Не просто импортозамещение: что видно по DevOps- и DevSecOps-продуктам с DevOpsConf 2026

от автора

Российский рынок DevOps-инструментов за последние годы прошёл заметный поворот. Первая фаза импортозамещения во многих командах была вынужденной и довольно прямолинейной: найти замену привычному зарубежному сервису, закрыть регуляторный риск, перенести данные в приемлемый контур и не сломать процессы разработки. В 2026 году команды уже спрашивают не только «чем заменить», а как встроить инструмент в реальный инженерный процесс, как измерить эффект, как снизить шум, как не превратить безопасность в тормоз релизов и как дать разработчику больше контекста в моменте, когда он пишет, выкатывает или чинит код.

Продуктовая аллея на DevOpsConf 2026 оказалась удобной оптикой для такого среза. Это не классическая выставка, где стенды живут отдельно от программы конференции. На аллее у каждого продукта были стенд, питч и интервью с представителем команды, а цифровой каталог разбивал продукты по инженерным задачам: безопасность разработки, мониторинг и надёжность, Kubernetes и инфраструктура, инструменты разработчика.

Важно: это не рейтинг и не каталог функций. В подборке есть продукты разной зрелости и разного масштаба: от open source runtime-security до managed Kubernetes, от AIOps-корреляции алертов до Git-платформы с AI-ассистентом. Смотреть на них лучше как на карту болей, вокруг которых сейчас собирается российский DevOps/DevSecOps-стек.

Безопасность разработки: от сканеров к управляемому процессу

В AppSec заметен переход от отдельных сканеров к слоям управления поверх них. Несколько лет назад главным вопросом часто было «какой SAST/DAST/SCA поставить». Сейчас у крупных команд вопрос звучит шире: как собрать результаты разных инструментов, убрать дубли, назначить ответственных, принять или отклонить риск, передать задачу разработчику и показать руководителю динамику риска. Поэтому на аллее заметны ASOC/ASPM-подходы, supply chain security и runtime-защита контейнеров.

Шерлок: AppSec-дефекты как управляемый поток задач

Шерлок от Axel PRO в каталоге описан как единый центр управления AppSec-дефектами и AppSec-платформа для оптимизации и автоматизации процессов управления ИБ-дефектами в ПО. Если перевести это на язык разработчика, боль в том, что сканеры находят много, но результаты не превращаются в понятную очередь инженерной работы.

В зрелом SSDLC уязвимость должна жить не только в отчёте безопасника. Она должна иметь контекст, владельца, статус, связь с задачей в трекере и понятный маршрут: исправить, принять риск, отложить, исключить как false positive или пересмотреть приоритет. В описании Шерлока подчёркнута связка «от перечня дефектов безопасности до конкретных задач в Jira». Для команд, где AppSec уже не ограничивается периодическим аудитом, это ключевой сдвиг: безопасность становится не внешней проверкой, а частью потока delivery.

Осторожнее здесь стоит быть компаниям, которые ещё не договорились о базовой модели ответственности. ASOC/ASPM-инструмент помогает управлять потоком, но не заменяет процесс: кто принимает риск, кто владелец компонента, какие SLA на исправление критичных находок, что блокирует релиз, а что уходит в backlog. Если этих правил нет, продукт скорее покажет хаос, чем мгновенно его устранит.

TRON.ASOC: «зонтик» над SAST, DAST, SCA и контейнерной безопасностью

TRON.ASOC от Ximi Data — это не ещё один сканер безопасности, а процессный слой поверх инструментов. Безопасная разработка состоит из людей, процессов и технологий, а ASOC относится прежде всего к процессам.

Практическая боль понятна любой команде, где в CI/CD живёт несколько security-инструментов. У компании может быть несколько SAST, один-два DAST, SCA, решения для контейнеров и другие проверки. Каждый инструмент отдаёт отчёт в своём формате, со своими метриками и терминологией. Если AppSec-инженер ежедневно заходит в каждый инструмент, запускает проверки, выгружает отчёты и вручную сводит результаты, процесс съедает время быстрее, чем команда успевает исправлять находки.

