«РБПО для бедных»: проверяем CI/CD-конвейер на реальных уязвимостях

За шесть предыдущих выпусков мы собрали собственный конвейер безопасной разработки: развернули виртуальные машины, подняли инфраструктуру из GitLab, Vault, Nexus, DefectDojo и Dependency-Track, написали CI/CD-пайплайн, подключили сканеры безопасности и настроили резервное копирование. Остается главный вопрос: сможет ли наш конвейер находить реальные уязвимости, а не просто радовать разработчиков зелеными галочками в интерфейсе GitLab? Как говорили старые DevSecOps-бояре, «в нашем деле на слово не верят — безопасность нужно проверять». Поэтому сегодня устроим нашему конвейеру проверку боем. Возьмем уязвимое приложение Reactvulna, загрузим его в GitLab и прогоним через собранный нами пайплайн. После этого разберем результаты сканирования и посмотрим, насколько хорошо собранная нами инфраструктура справляется с обнаружением проблем безопасности.

https://habr.com/ru/companies/bastion/articles/1041736/

#рбпо #безопасность_вебприложений #безопасная_разработка #DevSecOps #react #secure_development #рбпо_для_бедных #ci_cd #информационная_безопасность #стартапы