User Tools
devsecops
Differences
This shows you the differences between two versions of the page.
|
devsecops [2025/08/29 19:25] val created |
devsecops [2025/08/29 19:28] (current) val |
||
|---|---|---|---|
| Line 2: | Line 2: | ||
| <code> | <code> | ||
| - | DevSecOps — это культура, методология и набор практик, которые интегрируют безопасность (Security) throughout весь жизненный цикл разработки (DevOps). Это не просто инструменты, а в первую очередь мышление "безопасность — это ответственность каждого". | ||
| - | |||
| - | Вот что должен знать специалист в области DevSecOps, разбитое на ключевые блоки: | ||
| - | |||
| - | 1. Фундаментальные знания (Базис) | ||
| - | Принципы DevOps: Понимание CI/CD (непрерывная интеграция и доставка), культура сотрудничества, автоматизация, мониторинг и обратная связь. DevSecOps надстраивается поверх DevOps. | ||
| - | |||
| Кибербезопасность: Понимание основных концепций: модель угроз (STRIDE, DREAD), уязвимости, векторы атак, OWASP Top 10 (для веба), MITRE ATT&CK framework. | Кибербезопасность: Понимание основных концепций: модель угроз (STRIDE, DREAD), уязвимости, векторы атак, OWASP Top 10 (для веба), MITRE ATT&CK framework. | ||
| Жизненный цикл разработки (SDLC): Знание всех этапов: планирование, кодирование, сборка, тестирование, релиз, развертывание, эксплуатация и мониторинг. Безопасность встраивается на каждом этапе. | Жизненный цикл разработки (SDLC): Знание всех этапов: планирование, кодирование, сборка, тестирование, релиз, развертывание, эксплуатация и мониторинг. Безопасность встраивается на каждом этапе. | ||
| - | Соответствие требованиям (Compliance): Понимание стандартов и регуляторив, таких как GDPR, PCI DSS, HIPAA, ISO 27001, и как автоматизировать их проверку. | + | Соответствие требованиям (Compliance): Понимание стандартов и регуляторов, таких как GDPR, PCI DSS, HIPAA, ISO 27001, и как автоматизировать их проверку. |
| - | + | ||
| - | 2. Технические навыки (Инструменты и практики) | + | |
| - | Это ядро hard skills DevSecOps-инженера. | + | |
| - | + | ||
| - | Этап: Plan / Code | + | |
| - | Security Champions: Умение работать с разработчиками, проводить обучение. | + | |
| Threat Modeling: Навыки проведения моделирования угроз (например, с помощью OWASP Threat Dragon, Microsoft Threat Modeling Tool) на этапе проектирования. | Threat Modeling: Навыки проведения моделирования угроз (например, с помощью OWASP Threat Dragon, Microsoft Threat Modeling Tool) на этапе проектирования. | ||
| SAST (Static Application Security Testing): Инструменты для статического анализа кода до его запуска. Ищут уязвимости в исходном коде. | SAST (Static Application Security Testing): Инструменты для статического анализа кода до его запуска. Ищут уязвимости в исходном коде. | ||
| - | |||
| Инструменты: SonarQube, Checkmarx, Semgrep, Fortify, Bandit (для Python). | Инструменты: SonarQube, Checkmarx, Semgrep, Fortify, Bandit (для Python). | ||
| SCA (Software Composition Analysis) / Dependency Scanning: Анализ зависимостей проекта на наличие известных уязвимостей (CVE). | SCA (Software Composition Analysis) / Dependency Scanning: Анализ зависимостей проекта на наличие известных уязвимостей (CVE). | ||
| - | |||
| Инструменты: OWASP Dependency-Check, Snyk, WhiteSource, GitHub Dependabot, GitLab Dependency Scanning. | Инструменты: OWASP Dependency-Check, Snyk, WhiteSource, GitHub Dependabot, GitLab Dependency Scanning. | ||
| Line 35: | Line 20: | ||
| Контейнерная безопасность: Сканирование образов контейнеров (Docker) на наличие уязвимостей, неправильных конфигураций, секретов. | Контейнерная безопасность: Сканирование образов контейнеров (Docker) на наличие уязвимостей, неправильных конфигураций, секретов. | ||
| - | |||
| Инструменты: Trivy, Grype, Clair, Docker Scout. | Инструменты: Trivy, Grype, Clair, Docker Scout. | ||
| Line 42: | Line 26: | ||
| Этап: Release / Deploy | Этап: Release / Deploy | ||
| Infrastructure as Code (IaC) Security: Проверка конфигураций на предмет ошибок безопасности до развертывания инфраструктуры. | Infrastructure as Code (IaC) Security: Проверка конфигураций на предмет ошибок безопасности до развертывания инфраструктуры. | ||
| - | |||
| Инструменты для Terraform, CloudFormation, Ansible: Checkov, Terrascan, tfsec, KICS. | Инструменты для Terraform, CloudFormation, Ansible: Checkov, Terrascan, tfsec, KICS. | ||
| Secrets Management: Управление секретами (API-ключи, пароли, токены) с помощью специализированных инструментов, а не хранения в коде. | Secrets Management: Управление секретами (API-ключи, пароли, токены) с помощью специализированных инструментов, а не хранения в коде. | ||
| - | |||
| Инструменты: HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, Doppler. | Инструменты: HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, Doppler. | ||
| Cloud Security Posture Management (CSPM): Постоянный мониторинг облачной инфраструктуры (AWS, Azure, GCP) на соответствие best practices и поиск misconfigurations. | Cloud Security Posture Management (CSPM): Постоянный мониторинг облачной инфраструктуры (AWS, Azure, GCP) на соответствие best practices и поиск misconfigurations. | ||
| - | |||
| Инструменты: Wiz, Palo Alto Prisma Cloud, CrowdStrike Horizon. | Инструменты: Wiz, Palo Alto Prisma Cloud, CrowdStrike Horizon. | ||
| Line 57: | Line 38: | ||
| DAST (Dynamic Application Security Testing): Тестирование работающего приложения на наличие уязвимостей "снаружи". | DAST (Dynamic Application Security Testing): Тестирование работающего приложения на наличие уязвимостей "снаружи". | ||
| - | |||
| Инструменты: OWASP ZAP, Burp Suite, Nuclei. | Инструменты: OWASP ZAP, Burp Suite, Nuclei. | ||
devsecops.txt · Last modified: 2025/08/29 19:28 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
