Внедрить DevSecOps и не сойти с ума / Олег Казаков / Dump 2023

Внедрить DevSecOps и не сойти с ума: команды с разными процессами, неоднородный стек и ограниченный бюджет, Олег Казаков, CTO в Spectr Спикер рассказал о том, как интегрировать практики DevSecOps в процесс разработки в условиях неоднородности стека/архитектуры/инфраструктуры/процессов реализуемых продуктов. Рассмотрел основные классы инструментов автоматической проверки безопасности и процесс внедрения наиболее популярных инструментов: Gitleaks, Trivy, OWASP ZAP и др. В докладе много практического опыта, примеров конфигов и отчетов. Доклад рассчитан на DevOps-инженеров, архитекторов, тимлидов, специалистов по ИБ. В результате будет сформирован пример CI/CD-пайплайна, который можно переиспользовать с минимальными доработками. 00:00 Представление спикера, предыстория 1:28 DevSecOps: почему мы решили его внедрить? 3:34 Этап 1: Pre-commit Checks 4:03 Secret Detection: цели и варианты его использования 11:01 Ограничения Secret Detection 11:40 Активная реакция на обнаруженные секреты 13:21 Вывод отчета о задаче 14:21 Проблемы сканирования в CI и специфика GitLab / Удаляем код из истории GitLab 16:48 Этап 2: Commit-time Checks 19:07 Внедряем инструменты SAST 21:22 Сложности SAST 22:32 Dependency Scanning и пакеты уязвимостей Git 24:55 Этап 3: Post-build Checks 25:50 Добавляем в проект сборку артефакта 27:36 Управление уровнем отслеживания уязвимостей 30:33 Этап 4: Test-time Checks 32:30 Тестируем WebGoat 34:32 Что с бэком? 35:43 Этап 5: Deploy-time Checks 36:30 Обзор решений от GitLab 38:28 Делимся примером реализации 39:06 Вопросы из зала