Немного про DevSecOps

Jun 14, 2025 · 1 min read · devsecops security devops ·

Т.к. я сейчас работаю над созданием нового курса, решил и пост сделать на эту тему. В чем, собственно, суть подхода в DevSecOps, и чем он отличается от того, как обычно решали проблемы с безопасностью?

🔵 Раньше

Отдельная security-команда (если она есть, кхе-кхе) периодически проводит свои тесты на предмет известных уязвимостей тестового стенда, а иногда сразу и прода. Даже возможно смотрит в код приложения, но это не точно. Далее дает обратную связь разработчикам, если есть что исправить.

🔵 Сейчас

Статические (код) и динамические (запущенное приложение) проверки встроены в CI-пайплайн, и разработчики постоянно получают обратную связь от инструментов-анализаторов. Безопасность становится общей ответственностью, а не только службы безопасности.

📎 Что касается самих инструментов, то ярким примером являются SonarQube, Checkmarx.

Безопасность — это не только код, это еще инфраструктура, которая архитектурно должна быть безопасной. А также и организационно.

Впрочем, далеко не везде заморачиваются с такими вещами, из-за чего сливы пользовательских данных — очень частое явление. Но понятно одно: с этим всем можно и нужно бороться, а спрос на внедрение DevSecOps будет расти.