработчики ПО для гос. ИС | Апрель 2026 |
| Высокий | SAST в CI/CD — без автоматизации невозможно выдержать 24-часовой SLA на критические уязвимости | Команды без автоматизированного анализа кода | Q2 2026 |
| Высокий | Внедрение ASOC — оркестрация сканеров, дедупликация, SLA-трекинг | Организации с 3+ командами разработки | Q2-Q3 2026 |
| Средний | Пилотный SBOM-процесс — CycloneDX, интеграция с SCA | Компании с open-source-зависимостями | Q3 2026 |
| Средний | Программа Security Champions — выделить ответственного за ИБ в каждой команде | Организации с 5+ командами | Q2-Q3 2026 |
FAQ о DevSecOps Россия Q2 2026
Чем приказ ФСТЭК №117 отличается от приказа №17?
Приказ №117 заменил приказ №17 (2013) и расширил область применения с ГИС на все государственные информационные системы. Добавлены жёсткие SLA: 24 часа на критические уязвимости, 7 дней на высокие. Введено требование ежемесячного сканирования и квалификации 30% ИБ-персонала с профильным образованием. Безопасная разработка стала обязательной мерой, а не рекомендацией.
Обязателен ли SBOM для российских компаний?
На апрель 2026 — нет. ФСТЭК не включил SBOM в обязательные меры ни в приказ №117, ни в другие документы. Однако SBOM уже появляется в требованиях к Senior DevSecOps-позициям, а ГОСТ Р 56939-2024 требует «анализа состава ПО». Рекомендуем начать формирование SBOM до введения обязательного требования.
Какой объём рынка безопасной разработки в России?
По оценке TAdviser (март 2026), рынок ASOC и инструментов безопасной разработки в России составляет 12,23 млрд рублей. Общий рынок кибербезопасности прогнозируется на уровне 297 млрд рублей (+40%), безопасная разработка — один из самых быстрорастущих сегментов (~4% от общего объёма).
Сколько времени даёт приказ №117 на устранение уязвимостей?
Критические уязвимости — 24 часа, высокие — 7 дней. Также введено требование ежемесячного сканирования. Без SAST/DAST в CI/CD выполнение этих SLA практически невозможно — ручной анализ не укладывается в такие сроки.
Какие российские инструменты DevSecOps обновились в Q1 2026?
Solar appScreener интегрирован в платформу «Сфера» (NOTA) с AI-плагином (заявленное снижение затрат на 15%). Positive Technologies выпустила PT Application Inspector Enterprise для крупных организаций. PVS-Studio прошёл сертификацию на соответствие ГОСТ Р 56939-2024.