0 added
0 removed
Original
2026-01-01
Modified
2026-02-19
1
<p>"Мы же всё пофиксили!" - но инциденты повторяются?</p>
1
<p>"Мы же всё пофиксили!" - но инциденты повторяются?</p>
2
<p><strong>6 признаков "токсичного" процесса безопасности:</strong></p>
2
<p><strong>6 признаков "токсичного" процесса безопасности:</strong></p>
3
<ul><li>В CI/CD нет автоматических проверок безопасности, только ручные ревью</li>
3
<ul><li>В CI/CD нет автоматических проверок безопасности, только ручные ревью</li>
4
<li>Уязвимости находят не сканеры, а пользователи в проде</li>
4
<li>Уязвимости находят не сканеры, а пользователи в проде</li>
5
<li>Отчёты от SAST/SCA просто лежат в почте или Jira</li>
5
<li>Отчёты от SAST/SCA просто лежат в почте или Jira</li>
6
<li>Dev и Sec не взаимодействуют напрямую, всё через багтрекер</li>
6
<li>Dev и Sec не взаимодействуют напрямую, всё через багтрекер</li>
7
<li>После каждого инцидента "делаем выводы", но всё повторяется</li>
7
<li>После каждого инцидента "делаем выводы", но всё повторяется</li>
8
<li>Любая интеграция в пайплайн вызывает страх: "только бы не сломать"</li>
8
<li>Любая интеграция в пайплайн вызывает страх: "только бы не сломать"</li>
9
</ul><p>Это не история про "плохую команду" или "плохих людей". Это признаки системы, в которой безопасность живёт отдельно. От этого страдают все: Dev, Sec, Ops и бизнес.</p>
9
</ul><p>Это не история про "плохую команду" или "плохих людей". Это признаки системы, в которой безопасность живёт отдельно. От этого страдают все: Dev, Sec, Ops и бизнес.</p>
10
<p><strong>Что можно сделать:</strong></p>
10
<p><strong>Что можно сделать:</strong></p>
11
<ul><li>Настроить автоматические проверки в CI/CD</li>
11
<ul><li>Настроить автоматические проверки в CI/CD</li>
12
<li>Добавить чеклист ревью по безопасности</li>
12
<li>Добавить чеклист ревью по безопасности</li>
13
<li>Согласовать зону ответственности за уязвимости</li>
13
<li>Согласовать зону ответственности за уязвимости</li>
14
<li>Наладить процесс triage: кто, когда и как разбирает отчёты</li>
14
<li>Наладить процесс triage: кто, когда и как разбирает отчёты</li>
15
<li>Обсудить на ретроспективе: как снизить риск, а не тушить</li>
15
<li>Обсудить на ретроспективе: как снизить риск, а не тушить</li>
16
</ul><p>📎<strong>А если вы хотите собрать из всего этого рабочую систему - приходите на DevSecOps Bootcamp.</strong>Мы не говорим "ставьте сканер, и будет хорошо". Мы помогаем выстроить устойчивый DevSecOps-процесс внутри вашей команды.</p>
16
</ul><p>📎<strong>А если вы хотите собрать из всего этого рабочую систему - приходите на DevSecOps Bootcamp.</strong>Мы не говорим "ставьте сканер, и будет хорошо". Мы помогаем выстроить устойчивый DevSecOps-процесс внутри вашей команды.</p>
17
<p>Подробности -<a>на сайте.</a></p>
17
<p>Подробности -<a>на сайте.</a></p>
18
<p>2025-05-29 22:00<a>DevSecOps</a></p>
18
<p>2025-05-29 22:00<a>DevSecOps</a></p>