# DevOps и Security

← [Раздел](README.md) · [Главная](../README.md)

## Цель

Понять, **откуда взялись DevOps и InfoSec**, как они пересекаются и почему «склеивание» их в DevSecOps — логичный шаг, а не модное слово.

## Предварительно

- [01 — Что такое DevSecOps](README.md)

## Время

**1,5–2 часа**

---

## DevOps: краткая история

**До DevOps** (упрощённо):

- **Разработчики (Dev)** писали код и «перебрасывали через стену».
- **Эксплуатация (Ops)** деплоила, следила за uptime, тушила пожары.
- Релизы — редко, больно, взаимные обвинения.

**DevOps** (с ~2009) — ответ на это:

| Принцип | Практика |
|---------|----------|
| Совместная ответственность | Одна команда / общие цели |
| Автоматизация | CI/CD, IaC |
| Малые частые изменения | Меньше риск на релиз |
| Измеримость | Метрики, логи, алерты |
| Обратная связь | Быстрый rollback, postmortem |

**Аналогия:** ресторан, где повар и зал **не разговаривают** — заказы теряются. DevOps — **общая кухня + процесс**, где все видят очередь заказов.

---

## Information Security: краткая история

**InfoSec / Cybersecurity** фокусируется на **защите активов** (данные, системы, репутация) от угроз.

Классические направления:

| Направление | Пример задач |
|-------------|--------------|
| Governance | Политики, compliance |
| Offensive | Pentest, red team |
| Defensive | Firewall, SIEM, IR |
| GRC | Риски, аудит |

Традиционно Security часто **подключался поздно** — перед релизом или после инцидента.

---

## Точка трения

DevOps ускорил поставку. Security традиционно **замедлял** для проверок.

```
DevOps:  "Ship fast, automate everything"
Sec:     "Stop, we need review / change window"
```

Без интеграции возникает **false conflict**: либо скорость, либо безопасность.

**DevSecOps** снимает конфликт: **безопасность автоматизируется и встраивается в тот же pipeline**, что и тесты.

---

## Три стороны одной медали

| Роль | Главный вопрос | DevSecOps-ответ |
|------|----------------|-----------------|
| Dev | «Как быстро доставить фичу?» | Безопасные шаблоны, secure defaults |
| Ops | «Как держать uptime?» | Hardening, мониторинг, секреты |
| Sec | «Как не допустить breach?» | Gates в CI, обучение, threat model |

DevSecOps-инженер часто **переводит** между языками: CVE → задача в backlog, политика → YAML в pipeline.

---

## CALMS + Security

Классическая модель DevOps — **CALMS**:

- **C**ulture
- **A**utomation
- **L**ean
- **M**easurement
- **S**haring

DevSecOps добавляет **S**ecurity в каждый пункт:

| CALMS | + Security |
|-------|------------|
| Culture | Security champions, blameless postmortem |
| Automation | SAST, SCA, policy checks |
| Lean | Минимальные контроли с максимальным эффектом |
| Measurement | MTTR инцидентов, % покрытия сканами |
| Sharing | Runbooks, playbooks, общие dashboards |

---

## Shared responsibility в облаке

В облаке (AWS, GCP, Azure) безопасность **делится** между провайдером и клиентом.

| Провайдер | Клиент (вы) |
|-----------|-------------|
| Физическая безопасность ЦОД | Данные, конфигурация |
| Гипервизор | IAM, сеть, шифрование |
| Managed services (базовый уровень) | Patch management приложений |

DevSecOps-инженер должен **знать границу** ответственности — иначе «думаем, что облако всё защитило».

---

## Самопроверка

1. Назовите два принципа DevOps своими словами.
2. Почему DevOps и Security конфликтовали historically?
3. Что добавляет Security к модели CALMS?
4. Кто отвечает за шифрование данных в облаке — провайдер или клиент?

---

## Дальше

→ [Роль DevSecOps-инженера](rol-devsecops-inzhenera.md)