DevSecOps в 2026 году — это не «поставили два сканера в CI и назвали это безопасностью», а нормальная инженерная дисциплина: находить уязвимости до продакшена, ловить секреты до коммита, а артефакты поставки делать проверяемыми. Если совсем коротко: безопасность перестала быть отдельным этапом и стала набором автоматических проверок, которые либо встраиваются в поток разработки, либо бесполезны.
Что такое DevSecOps в 2026 — без воды
Не про “добавим сканер”, а про контроль цепочки
В 2026 DevSecOps — это не про один инструмент, а про управляемую цепочку: код, зависимости, контейнеры, инфраструктура, секреты, артефакты сборки и их происхождение. Зрелая команда смотрит не только на уязвимости в коде, но и на то, кто собрал образ, откуда взялась библиотека, подписан ли релиз и есть ли SBOM. И да, если в вашем пайплайне есть только “security job” в конце, это не DevSecOps, а поздний автосервис после ДТП.
Практическая логика простая: чем раньше найдено отклонение, тем дешевле исправление. SAST помогает на уровне исходников, DAST ловит проблемы уже на живом приложении, SCA закрывает риск зависимостей, secret scanning режет утечки ключей, а supply chain security отвечает на вопрос “можно ли вообще доверять этому артефакту”.
Что проверять в первую очередь
Хорошая программа DevSecOps начинается с трёх вопросов. Первый: что может попасть в репозиторий и не должно туда попадать? Второй: что может попасть в релиз и сломать или скомпрометировать приложение? Третий: как быстро вы понимаете, что поставляете именно тот бинарник, который собрали из того самого коммита?
| Зона контроля | Что ищем | Когда проверяем |
|---|---|---|
| Код | инъекции, небезопасные вызовы, SSRF, десериализация | pre-commit, PR, merge |
| Зависимости | CVE, лицензии, устаревшие пакеты | каждый PR и nightly |
| Секреты | API keys, токены, приватные ключи | pre-commit, push protection |
| Сборка | подписи, provenance, SBOM | на release и для критичных артефактов |
Как выглядит адекватный минимум
Минимальный практический набор для DevSecOps в 2026: быстрый SAST на каждый PR, secret scanning до мерджа, SCA на манифестах и lock-файлах, DAST на staging, скан контейнеров перед публикацией, проверка IaC при изменении инфраструктуры и обязательная подпись релизов. Если команда работает с Kubernetes, добавьте контроль cluster hardening и runtime detection. Если в пайплайне есть только одно “security gate”, вы почти наверняка пропустите либо шум, либо риск, либо оба сразу.
Хорошая новость: это уже не требует армии AppSec-инженеров. Плохая новость: если у вас хаос в репозиториях, ветках и релизном процессе, никакой инструмент не спасёт. DevSecOps работает там, где есть дисциплина разработки и понятные правила, а не там, где безопасность живёт как героизм одного уставшего человека.
SAST: Semgrep, SonarQube, CodeQL
Что реально делает SAST
SAST в 2026 — это поиск уязвимых паттернов и потоков данных в исходниках без запуска приложения. Semgrep, SonarQube и CodeQL решают похожую задачу, но по-разному. Semgrep удобен для быстрых правил и понятен разработчикам, SonarQube хорошо работает как “quality gate” с security hotspots, а CodeQL силён там, где нужна более глубокая семантика и анализ потоков данных на больших кодовых базах.
Практический смысл SAST не в количестве найденных “issues”, а в том, насколько рано вы ловите ошибки вроде SQL injection, XSS, command injection, небезопасной десериализации, path traversal и утечек через логирование. Если инструмент находит только то, что и так видно глазами, он красивый, но бесполезный.
Semgrep, SonarQube, CodeQL: кому что подходит
Semgrep удобно брать, когда вам нужен быстрый старт, кастомные правила и хороший developer experience. Он сканирует код без запуска, поддерживает SAST, SCA и secrets scanning, умеет жить в IDE и CI/CD, а правила можно писать под свои фреймворки и внутренние стандарты.
SonarQube полезен там, где команды хотят видеть не только уязвимости, но и security hotspots — куски кода, которые нужно вручную проверить. Это хорошо для PHP, Java, JavaScript/TypeScript и других языков, где важен баланс между качеством кода и безопасностью. CodeQL лучше всего раскрывается в экосистеме GitHub: он строит базу из кода и гоняет по ней запросы. Для больших репозиториев и сложных стеков это часто самый сильный вариант, особенно если нужны собственные запросы под внутренние фреймворки.
| Инструмент | Сильная сторона | Где может буксовать |
|---|---|---|
| Semgrep | скорость, кастомные правила, понятные фоллоу-апы | если правила не настроены, шумит как и все |
| SonarQube | hotspots, quality gate, единый отчёт | часть команд уходит в “метрики ради метрик” |
| CodeQL | глубокий анализ потоков данных | требует дисциплины в настройке и в CI |
Как не утонуть в ложных срабатываниях
Правило простое: сначала включайте короткий набор критичных проверок, потом расширяйте покрытие. Для PR-гейта оставляйте только high/critical и только те классы уязвимостей, которые команда умеет исправлять без споров в чате на 40 сообщений. Все остальные правила пусть работают как informational в ночном прогоне. Для легаси-кода полезно запускать SAST в режиме baseline: вы фиксируете старый долг и не блокируете каждый новый merge из-за исторического бага.
