Security Scan, Compliance, and Quality Gate
A focused chapter on security scan, compliance, and quality gate, with practical delivery concerns, trade-offs, and the operational questions behind CI/CD work.
Почему ваш пайплайн должен проверять безопасность и соответствие требованиям
Когда команда впервые настраивает CI/CD пайплайн, проверки обычно касаются очевидных технических аспектов: компилируется ли код, проходят ли юнит-тесты. Но как только приложение попадает к реальным пользователям, возникают новые вопросы: есть ли в коде уязвимости, соответствует ли конфигурация сервера политикам компании, не закоммитил ли кто-то пароль. В этой статье разбираем, почему автоматические проверки безопасности и compliance должны быть встроены в пайплайн, как разделить быстрые и медленные проверки и с чего начать внедрение.
Что на самом деле может проверять ваш пайплайн (помимо сканирования безопасности)
Узнайте, какие проверки стоит добавить в CI/CD пайплайн: сканирование зависимостей, контейнеров, IaC, секретов, лицензий и политик как код. Практическое руководство для DevOps и SRE.
Когда останавливать пайплайн, а когда только предупреждать
Как настроить шлюз безопасности в CI/CD: останавливайте пайплайн на критических и высоких уязвимостях, пропускайте с предупреждением средние и низкие. Практические советы для DevOps и SRE.
Когда ваш пайплайн безопасности блокирует всё: обработка исключений без создания лазеек
Как обрабатывать исключения в CI/CD пайплайне безопасности, не создавая лазеек. Четыре правила для управления исключениями: запись, утверждение, истечение срока и автоматический сбой.
Когда правила безопасности живут в документах, их игнорируют
Политики безопасности, хранящиеся в документах, часто нарушаются или забываются. Узнайте, как подход «политика как код» (policy as code) автоматизирует контроль, обеспечивает консистентность и аудит.
Где разместить quality gates в пайплайне: расположение важнее, чем то, что вы сканируете
Узнайте, как правильное размещение quality gates в CI/CD пайплайне ускоряет обратную связь, сокращает затраты и повышает безопасность. Практическое руководство для DevOps и SRE.
Когда результаты сканирования безопасности игнорируются (и как это исправить)
Ваш пайплайн сканирует безопасность, но разработчики игнорируют результаты? Узнайте, как превратить уведомления в actionable-инструкции, назначить владельцев и автоматизировать эскалацию.
Когда ваш защитный барьер перестает работать: измерение и исправление эффективности пайплайна
Вы настроили сканирование безопасности, проверки соответствия и качественные шлюзы в пайплайне. Через полгода разработчики массово запрашивают исключения, команда безопасности тонет в ложных срабатываниях, а результатам пайплайна никто не доверяет. Узнайте, как измерять и настраивать эффективность guardrail.