«Когда у тебя 5–10 инструментов, и тебе нужно ежедневно заходить в каждое, запускать сканирование, выгружать отчет, потом его парсить и агрегировать, на это тратится ещё один день», — объяснял Олег Новиков на стенде TRON.ASOC.

TRON.ASOC собирает отчёты через API, агрегирует результаты и позволяет формировать отчёты под конкретные метрики заказчика. Отдельный акцент нужно сделать на кастомизации сервиса: правила дедупликации, модель критичности, статусы, роли и маршрут триажа собираются под процесс компании. Это сильная сторона для enterprise-среды, где разные команды и продукты живут в разных рисковых профилях.

Для разработчика ценность здесь в снижении количества неструктурированных сигналов. Если одна и та же проблема «стреляет» в нескольких сканерах, платформа должна помочь убрать дубли и дать одну управляемую задачу. Если находок много, важно не просто отсортировать их по severity из сканера, а обогатить контекстом и привязать к продукту, команде, SLA и реальному риску.

TRON.ASOC чаще встраивается «рядом с CI/CD», как единое окно безопасной разработки, а не как жестко зашитый блок в pipeline. Это хорошо для гибкости, но требует зрелости процесса. Если команда хочет просто «поставить gate и забыть», ей придется сначала договориться, какие проверки действительно блокируют поставку, а какие должны попадать в управляемую очередь.

CodeScoring: supply chain security как часть разработки

CodeScoring — российская платформа безопасной разработки, которая помогает управлять рисками open source, соблюдать лицензионные требования, отслеживать качество и прозрачность разработки и предотвращать утечки конфиденциальных данных. В терминах DevSecOps это прежде всего зона SCA и supply chain security.

Боль здесь стала массовой не из-за моды на open source, а из-за структуры современной разработки. Значительная часть продукта собирается из внешних библиотек, пакетов, контейнерных образов и транзитивных зависимостей. Уязвимость может приехать не в коде, который написал ваш разработчик, а в библиотеке, которую подтянул другой пакет. В такой модели недостаточно проверять только собственный репозиторий: нужно понимать состав ПО, лицензии, версии, источники и путь зависимости до production.

Для разработчика хороший SCA-инструмент ценен тогда, когда помогает понять, где зависимость используется, насколько она достижима в конкретном проекте, чем её можно заменить и не конфликтует ли лицензия с моделью распространения продукта. CodeScoring закрывает именно риски, связанные с open source и прозрачностью разработки.

SCA не заменяет SAST, DAST, secrets scanning и runtime-контроль. Это отдельный слой безопасности цепочки поставки. Его эффект максимален в командах, где уже есть дисциплина управления зависимостями: регулярные обновления, владельцы компонентов, policy для запрещённых лицензий и понятный процесс исключений.

Runtime Radar: контейнеры надо смотреть не только до релиза

Runtime Radar от Positive Technologies — open source-решение для мониторинга безопасности и реагирования на инциденты в контейнеризированных средах. Ключевые теги продукта: Runtime Security, Kubernetes, eBPF, open source и SIEM

Это важный сдвиг в безопасности контейнеров. До релиза можно проверять Dockerfile, base image, зависимости, IaC и Kubernetes-манифесты. Но часть рисков проявляется только в runtime: неожиданный сетевой вызов, запуск shell внутри контейнера, обращение к чувствительному файлу, нетипичное поведение процесса. eBPF-подход позволяет наблюдать за поведением на уровне ядра без грубого вмешательства в приложение, а интеграция с SIEM нужна для того, чтобы события runtime security не жили отдельно от общего контура реагирования.

Для Kubernetes-команд Runtime Radar интересен как слой, который смотрит на фактическое поведение workload, а не только на статическое состояние образа. Особенно это полезно там, где много сервисов, образы собираются часто, а часть инфраструктуры живёт в общем кластере с разными командами-владельцами.

При этом runtime security не отменяет профилактику. Если в pipeline нет SCA, image scanning, policy enforcement и нормальных прав в кластере, runtime-мониторинг будет видеть последствия проблем, но не остановит их появление. И наоборот, если есть только проверки до релиза, команда может не заметить фактическую эксплуатацию уязвимости или компрометацию контейнера.

