DevSecOps для безопасной разработки

В чём принципиальное отличие подходов DevSecOps от классических практик информационной безопасности?

Подробнее разбираемся на нашем бесплатном курсе "DevSecOps в облачном CI/CD"
https://cloud.yandex.ru/training/devs...

Когда практики информационной безопасности работают на поздних стадиях разработки, безопасность в части Operations играет далеко не главную роль. Зачастую она лишь догоняет разработку и тормозит релизы. Отличие и одна из главных задач DevSecOps — безопасность в части Development, глубокая интеграция Securuty-практик и DevOps-разработки.

Частый вопрос: «Как перейти от Operations к Development?». Ответ на него ограничивается рекомендациями о поиске «Securuty-амбассадоров» среди разработчиков.

Мы пойдём глубже и сделаем обзор DevSecOps-задач для каждого этапа разработки в связке с инструментами. Покажем частые развилки, в которых важен баланс между безопасностью и скоростью.

12 июля в прямом эфире эксперты Yandex Cloud и Hilbert Team обсудили:

отличия DevSecOps от классической ИБ;
кому нужно внедрять практики DevSecOps;
актуальность DevSecOps для бизнеса;
основные задачи подхода;
практики и примеры использования DevSecOps на этапах разработки и сборки проекта.

Вебинар будет интересен руководителям DevOps-команд, проектным менеджерам отделов разработки и информационной безопасности. Вы сможете оценить карту развития DevSecOps или зрелость своего DevSecOps-пайплайна. Вместе мы сформируем ожидания к экспертизе внешней команды для внедрения DevSecOps.

00:00 Интро
02:25 Экономика безопасности разработки
07:02 DevSecOpsна практике
07:50 Как защититьсвой SLDC?
08:46 Pre-commit checks
13:53 Pre-build checks
20:32 Post-build checks
24:00 Test-time checks
26:34 Deploy-time checks
28:14 Как защитить свою инфраструктуру?
30:05 CIS Benchmarks
31:00 Kubernetes® hardening
37:24 Secret management
40:05 Вопросы