ci/cd безопасность

  1. Сергей Попов

    Статья DevSecOps внедрение с нуля: как встроить безопасность в CI/CD и не сломать разработку

    В первый раз я добавил Semgrep в продовый пайплайн без настройки порогов - все правила, severity: warning, blocking stage. Через час в Slack прилетело сорок сообщений: мёрж заблокирован на двести находок, из которых сто восемьдесят - false positives. Релиз сдвинулся на два дня, а слово...
  2. Сергей Попов

    Статья Атаки на supply chain GitHub: username hijacking, угон репозиториев и защита CI/CD

    На последнем аудите CI/CD - организация с монорепозиторием на 200+ микросервисов - я нашёл в workflow-файлах 14 ссылок на GitHub Actions, чьи namespace'ы принадлежали удалённым или переименованным аккаунтам. Любой мог зарегистрировать эти имена и получить выполнение произвольного кода внутри...
    • Сергей Попов
    • Тема
    • ci/cd безопасность dependency confusion атака github username hijacking supply chain attack атаки на supply chain github безопасность ci/cd pipeline компрометация зависимостей угон репозитория github
    • Ответы: 0
    • Раздел: Общение и нетворкинг
  3. Luxkerr

    Статья Roadmap DevSecOps-инженера 2025: от Junior до Lead за 2 года

    Про DevSecOps часто рассказывают так, будто это просто «пакет инструментов»: подключили SAST, прикрутили сканер контейнеров, научились хранить секреты - и можно ставить галочку. На практике DevSecOps - это дисциплина, которая встраивает безопасность прямо в инженерный конвейер поставки так же...
  4. Сергей Попов

    Анонс [КУРС] DevSecOps на практике — встраиваем безопасность в CI/CD без тормозов

    Коллеги, запускаем новый курс для тех, кто хочет автоматизировать безопасность в пайплайнах и перестать быть "тормозом" для девов. Что по факту будете уметь: → Автоматизация сканирования: SAST/DAST прямо в пайплайне (SonarQube, Semgrep, OWASP ZAP) Сканирование контейнеров на лету (Trivy, Clair)...
Верх Низ
Назад