Мониторинг и надёжность: меньше шума, больше контекста

В мониторинге давно нет дефицита данных. Метрики, логи, трейсы, алерты, события из CI/CD, изменения конфигурации, релизы, данные из ITSM — всё это уже есть. Дефицит в другом: в способности быстро собрать из этих сигналов рабочую картину. Поэтому две заметные линии на аллее: observability как единый контекст и AIOps как корреляция событий и поиск первопричин.

Artimate: из потока алертов в кабинет инцидента

Artimate от Prooftech IT — AIOps-платформа, которая выступает единым интерфейсом для данных ИТ-мониторинга, использует ML для корреляции событий, поиска первопричин и помогает раньше выявлять признаки деградации и снижать риск влияния на бизнес-сервисы. Цель сервиса — обеспечить SLA доступности сервисов на том уровне, который компания заявляет заказчикам.

Механика Artimate строится вокруг инцидента как контролируемого объекта. Платформа забирает события из систем мониторинга, нормализует данные, кластеризует сообщения, выделяет шаблоны и семантические группы, например, проблемы с памятью, диском, авторизацией, а затем строит корреляционный граф между кластерами событий. На выходе инженер получает «кабинет инцидента»: историю деградации, связанные события, затронутые сервисы и хосты, а также гипотезу первой причины.

«Главное, что наша команда придумала, — кабинет инцидента. Это объект, в котором собрана вся информация о деградации», — объяснял Никита на стенде Artimate.

С точки зрения интеграций чаще всего упоминаются Zabbix, Besloy и Prometheus; также коннекторы к Glaber, Astra Monitoring , wiSLA, Zabbix и универсальный коннектор для систем, которые не входят в популярный набор. Это важная деталь: AIOps не появляется из воздуха. Он требует нормализации и качественной разметки входных данных. Поэтому нормализация — первый и самый важный этап внедрения.

Эффект Artimate предлагается измерять инженерными метриками: MTTA — время до принятия инцидента в работу, MTTR — время реакции, поиска первопричины и решения, а также показатели дедупликации, агрегации и сжатия потока событий. Улучшение метрик достигается через увеличение скорости реакции и качества обработки инцидентов.

Если исходные алерты плохо размечены, пороги хаотичны, а сервисная модель не описана, AIOps-инструмент сначала покажет эту проблему. Быстрого «магического» снижения шума из коробки продукт не обещает; наоборот, эффект появляется в процессе совместной настройки платформы и данных.

Yandex Monium: observability не как три сервиса, а как один маршрут расследования

Yandex Monium — observability-платформа для работы с метриками, логами и трейсами находящимися в любом окружении:  Yandex Cloud, стороннем облачном провайдере или локальной инфраструктуре. Ценность в том, что это одна платформа, которая упрощает расследование и экономит самое дорогое время — время во время инцидента.

Monium делает ставку на единый контекст телеметрии. Чтобы система действительно помогала расследовать, сервисы нужно инструментировать метриками, логами и трейсами, а телеметрию связать общей меткой, например меткой сервиса. Тогда инженер может переходить между сигналами и строить кросс-наблюдаемость, а не вручную сопоставлять разные источники.

«Самое важное — правильно связать это в единый контекст. Тогда у вас будет основная ценность продукта», — объясняла Надежда на стенде Yandex Monium.

Типовые сценарии звучат знакомо SRE-командам: контроль релизов, мониторинг сразу после релиза, расследование production-инцидентов, поиск деградации, capacity planning. Но основной сценарий — инциденты: быстро найти проблему, локализовать её и починить.

Отдельно важен подход к шуму. Monium предлагает не вешать алерты на каждую метрику, а покрывать SLO критичные пользовательские или бизнес-сценарии и уже на них строить алертинг и эскалации. Для борьбы с alert fatigue используются агрегация алертов, механизмы связывания и «хлоподав» для ситуаций, когда алерт постоянно переходит из состояния в состояние и раздражает дежурных.

