Как построить DevSecOps-пайплайн на OpenSource-инструментах
DevOps-инженеры Hilbert Team Алексей Колосков и Михаил Кажемский рассказали, как встроить автоматизированные проверки безопасности в цикл разработки и обнаруживать уязвимости на самых ранних этапах, экономя нервы, время и деньги.
А что с фаззингом?
Его внедряют в пайплайны DevSecOps?
Спасибо за вопрос!
Внедрить в пайплайн можно все, что угодно! Devsecops-пайплайн - это по сути тот же devops-пайплайн, включающий в себя автоматизированную проверку безопасности кода и всего приложения. Если нужно — можно добавить туда фаззинг-проверку соответствующими инструментами.
В нашем примере пайплайна фаззинга нет, но никто не запрещает это реализовать на подходящей стадии, исходя из принципа Shift Left.
Алексей Колосков