# 01 — Что такое DevSecOps ← [Главная](../README.md) ## Цель Понять **смысл DevSecOps**, отличие от «просто DevOps» и «просто безопасности», а также место этой дисциплины в жизненном цикле ПО. ## Предварительно - [00 — Карта пути](../00-karta-puti/README.md) (личный план) ## Время **2–3 часа** (чтение раздела) + **5–7 часов** (обсуждение с коллегами / конспект) --- ## Оглавление раздела | Страница | Тема | |----------|------| | [DevOps и Security](devops-i-security.md) | Как связаны разработка, эксплуатация и безопасность | | [Роль DevSecOps-инженера](rol-devsecops-inzhenera.md) | Обязанности, навыки, карьерный путь | --- ## Одним абзацем **DevSecOps** — это подход, при котором **безопасность встроена** в каждый этап создания и эксплуатации программ: от идеи и кода до деплоя и мониторинга. Это не отдельный «отдел, который приходит в конце», а **общая ответственность** команды, поддержанная **автоматизацией** (сканеры, политики, pipeline). **Аналогия:** строительство дома. Раньше пожарную безопасность проверяли после сдачи объекта. DevSecOps — это когда **пожарные выходы закладывают в чертёж**, а не пробивают стену перед приёмкой. --- ## Зачем компаниям DevSecOps | Проблема «по-старому» | Как помогает DevSecOps | |----------------------|------------------------| | Security-аудит раз в год | Непрерывные проверки в CI | | Уязвимости находят в prod | Shift-left — раньше и дешевле | | Dev и Sec не понимают друг друга | Общие метрики, pipeline, язык | | Ручные чеклисты | Policy as Code, автоматические gates | | Долгий time-to-market | Безопасность не блокирует, а параллелит | --- ## Три кита DevSecOps 1. **Культура** — без blame, обучение, security champions в командах. 2. **Процесс** — threat modeling, code review, incident response. 3. **Автоматизация** — SAST, SCA, DAST, скан образов, IaC scan. Без культуры автоматизация превращается в «галочки». Без автоматизации культура не масштабируется. --- ## Жизненный цикл и «shift-left» ``` Идея → Дизайн → Код → Сборка → Тест → Деплой → Эксплуатация ↑ ↑ ↑ ↑ ↑ threat SAST/ image DAST SIEM/ model secrets scan IR ``` **Shift-left** — сдвиг проверок **влево по времени** (раньше). Ошибка в требованиях, исправленная на этапе дизайна, стоит в разы дешевле, чем утечка данных в production. --- ## Сравнение подходов | Подход | Когда security | Минус | |--------|----------------|-------| | Waterfall + audit | Перед релизом | Дорогие переделки | | DevOps без Sec | После инцидента | Reactive firefighting | | DevSecOps | На каждом этапе | Нужна автоматизация и обучение | | «Security theater» | Галочки в Excel | Ложное чувство защиты | --- ## Вопросы, которые задают новички **«Нужно ли мне уметь программировать?»** Для старта — читать код и логи, не писать production backend. Раздел 02 даёт минимум. **«DevSecOps = pentester?»** Нет. Pentest — точечная проверка; DevSecOps — непрерывные контроли в процессе. **«С чего начать в компании без культуры?»** Secret scan в CI + dependency scan + один security champion в команде — реалистичный первый шаг. --- ## Результаты обучения раздела 01 После прохождения вы сможете: - Объяснить DevSecOps коллегам из Dev и Security без жаргона - Назвать три кита и место shift-left в SDLC - Описать типичный день DevSecOps-инженера - Выбрать, какие навыки прокачивать первыми (см. [карту пути](../00-karta-puti/README.md)) --- ## Чем DevSecOps НЕ является - ❌ «Поставить WAF и забыть» - ❌ «Только penetration test раз в квартал» - ❌ «Security запрещает всё деплоить» - ✅ Баланс скорости и риска через **измеримые** контроли --- ## Самопроверка 1. Объясните DevSecOps человеку без IT за 30 секунд. 2. Назовите три кита DevSecOps. 3. Что такое shift-left и почему это экономит деньги? 4. Чем DevSecOps отличается от «DevOps + security-отдел в конце»? --- ## Дальше → [DevOps и Security](devops-i-security.md)