Начинать внедрение рекомендуют с одной критичной метрики. Например, для интернет-магазина это может быть оплата, количество заказов или негативный сценарий, связанный с неоплаченными корзинами. На такую метрику настраивается SLO, после чего команда получает первый фокус и может развивать наблюдаемость дальше.

Monium не отменяет необходимость думать об инструментировании. Если сервис не отдаёт нужную телеметрию и не размечен так, чтобы её можно было связать, observability-платформа не даст «однозначного ответа» сама по себе. Здесь снова видно общее правило рынка: инструмент становится полезным там, где команда готова вложиться в модель данных.

Kubernetes и инфраструктура: managed, on-prem и сервисный подход

Kubernetes давно перестал быть экзотикой. Но зрелость эксплуатации кластера всё ещё сильно различается от компании к компании. Одни команды хотят снять с себя control plane, обновления и сертификаты через managed service. Другие строят on-prem-платформу с PaaS-сервисами. Третьи приходят к DevOps as a Service, потому что дешевле купить практику эксплуатации, чем наращивать её внутри с нуля.

Deckhouse Kubernetes Platform Community Edition: Kubernetes-платформа, а не «самосборный»кластер

Deckhouse от «Фланта» представлен как продуктовое направление, развивающее Kubernetes-платформу и набор инструментов для виртуализации, наблюдаемости, хранения секретов, управления разработкой и жизненным циклом ПО. С 2017 года продукты Deckhouse внедрили более 260 компаний.

Главный продукт, который показывали на конференции, — Deckhouse Kubernetes Platform Community Edition (DKP CE), Open Source-платформа на базе K8s. Сам по себе Kubernetes не является конечной платформой для разработчика. Команде нужны сетевые политики и политики безопасности, наблюдаемость, управление секретами удобные обновления компонентов, виртуализация, процессы жизненного цикла, веб-интерфейс и эксплуатационная модель. В этом смысле DKP CE интересна как готовая платформа с открытым исходным кодом.

Использование платформы снижает количество ручных операций и когнитивную нагрузку на инженерные команды. Вместо поддержки собственного решения из десятков Open Source-технологий команда получает решение с проверенными и интегрированными компонентами, готовыми механизмами обновлений, мониторинга и day-2 эксплуатации.

Для platform engineering-команд такой подход полезен тем, что Kubernetes внутри компании становится не просто набором отдельных кластеров, а общей платформой для сервисных команд. Разработчики получают более предсказуемую среду, а эксплуатация — единые подходы к обновлениям, мониторингу и поддержке.

Платформенный подход требует владельца платформы. Если в компании нет команды, которая будет отвечать за правила, жизненный цикл и поддержку внутреннего Kubernetes-продукта, даже хороший инструмент может превратиться в бесхозный набор модулей.

DaaS от «Фланта»: DevOps as a Service как покупка эксплуатационной зрелости

DaaS — DevOps-сопровождение 24/7: выделенная команда берёт на себя поддержку инфраструктуры, помогает внедрять технологии и процессы, от Kubernetes и выбора инструментов CI/CD до релиз-менеджмента и автоматизации эксплуатации.

Не каждой компании выгодно строить сильную SRE/DevOps-команду внутри, особенно если инфраструктурная сложность уже выросла, а бизнес не хочет превращаться в инфраструктурного оператора. В таких случаях DevOps as a Service закрывает не только потребность в инженерных ресурсах, но и в зрелых практиках эксплуатации: дежурствах, обновлениях, диагностике, сценариях миграции и стандартизации процессов.

Для разработчиков ценность здесь косвенная, но ощутимая: меньше случайных инфраструктурных решений, больше предсказуемости окружений, меньше «героической» поддержки по ночам силами продуктовой команды. Для CTO обращение к команде DaaS — это способ быстрее получить зрелую эксплуатационную модель, чем нанимать и растить её с нуля.

Сервисный подход не снимает с компании ответственность за архитектурные решения. Если продуктовая команда не участвует в постановке требований, DevOps as a Service может начать оптимизировать инфраструктуру отдельно от продукта. Поэтому здесь особенно важны договорённости о зонах ответственности и SLO.

