Дисципліна DevSecOps

Прикладна дисципліна | 6 модулів | ~4 години загалом

Огляд

DevSecOps — це практика інтеграції безпеки на кожному етапі життєвого циклу розробки програмного забезпечення (SDLC). Замість того, щоб сприймати безпеку як фінальний крок перед релізом, DevSecOps впроваджує автоматизовані перевірки та культурні зміни, які роблять безпеку спільною відповідальністю.

Цей трек охоплює практичне впровадження безпеки: від аналізу коду та сканування вразливостей до безпеки ланцюжка поставок та захисту середовища виконання.

Передумови

Перед початком цього треку:

Принципи безпеки — базові концепції безпеки
Розуміння конвеєрів CI/CD
Базові знання Kubernetes
Досвід роботи з Docker/контейнерами

Модулі

#	Модуль	Складність	Час
4.1	Основи DevSecOps та «Shift Left»	`[MEDIUM]`	35-40 хв
4.2	Безпека коду (SAST/DAST)	`[COMPLEX]`	40-45 хв
4.3	Безпека контейнерів та образів	`[COMPLEX]`	40-45 хв
4.4	Безпека ланцюжка поставок (SCS)	`[COMPLEX]`	45-50 хв
4.5	Політика як код (PaC)	`[COMPLEX]`	40-45 хв
4.6	Захист середовища виконання	`[COMPLEX]`	45-50 хв

Результати навчання

Після завершення цього треку ви зможете:

Впроваджувати стратегію Shift Left — інтегрувати безпеку в IDE та ранні етапи CI
Налаштовувати сканування коду — SAST, DAST та перевірку залежностей (SCA)
Захищати контейнери — відDockerfile до підписання образів та сканування в реєстрах
Захищати ланцюжок поставок — працювати з SBOM, підписами Cosign та SLSA
Автоматизувати дотримання політик — використовувати OPA, Kyverno або Checkov
Моніторити безпеку виконання — детекція аномалій за допомогою Falco або Tetragon

Ключові концепції

Конвеєр DevSecOps

┌─────────────────────────────────────────────────────────────────┐
│                     DEVSECOPS PIPELINE                          │
│                                                                  │
│  PLAN      CODE      BUILD      TEST      RELEASE    OPERATE     │
│  ┌───┐    ┌───┐     ┌───┐      ┌───┐     ┌───┐      ┌───┐       │
│  │🛡️ │───▶│🛡️ │────▶│🛡️ │─────▶│🛡️ │────▶│🛡️ │─────▶│🛡️ │       │
│  └───┘    └───┘     └───┘      └───┘     └───┘      └───┘       │
│    │        │         │          │         │          │          │
│ Моделюв.  SAST      SCA        DAST      Політика   Falco        │
│ загроз    Secrets   Container  Sec Scan  як код     Audit        │
│           Scan      Sign       Cloud Sec Compliance Logging      │
└─────────────────────────────────────────────────────────────────┘

Основні принципи

Безпека як код — засоби контролю мають бути декларативними та версіонованими
Автоматизація — ручні перевірки безпеки не масштабуються
Безперервний моніторинг — безпека не закінчується після деплою
Спільна відповідальність — безпека — це частина роботи кожного розробника

Охоплені інструменти (Концептуально)

Для практики дивіться набір інструментів безпеки.

Категорія	Приклади
SAST/SCA	Snyk, SonarQube, Trivy, Gitleaks
Безпека образів	Trivy, Grype, Quay (Clair)
Підписання/SBOM	Cosign, Syft, In-toto
Політика як код	OPA (Gatekeeper), Kyverno, Checkov
Runtime	Falco, Tetragon, Kube-Armor

Шлях вивчення

Модуль 4.1: Основи DevSecOps
     │
     │  Культура, Shift Left, метрики
     ▼
Модуль 4.2: Безпека коду
     │
     │  SAST, секрети, SCA
     ▼
Модуль 4.3: Безпека контейнерів
     │
     │  Образи, рівні, сканування
     ▼
Модуль 4.4: Ланцюжок поставок
     │
     │  SBOM, підписи, атестації
     ▼
Модуль 4.5: Політика як код
     │
     │  Admission controllers, IaC scan
     ▼
Модуль 4.6: Захист виконання
     │
     │  Моніторинг поведінки, Falco
     ▼
[Трек завершено] → Набір інструментів безпеки

Пов’язані треки

До: Принципи безпеки — теорія
Пов’язано: Дисципліна GitOps — безпечна доставка
Пов’язано: Дисципліна IaC — безпека інфраструктури
Після: Набір інструментів безпеки — практика
Після: Сертифікація CKS — спеціалізація на Kubernetes

“DevSecOps — це не про завади розробці, а про надання розробникам інструментів для створення безпечного ПЗ за замовчуванням.”