Модуль 13 — DevSecOps ⭐⭐⭐⭐

Безопасность встроенная, не наклеенная. Самые высокооплачиваемые DevOps-роли — DevSecOps. Это твоя главная цель.

Философия

Shift Left + Shift Right.

Принципы

  1. Security as Code — политики и проверки в Git, не в почте
  2. Secure by default — пайплайн ломается на уязвимостях, а не «позже починим»
  3. Least privilege везде — IAM, RBAC, sudo, mTLS
  4. Defense in depth — несколько слоёв (нет «одной серебряной пули»)
  5. Zero Trust — не доверяй, проверяй (даже внутри сети)
  6. Blameless culture — после инцидента ищем процессы, не виноватого

Карта компетенций (1 фаза = 1 месяц)

A. Security Fundamentals

OWASP Top 10

Криптография базово

AuthN / AuthZ

Threat Modeling

Zero Trust

B. Shift-Left: Security в SDLC

SAST (Static Application Security Testing)

Сканирование исходников на уязвимости.

SCA (Software Composition Analysis)

Сканирование зависимостей (npm, pip, maven) на CVE.

Secrets Scanning

IaC Scanning

Container Scanning

DAST (Dynamic)

Pre-commit framework

Один инструмент для всех hooks: gitleaks, terraform fmt, shellcheck, yamllint, и т.д. См. модуль Git.

C. Runtime Security

Falco ⭐

Tetragon (Cilium)

eBPF observability + enforcement. Может блокировать процессы, не только алертить.

CIS Benchmarks

Kubernetes Pod Security

Kyverno policy — пример

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: require-non-root
spec:
  validationFailureAction: Enforce
  rules:
    - name: validate-non-root
      match:
        any:
        - resources:
            kinds: [Pod]
      validate:
        message: "Containers must run as non-root"
        pattern:
          spec:
            securityContext:
              runAsNonRoot: true

Network Security в K8s

D. Secret Management ⭐⭐

HashiCorp Vault ⭐

External Secrets Operator (ESO) ⭐

K8s оператор синхронизирует секреты из Vault / AWS Secrets Manager / GCP Secret Manager → K8s Secret. Стандарт для K8s.

Sealed Secrets, SOPS

E. Supply Chain Security ⭐⭐⭐ (горячая тема)

После SolarWinds, Log4Shell — supply chain стал главной заботой индустрии.

SBOM (Software Bill of Materials)

Sigstore ⭐⭐

Бесплатная экосистема подписи open source artifacts.

# keyless signing через GitHub OIDC в CI
cosign sign --yes ghcr.io/me/app:v1.0

# верификация
cosign verify \
  --certificate-identity=https://github.com/me/app/.github/workflows/ci.yml@refs/heads/main \
  --certificate-oidc-issuer=https://token.actions.githubusercontent.com \
  ghcr.io/me/app:v1.0

SLSA (Supply-chain Levels for Software Artifacts)

Фреймворк зрелости. Уровни 1-4.

Admission control в K8s

F. Compliance

Стандарты

Что делает DevSecOps для compliance

Инструменты

G. SIEM / SOAR

Pipeline DevSecOps

┌──────────────────────────────────────────┐ │ Pre-commit (на машине разработчика) │ │ • gitleaks (секреты) │ │ • formatting (terraform fmt, prettier) │ └──────────────────────────────────────────┘ ↓ git push ┌──────────────────────────────────────────┐ │ CI Pipeline │ │ • unit tests + coverage │ │ • SAST (Semgrep) │ │ • SCA (Trivy / Snyk) │ │ • secret scan (Gitleaks) │ │ • IaC scan (Checkov, tfsec) │ └──────────────────────────────────────────┘ ↓ ┌──────────────────────────────────────────┐ │ Build │ │ • image build (BuildKit/Kaniko) │ │ • SBOM (Syft) │ │ • image vuln scan (Trivy/Grype) │ │ • sign (Cosign keyless) │ └──────────────────────────────────────────┘ ↓ ┌──────────────────────────────────────────┐ │ Pre-deploy │ │ • DAST (ZAP) на staging │ │ • integration tests │ └──────────────────────────────────────────┘ ↓ ┌──────────────────────────────────────────┐ │ Deploy (K8s) │ │ • admission control: │ │ - Kyverno verifyImages (signature) │ │ - PSS Restricted │ │ • NetworkPolicy default deny │ │ • mTLS via Service Mesh │ └──────────────────────────────────────────┘ ↓ ┌──────────────────────────────────────────┐ │ Runtime │ │ • Falco / Tetragon │ │ • audit logs → SIEM │ │ • continuous compliance (Prowler cron) │ └──────────────────────────────────────────┘

Сертификации

СертификацияУровеньПольза для DevSecOps
CKS ⭐⭐PractitionerТоп для K8s security
AWS Security SpecialtyPractitionerТоп для cloud security
CompTIA Security+FoundationalБазовая
HashiCorp Vault AssociateУзкийРелевантно
(ISC)² CSSLPSeniorSecure SDLC, академично
OSCPAdvancedOffensive — глубоко, но overkill
GIAC GCSASeniorCloud Security Automation
CISSPSenior managementЕсли в management

Ты Senior DevSecOps когда

Источники

DevSecOps освоен. Ты не Junior, не Middle — ты Senior DevSecOps.

Модуль 14 → Modern Topics