Yandex Cloud Stackland: контейнерная платформа с PaaS в on-prem-контуре

Yandex Cloud Stackland — платформа контейнеризации с интегрированными PaaS-сервисами Yandex Cloud для внедрения on-premises. Она объединяет компоненты для централизованного управления микросервисными и ИИ-приложениями.

Потребность здесь понятна компаниям с ограничениями по контуру, данным или регуляторике. Они хотят получить опыт облачной платформы, но разместить его ближе к собственной инфраструктуре. В 2026 году это особенно заметно в enterprise: облачная модель потребления и self-service стали нормой ожиданий, но не все нагрузки можно вынести в публичное облако.

Для platform engineering-команд Stackland интересен как способ принести PaaS-паттерны в on-prem: централизованное управление, сервисы платформы, единые правила для микросервисов и AI-нагрузок. Для разработчика это должно означать меньше ручной инфраструктурной работы и более быстрый путь от кода до окружения.

Где осторожнее: on-prem-платформа не становится облаком только из-за названия. Её всё равно нужно эксплуатировать, обновлять, резервировать и интегрировать с корпоративными IAM, сетью, безопасностью и процессами изменений. Поэтому Stackland логично рассматривать для компаний, которые уже понимают, зачем им on-prem PaaS и кто будет владельцем этой платформы.

Managed Service for Kubernetes: снять control plane, но не снять ответственность за архитектуру

Yandex Managed Service for Kubernetes — сервис, который упрощает управление Kubernetes-кластерами, масштабирование и обновления. Облачный провайдер берёт на себя control plane: администрирование мастеров, обновления компонентов, выпуск security patches, сертификаты и часть интеграций. У пользователя нет SSH-доступа на мастера, потому что это зона провайдера.

В интервью на стенде отдельно упоминали cluster autoscaler, автоматическое масштабирование групп узлов, CSI-драйверы для интеграций, Marketplace приложений, релизные каналы и maintenance window для управления временем обновлений. Для инженера это означает, что большая часть эксплуатационной рутины действительно уходит в managed service. Но workload, права, security groups, сервисные аккаунты, архитектура отказоустойчивости и стоимость ресурсов остаются задачей пользователя.

Типовые сценарии использования ожидаемы: микросервисы, CI/CD, batch-задачи, ML inference. ML-нагрузки растут, а для них доступны GPU-платформы. В части стоимости обсуждались autoscaling, прерываемые виртуальные машины и детализация биллинга по кластерам и группам узлов через метки. а о механизмах управления расходами.

Важная цифра — SLA 99,9% для доступности control plane в сценарии высокодоступных мастеров, расположенных в разных зонах. Это не гарантия доступности вашего приложения целиком: рабочие ноды, разнесение workload, PDB, storage, сетевые зависимости и архитектура сервиса остаются на стороне команды.

«Есть зона, где мы предоставляем готовый инструмент, и зона пользовательская, где пользователь отвечает уже за свою безопасность. Это модель разделённой ответственности», — объяснял Нурсултан на стенде Managed Service for Kubernetes.

Managed Kubernetes снижает порог входа, но не отменяет базовую инженерную дисциплину.

YTsaurus: big data в одном контуре и open source-модель

YTsaurus — open source-платформа для хранения и обработки больших данных, которая поддерживает batch, streaming, SQL-аналитику и машинное обучение в единой системе. Поставляется как on-premises и как управляемое решение в составе Yandex Cloud.

Это направление немного в стороне от классического DevOps, но очень близко к инфраструктурной реальности крупных команд. Данные редко живут в одном режиме. Есть пакетная обработка, потоковые события, аналитические запросы, ML-пайплайны, требования к хранению и доступу. Если под каждый режим строить отдельный контур, команда получает сложность интеграции, дублирование данных и дополнительные точки отказа.

Для разработчиков и data-инженеров ценность YTsaurus в том, что разные типы нагрузок можно собирать в одном инфраструктурном контуре. Для platform-команды — в том, что open source-модель и on-prem-поставка позволяют контролировать размещение, интеграции и эксплуатацию.

