Что такое DevSecOps
Встраивание практик безопасности в процесс разработки и доставки: не «проверка в конце», а безопасность на каждом этапе — код, зависимости, образы, конфигурация, секреты, инфраструктура.Ключевые направления
Безопасность кода и зависимостей
Безопасность кода и зависимостей
SAST (статический анализ), линтеры безопасности; проверка зависимостей (npm audit, Snyk, Dependabot). В CI — блокировать сборку при критичных уязвимостях.
Безопасность образов
Безопасность образов
Сканирование образов на уязвимости (Trivy, Clair); базовые образы без лишних пакетов; непредвилегированный пользователь в контейнере.
Секреты
Секреты
Не в коде и не в логах; хранить в секрет-хранилищах (Vault, облачные Secrets Manager); передавать в приложение и CI через безопасные механизмы.
Инфраструктура
Инфраструктура
Минимальные права (IAM, RBAC в K8s); сетевые политики; шифрование данных в покое и при передаче.
Встраивание в пайплайн
- Этап проверки зависимостей и SAST в CI.
- Сканирование Docker-образа перед push в registry.
- Деплой только образов, прошедших политики (например, без критичных CVE).
Секреты
Где хранить и как передавать секреты в приложения и CI.
Сканирование
Сканирование образов и кода на уязвимости.
Что добавить сюда
- Чек-лист безопасности для своего пайплайна
- Политики (например, какие CVE блокируют деплой)
- Ссылки на OWASP, CIS benchmarks, курсы по DevSecOps