4 мифа про DevSecOps, которые мешают безопасной разработке

Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет). На самом деле DevSecOps — это не про страдания и бесконечные отчеты сканеров в PDF, а про здравый смысл и взаимодействие. У нас в MWS это полноценный процесс, состоящий не только из инструментов, пайплайнов, требований и Security Gate. В своей работе мы учитываем особенности продуктовой разработки большого количества команд — от крупных до малых инженерных групп, создающих MVP. Вместе с ними боремся за Time-to-Market и оптимизацию расходов, но при этом делаем ставку на повышение безопасности выпускаемого продукта. И главное — помогаем находить уязвимости на ранних этапах. Объясняем их суть на понятном языке, проверяем эксплуатируемость, придумываем меры митигации и составляем план по устранению — причем не где-то там в своих кабинетах, а вместе с командой при планировании работы на спринт или квартал. Звучит неправдоподобно? Из-за образа безопасников-церберов, который складывался в ИТ-тусовке десятилетиями, работа DevSecOps и правда представляется по-другому. Мы решили разобрать четыре главных мифа, которые встречаются при выстраивании отношений между ИБ и ИТ. Погнали рушить стереотипы!

https://habr.com/ru/companies/ru_mts/articles/1004448/

#devsecops #devsecops_и_devops #безопасная_разработка #ssdlc #мифы_о_devsecops #безопасная_архитектура #безопасный_процесс #shift_left #shift_left_security

Чем занимается DevSecOps? Обзор инструментов

В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.

https://habr.com/ru/companies/ctsg/articles/1000586/

#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom

Application security specialist @sydseter mentioned to me this comprehensive web page by @adamshostack listing information security and privacy table-top games, including the card games OWASP Cornucopia @owasp and Digital Benefits and Disbenefits Cornucopia @DBD_Cornucopia

Game on!

#infosec #appsec #privacy #threatmodelling #ssdlc #gamification #games

Shostack + Associates > Tabletop Security Games + Cards
https://shostack.org/games

Best practices в SSDLC: лучшие для вашего ПО

Разработка программного обеспечения не стоит на месте: меняется технологический стек, совершенствуются подходы к созданию ПО. Вместе с тем уточняются и требования к ПО и процессу разработки в целом. Все больше людей узнает о понятии SSDLC (Secure Software Development Life Cycle) или безопасный жизненный цикл разработки ПО. Как же построить такой цикл в команде? Как сформировать качественную стратегию построения безопасной разработки? Давайте разбираться!

https://habr.com/ru/articles/994108/

#ssdlc #bsimm #samm #гост_569392024

Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?

Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.

https://habr.com/ru/companies/securityvison/articles/980308/

#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast

Как переход на защищенные образы контейнеров повышает безопасность жизненного цикла разработки

​Стандартизация на основе защищенных базовых образов может способствовать внедрению методов управления жизненным циклом систем с расширенными правами доступа (SSDLC) и преобразованию управления уязвимостями в предсказуемый рабочий процесс...

#DST #DSTGlobal #ДСТ #ДСТГлобал #контейнеры #защищенныеобразы #безопасность #SSDLC #SLA #Docker #программноеобеспечение #SBOM

Источник: https://dstglobal.ru/club/1137-kak-perehod-na-zaschischennye-obrazy-konteinerov-povyshaet-bezopasnost-zhiznennogo-cikla-razrab

Взгляд безопасника на ежегодный отчет Github Octoverse 2025

Взгляд безопасника на ежегодный отчет Github Octoverse 2025. Отчет 2025 выглядит как вестник новой реальности, где ИИ в разработке будет отведена ключевая роль. Постарался дать пару советов для безопасников которых ждет такое значимое изменение подходов. Давай почитаем!

https://habr.com/ru/articles/963774/

#ии #github #ssdlc #codeql

До 100 релизов в день. Как мы ускорили процесс разработки

Привет! Меня зовут Илья, я директор департамента разработки в ЮMoney. За каждым малозаметным обновлением может стоять месяц работы: проработка архитектуры, дизайна, код-ревью и множество проверок безопасности. В ЮMoney мы смогли совместить тщательный контроль с бешеной скоростью — и делаем до 100 релизов в день. Расскажу, как мелкие задачи спасают от больших рисков и что помогает нам «катиться» быстрее.

https://habr.com/ru/companies/yoomoney/articles/955930/

#разработка #релиз #автоматизация #декомпозиция_задач #кодревью #безопасность #ssdlc #финтех

OWASP ZAP для начинающих: как провести аудит безопасности веб-приложений

В последние годы заметно вырос интерес к таким ролям, как инженер по безопасности приложений, DevSecOps-инженер, а также тестировщик на проникновение. Именно такие специалисты интегрируют механизмы безопасности в процессы разработки и эксплуатации программного обеспечения, выявляют уязвимости на ранних этапах и помогают предотвращать потенциальные атаки. Одним из наиболее распространенных инструментов для обучения и практического тестирования защищённости веб-приложений является OWASP ZAP (Zed Attack Proxy). Этот бесплатный и открытый сканер безопасности широко применяется как профессионалами, так и начинающими специалистами для поиска уязвимостей в веб-приложениях. Освоение работы с OWASP ZAP рекомендуется не только инженерам по информационной безопасности, но и разработчикам, DevOps-специалистам и тестировщикам, заинтересованным в создании по-настоящему безопасных сервисов. В Security Vision мы поддерживаем безопасность в том числе и данным инструментом, а также используем для сравнения результатов сканирования в режиме pentest наших скриптов по OWASP top 10. В данной работе рассматривается практический подход к использованию OWASP ZAP для аудита безопасности веб-приложений. Материал предназначен для студентов, разработчиков и всех, кто хочет освоить современные инструменты безопасной разработки.

https://habr.com/ru/companies/securityvison/articles/950398/

#ssdlc #zap #owasp_zap

I'm happy to announce the release of a new open-source library we've been working on: Go library for structure-aware fuzzing, designed as an analogue to libprotobuf-mutator. Fuzz your gRPC APIs and integrate into SSDLC.

https://github.com/yandex-cloud/go-protobuf-mutator

#fuzzing #go #grpc #ssdlc