Это не инструмент «для каждого микросервиса». YTsaurus имеет смысл там, где уже есть существенные data-нагрузки и команда, способная эксплуатировать или осмысленно потреблять такую платформу. В небольших продуктах проще начать с более узких managed-сервисов хранения и аналитики.

Рег.облако: инфраструктура с почасовой тарификацией и российским контуром

Рег.облако от Рег.ру — российский облачный провайдер и поставщик IT-инфраструктуры: IaaS, PaaS и SaaS на базе open source, публичное, гибридное и частное облако, аренда серверов. Облачная платформа входит в реестр российского ПО Минцифры России.

Инженерная боль здесь простая: инфраструктура должна масштабироваться под нагрузку, а не под худший прогноз. Почасовая тарификация и гибкое масштабирование особенно заметны для переменных нагрузок: тестовые окружения, временные стенды, сезонные пики, batch-обработка, инфраструктура для команд разработки.

Для DevOps-команды такой провайдер интересен набором конкретных вопросов: есть ли API, как устроены сети, Kubernetes, storage, backup, IAM, поддержка гибридных сценариев, как быстро поднимаются окружения, какие есть ограничения по квотам и регионам. У провайдера есть общая линейка, но перед внедрением всё равно придётся проверять совместимость с вашим стеком и требованиями по отказоустойчивости.

Почасовая тарификация сама по себе не гарантирует оптимизацию расходов. Если нет tagging, бюджетов, выключения временных окружений и правил autoscaling, облако может стать не дешевле, а просто менее предсказуемым.

Инструменты разработчика: ИИ  входит в SDLC, но контроль остаётся у человека

В инструментах разработчика на аллее сильнее всего звучала тема платформенности. Git, code review, CI/CD, security checks, IDE, cloud deploy и ИИ-ассистент всё чаще рассматриваются не как отдельные коробки, а как единый контур работы над изменением. Главный вопрос: как ускорить delivery, не потеряв проверяемость и контроль.

SourceCraft: Git-платформа, где ИИ связывает части SDLC

SourceCraft от Yandex Cloud представляет собой платформу полного цикла разработки с AI-ассистентом: Git, CI/CD, сканирование секретов, анализ уязвимостей, SAST, плагин AI-ассистента в популярных IDE и деплой в Yandex Cloud. 

Отдельные компоненты — Git, CI/CD, трекеры,  облачная IDEк (SourceCraft Spaces)  — становятся платформой, когда появляется единая связующая сущность. В SourceCraft такой связкой выступают AI-функции, через которые можно взаимодействовать с разными частями SDLC.

В облачной IDE AI-ассистент закрывает сценарии генерации кода, написания тестов, фиксов и документации. Code review лучше ложится на веб-сценарий, где есть pull request, контекст команды и взаимодействие между людьми. Для этого есть нейроревью: до подключения живого ревьюера ИИ может подсветить типовые проблемы и тривиальные замечания.

SourceCraft уже имеет инструменты для работы с реестрами, образами, сервисными аккаунтами, CI и скриптами развёртывания, а ИИ помогает ими пользоваться. Но давать ИИ полный административный доступ к облаку представитель продукта не считает хорошей идеей до тех пор, пока не решены вопросы доверия, прав и ограничений.

«Когда это происходит с кодом, это одна история. Когда это происходит уже с production-данными, это другая история», — так на стенде SourceCraft объясняли осторожность в допуске AI к облачной инфраструктуре.

ИИ не делает работы меньше, скорее команда делает больше и быстрее. Эффект нужно смотреть по всему pipeline: от идеи и формализации задачи до разработки, проверки, доставки в production и анализа влияния на пользователей.

Технологическая платформа Yandex Cloud: 75+ сервисов и связность вместо одиночных инструментов

Yandex Cloud — платформа для создания и развития IT-продуктов  включает в себя более чем 75 взаимосвязанных сервисов, от масштабируемой инфраструктуры до AI и инструментов разработки. Платформу уже используют более 60 тысяч клиентов, включая компании из рейтинга РБК-500.

