Практики безопасности в микросервисах с точки зрения DevOps Скорее всего после июня вынесу блок по безопасности из курса по проектированию микросервисов в отдельный отднодневный курс, опциональный модуль или вообще запишу серию видео и залью на ютуб всем на радость 🙂 Блок не на массового участника, конечно, под конкретный запрос. По-прежнему в 80% случаев безопасность живет в своем silo и применимость равно как и обозначенная в курсе проблематика безопасности просто не применимы в такой ситуации, да и не встраивается в существующую картину мира, если разработчик или архитектор полностью изолирован от вопросов безопасности. Одна из основ DevOps – три пути DevOps Небольой список практик и паттернов из мира DevSecOps, которые крайне полезны, а порой и жизненно необходимы при работе над распределенными системами (хотя будут полезны и сами по себе, конечно). Практики первого пути (системное мышление, ускорение потока) – Dev и Ops не ждут безопасность, безопасность – часть повседневной работы – Использование SAST/DAST c тонкой настройка для снижения false positive – Внутренняя база знаний с code snippets защищенного кода (как шифруем, как работаем с сертификатами, как экранируем) – Использование актуальных версий образов – Параллельный Security Pipeline для глубокого тестирования – Использование Unit-тестов для проверки сценариев безопасности – Stop The Line для дефектов безопасности Практики второго пути (Shift Left, усиление обратной связи) – Введение роли Security Champion, – ключевой контакт по всем вопросам ИБ в рамках конкретной команды – Security Checks by Dev&Ops, так как поиск уязвимостей внешними компаниями не повышает навыки сотрудников, повышают периодические совместные проверки безопасности – Тестирование безопасности на этапе анализа требований и проработки архитектуры решения, в том числе практики моделирования угроз на уровне команд – Остановка сборки, если обнаружена серьезная уязвимость. Безопасность — часть процесса обеспечения качества. Практики третьего пути (культура экспериментов и обучения) – Обучение разработчиков безопасности, так как беза – сложная область знаний и навыков и ей необходимо обучать – Проведение в командах совместных сессий по взлому (Mob hacking), организуемых Security Champions – Анализ метрик безопасности, поиск паттернов и реакция на них; метрики безопасности как часть общей Immune System – Введение практик Security Knowledge Management – Проведение ретроспектив после инцидентов (Security Postmortems) с проверкой всех сервисов на наличие уязвимостей, подобных обнаруженной Про какую практику имеет смысл рассказать/записать в первую очередь?