ci/cd

Так, про IaC все слышали, да? В последние годы каждая уважающая себя команда находит в этом золото, автоматизируя всю инфраструктуру через код. И, правда, удобно: пишешь раз - и готово. Но, честно говоря, с этим подходом есть одно но. Это не столько плюсы, сколько шанс попасть в ловушку. Ведь...

Мир контейнеров - это не только удобство и изоляция, но и масса потенциальных уязвимостей, скрытых под тонким слоем абстракции. Почти каждый разработчик, внедряя контейнеры, так или иначе сталкивается с необходимостью их защиты. Но как не захлебнуться в океане инструментов для сканирования...

Что если бы безопасность вашего приложения не была бы дополнительной нагрузкой, а стала бы частью того, как вы строите каждую строку кода? И что если бы можно было автоматизировать этот процесс так, чтобы не тормозить разработку, а защищать приложение на каждом этапе, минимизируя уязвимости ещё...

За последние несколько лет CI/CD превратился в главный вход для supply chain‑атак: скомпрометированный билд‑сервер или раннер позволяет незаметно внедрять вредоносный код в артефакты и разносить его по всем средам. Индустрия ответила не только патчами и сканерами, но и сменой парадигмы...

В мире информационной безопасности границы между безопасностью, эксплуатацией и разработкой постепенно стираются. Раньше ИБ-специалисты занимались исключительно поиском уязвимостей и защита системы, а сегодня, чтобы быть в тренде, нужно понять, как работает инфраструктура в DevOps, а иногда и в...

Привет, разработчики, DevOps-инженеры и ИБ-специалисты! Если ты устал от конфликтов между скоростью релизов и требованиями безопасности, эта статья — твой билет в мир DevSecOps. Здесь разберём, как встроить проверки безопасности в конвейер CI/CD, чтобы выпускать код быстро, надёжно и без...

В современном мире разработки программного обеспечения существует конфликт между скоростью выпуска новых функций и необходимостью обеспечения безопасности. Согласно исследованиям, исправление уязвимостей на этапе продакшена может быть в 6–15 раз дороже, чем на этапе проектирования или разработки...

Доброго времени суток, уважаемые форумчане! DevSecOps.Начало DevSecOps.DevOps (ч.1) SSDLC Наконец-то мы добрались до последнего пункта этих статей и нашей основной цели - DevSecOps. Его внедрение без SSDLC крайне болезненное, но все же не бесполезное. Мы рассмотрим инструменты, которые помогут...

Доброго времени суток. SDLC Продолжение статьи про DevSecOps. Код проекта специально представлен в виде скриншотов, так как код не имеет значения в этой статье. Кроме того, в этой статье будет рассмотрен только этап создания Pipeline, а IaC будет рассмотрен дальше. Любой бизнес построен на...

Содержание Ключевые вызовы современной разработки: Почему безопасность критична Что такое SDLC и его роль в создании ПО От DevOps к SSDLC: Интеграция безопасности в жизненный цикл DevSecOps: Автоматизация и культура безопасности Типичные этапы внедрения DevSecOps: Дорожная карта Преодоление...

Приветствую снова всех. Извиняюсь за долгое отсутствие, некоторые данную часть ждали больше всего. К сожалению не смог выпустить все оперативно в силу различных причин (в т.ч. и лени :) ) Итак, для тех, кто не знаком, советую ознакомиться с предыдущими вводными частями: Автоматизация OWASP ZAP...

Приветствую тебя, на моей первой статье по циклу автоматизации OWASP ZAP и по совместительству на первой статье на форуме. Вступление Данная статья больше вступительная, рабочая информация начнется со второй части. По данной теме планирую выпустить цикл статей, по мере того, как сам буду...