На аллее Yandex Cloud присутствует частью сервисов, которые закрывают полный цикл разработки: Managed Kubernetes, Monium, Stackland, SourceCraft и YTsaurus. Это показывает платформенный вектор: инфраструктура, observability, разработка, данные и AI собираются в единый контур.

Для разработчика это удобно там, где интеграции действительно снимают ручную работу: deploy из Git-платформы в облако, мониторинг и логи рядом с инфраструктурой, IAM как единая модель доступа, managed-сервисы вместо самостоятельной эксплуатации. Для архитектора это вопрос баланса: чем больше сервисов в одной платформе, тем проще интеграции, но тем важнее заранее понимать требования к переносимости, отказоустойчивости, стоимости и exit strategy.

Важно отметить, что платформа не должна становиться оправданием vendor lock-in без инженерного расчета. Если команда использует облачные managed-сервисы, ей стоит документировать зависимости, хранить инфраструктуру как код, понимать критичные API и заранее решать, какие части системы должны быть переносимыми, а какие можно осознанно привязать к платформе ради скорости.

Что объединяет продукты с аллеи

По Продуктовой аллее DevOpsConf 2026 видно несколько общих трендов.

Первый тренд — инструменты становятся слоями управления, а не отдельными утилитами. В безопасности это ASOC/ASPM поверх SAST, DAST, SCA и контейнерных проверок. В мониторинге — observability и AIOps поверх метрик, логов, трейсов и алертов. В Kubernetes — платформы и managed-сервисы поверх базового кластера. Рынок уходит от «поставьте сканер» к «встройте процесс».

Второй тренд — борьба с шумом стала отдельной продуктовой задачей. TRON.ASOC говорит о дедупликации и кастомной приоритизации security-находок. Artimate строит кабинет инцидента и корреляционный граф событий. Monium предлагает SLO для критичных сценариев, агрегацию алертов и подавление флапающих сигналов.Это разные домены, но одна проблема: инженеру нужен не максимум сигналов, а правильный следующий шаг.

Третий тренд — AI входит в инструменты, но пока чаще как помощник, чем автономный исполнитель. В SourceCraft AI помогает писать код, тесты, документацию, ревьюить изменения и анализировать задачи, но представитель продукта осторожно говорит о допуске AI к production-инфраструктуре.6 В Artimate команда работает над LLM-суммаризацией инцидентов и возможностью задавать вопросы по инциденту. В Monium AI тоже развивается, но без преждевременных обещаний. Это зрелая позиция: AI полезен там, где даёт контекст и ускоряет оператора, но права на разрушительные действия требуют отдельной модели контроля.

Четвертый тренд — российские продукты всё чаще конкурируют не только фактом локальности, но и зрелостью интеграций. В каталоге много on-prem, open source, реестра ПО, Kubernetes, CI/CD, SRE, AppSec и observability. Но важнее другое: команды говорят о Jira, API, SIEM, Prometheus, Zabbix, OpenTelemetry-подобной логике телеметрии, security groups, IAM, autoscaling, runners и CI workflow. Это язык инженерных интеграций.

Пятый тренд — эффект всё чаще пытаются измерять инженерными метриками. В AIOps это MTTA и MTTR. В Managed Kubernetes — SLA control plane, расходы по кластерам и группам узлов, использование autoscaling. В SourceCraft — time to market и скорость прохождения изменений по pipeline. Не везде уже есть зрелые «приборы», но сам запрос на измеримость стал нормой.

Вместо заключения

Продуктовая аллея DevOpsConf 2026 показала состояние рынка. Инженерные команды хотят зрелые процессы: управляемый AppSec, наблюдаемость с контекстом, Kubernetes с понятной зоной ответственности, платформы разработки с AI, но без потери контроля.

Продукты всё чаще говорят языком эксплуатации: «вот где у вас останется ответственность», «AI ускорит человека и даст больше контекста»,  «начните с критичного SLO». Такой язык лучше соответствует реальности DevOps-команд, где любая магия заканчивается в три часа ночи у дежурного инженера.

ссылка на оригинал статьи https://habr.com/ru/articles/1055990/