devsecops

Специалист по информационной безопасности / Инженер ИБ (FinTech) Работодатель: СМАРТ СОЛЮШЕНС Локация: Калининград (удалённо) Зарплата: от 100 000 до 160 000 ₽ Мы разрабатываем и развиваем финтех-продукты, которые обрабатывают конфиденциальную информацию и финансовые транзакции. Безопасность...

Привет! Мы — команда «Золотого Яблока», увлеченная своим делом. У нас нет места стандартам, мы ищем смелых и амбициозных, готовых воплощать свои идеи в жизнь на всю Россию и не только. Если ты горишь желанием изменить beauty-индустрию, ты наш человек! Мы ищем DevSecOps инженера в Департамент...

На аудите финтех-компании получили доступ к внутреннему GitLab через скомпрометированную учётку разработчика - стандартный grey box, low-priv credentials. Первое, что проверили - .gitlab-ci.yml в ключевых репозиториях. В трёх из пяти - захардкоженные AWS-ключи, токен Docker Registry и пароль от...

Небольшое превью Всех приветствую! Начал развиваться в DevOps направлении с нуля , после изучения недавно устроился джуном в компанию с внутренним обучением и последующей сдачей экзаменов. Тема вопроса Интересно есть ли тут люди, которые как и я в начале пути, развиваются, работают в данном...

Telegram остаётся одним из самых популярных мессенджеров, несмотря на блокировки, ограничения и высокий уровень мошеннической активности. Платформа активно используется не только для общения, но и как полноценная среда для бизнеса: через ботов и Mini Apps реализуются платежи, клиентская...

Знаешь, что больше всего бесит? Когда ты по привычке отправляешь секреты в репозиторий, потому что «ну, блин, так удобно» и «всё равно это всё в приватном доступе». И тут через пару недель, когда всё уже развёрнуто в продакшн, ты понимаешь, что ключи из .env файла всё это время были на виду у...

Что если бы безопасность вашего приложения не была бы дополнительной нагрузкой, а стала бы частью того, как вы строите каждую строку кода? И что если бы можно было автоматизировать этот процесс так, чтобы не тормозить разработку, а защищать приложение на каждом этапе, минимизируя уязвимости ещё...

Про DevSecOps часто рассказывают так, будто это просто «пакет инструментов»: подключили SAST, прикрутили сканер контейнеров, научились хранить секреты - и можно ставить галочку. На практике DevSecOps - это дисциплина, которая встраивает безопасность прямо в инженерный конвейер поставки так же...

За последние несколько лет CI/CD превратился в главный вход для supply chain‑атак: скомпрометированный билд‑сервер или раннер позволяет незаметно внедрять вредоносный код в артефакты и разносить его по всем средам. Индустрия ответила не только патчами и сканерами, но и сменой парадигмы...

Что вас ждет в статье: Хлипкий комплаенс, как ваша потенциальная проблема ФЗ-152: российский фундамент в деталях реализации Обязанности оператора в комплаенсе по 152-ФЗ Практическая реализация 152-ФЗ Резюме уязвимостей для пентестеров GDPR: европейский стандарт PCI DSS: отраслевой платёжный...

Спешу поделиться важной новостью: наша Академия запускает обновлённые практические модули и реальные инструменты, а значит, поэтапно растут и цены. Но только до конца ноября можно зафиксировать старую стоимость и получить до 15% выгоды на самые востребованные направления! Если откладывал...

🍂 Специальная осенняя акция: -10% по промокоду AUTUMN10 Пока другие готовятся к зиме — ты готовишься к новой карьере! Друзья, осень — это не только время листопада, но и идеальный момент для прокачки навыков. Когда вечера становятся длиннее, а за окном холоднее — самое время инвестировать в себя...

В мире информационной безопасности границы между безопасностью, эксплуатацией и разработкой постепенно стираются. Раньше ИБ-специалисты занимались исключительно поиском уязвимостей и защита системы, а сегодня, чтобы быть в тренде, нужно понять, как работает инфраструктура в DevOps, а иногда и в...

11 000 алертов в день. 96% из них — ложные. Пока ты читаешь этот абзац, твои коллеги по ИБ вручную проверяют очередную сотню хостов, тонут в логах SIEM и выгорают от рутины, которая съедает 80% рабочего времени. Специалисты по информационной безопасности превратились в конвейерных рабочих эпохи...

Коллеги, запускаем новый курс для тех, кто хочет автоматизировать безопасность в пайплайнах и перестать быть "тормозом" для девов. Что по факту будете уметь: → Автоматизация сканирования: SAST/DAST прямо в пайплайне (SonarQube, Semgrep, OWASP ZAP) Сканирование контейнеров на лету (Trivy, Clair)...

$50,000 — столько теряет компания на каждом хотфиксе критической уязвимости в production. При этом 67% таких дыр можно было найти еще на этапе написания кода. Сегодня покажу, как за 2 часа настроить полноценный security-сканер в GitLab, который находит уязвимости прямо в момент коммита — с...

В последние годы безопасность программного обеспечения стала одним из самых обсуждаемых аспектов в разработке. Для DevSecOps и разработчиков особенно важно учитывать безопасность на каждом этапе жизненного цикла разработки программного обеспечения (SDLC). В этой статье мы представим 10 ключевых...

Современные бизнесы в своей работе всё сильнее зависят от множества сторонних компонентов: библиотек с открытым исходным кодом, проприетарного программного обеспечения, облачных платформ, аппаратных решений и сервисов. Каждое дополнительное звено в этой цепочке потенциально открывает новые точки...

Привет, разработчики, DevOps-инженеры и ИБ-специалисты! Если ты устал от конфликтов между скоростью релизов и требованиями безопасности, эта статья — твой билет в мир DevSecOps. Здесь разберём, как встроить проверки безопасности в конвейер CI/CD, чтобы выпускать код быстро, надёжно и без...

Слушай, сколько раз ты видел этот вопрос: "С чего начать в ИБ?". И каждый раз в ответ — стена текста, тонна советов, и в итоге голова идет кругом. Замкнутый круг: слишком много инфы, чтобы начать. Мы на Codeby это проходили. Мы знаем, как это бесит. Хватит топтаться на месте. Сегодня мы не...