Если надо выбирать между “идеальным покрытием” и “стабильным процессом”, в DevSecOps почти всегда выигрывает стабильный процесс. Сканы должны не мешать выпускать продукт, а делать качество и безопасность частью обычной инженерной рутины.
DAST: OWASP ZAP, Nuclei, Burp Suite
Зачем нужен DAST, если есть SAST
DAST нужен потому, что статический анализ видит код, а не поведение приложения. В реальности проблемы всплывают на аутентификации, сессиях, редиректах, заголовках, API-цепочках, JS-фронтенде и странных комбинациях прокси, кэша и авторизации. DAST проверяет живое приложение, а значит видит то, что SAST иногда красиво пропускает.
В 2026 разумный DAST-процесс почти всегда разделён на два уровня: быстрые автоматические сканы на staging и более глубокие целевые проверки перед крупным релизом или для критичных сервисов. Не пытайтесь гонять тяжёлый активный аудит на каждый коммит. Вы просто превратите пайплайн в печку.
OWASP ZAP, Nuclei, Burp Suite: разные роли
OWASP ZAP — самый естественный вход для команд, которым нужен open source DAST с автоматизацией. Его удобно использовать в baseline-режиме для быстрой проверки поверхности атаки и в более агрессивных режимах для staging. Nuclei хорош там, где важны скорость, шаблоны и массовая проверка инфраструктуры и веб-поверхности. У него YAML-шаблоны, много протоколов и удобная автоматизация. Burp Suite — это уже тяжёлая артиллерия: мощный scanner, продвинутый crawl, активные проверки и удобная работа с аутентификацией. Для ручной валидации находок и сложных сценариев Burp до сих пор очень силён.
Burp особенно полезен, когда приложение живёт за SSO, логинами, ролями и нестандартными цепочками авторизации. У него есть authenticated scanning, записываемые login sequence и разделение на crawl и audit. Это важно: современное приложение без авторизации — редкость, а DAST без авторизации часто превращается в поиск красивых страниц.
Как строить DAST без боли
Практичная схема такая: ZAP или Nuclei запускаются автоматически на staging после deploy, Burp используют для ручной проверки критичных находок, а на API-эндпоинтах держат отдельные сценарии. Для каждого сервиса полезно иметь минимум два профиля: “fast smoke” и “deep audit”. В fast smoke проверяйте статус-коды, заголовки, доступность админок, базовые инъекции и очевидные misconfigurations. Deep audit оставляйте для ночных прогонов или перед релизом.
Если приложение stateful, не забывайте про тестовые данные и изолированные учётки. Иначе DAST станет не security-практикой, а способом случайно испортить себе staging и настроение. В DevSecOps это особенно обидно: безопасность вроде бы есть, а delivery встало из-за одного агрессивного скана.
SCA: Snyk, Dependabot, Trivy
Что ищет SCA и почему это уже не “второй сорт”
SCA давно перестал быть “дополнительным отчётом по зависимостям”. В 2026 это один из главных слоёв DevSecOps, потому что современное приложение собирается из сотен и тысяч пакетов. Риск сидит не только в прямых зависимостях, но и в транзитивных, а ещё в лицензиях, в старых версиях и в забытых lock-файлах, которые по ночам делают сюрпризы.
Snyk фокусируется на риске и помогает не тонуть в шуме. Dependabot встроен в GitHub и хорошо подходит для автоматических PR с обновлениями. Trivy интересен тем, что умеет закрывать не только SCA, но и контейнеры, IaC, secrets и SBOM-процессы, то есть закрывает несколько слоёв сразу.
Snyk, Dependabot, Trivy: практический выбор
Snyk Open Source удобно брать, если вам нужен developer-first workflow, приоритет по риску и понятные рекомендации по исправлению. Он сканирует манифесты и транзитивные зависимости, умеет открывать pull requests с исправлениями и полезен там, где важна скорость реакции. Dependabot хорош как базовый автопилот для поддержания актуальности пакетов и security updates. Он не требует изобретать новый процесс: изменения приходят в виде обычных PR. Trivy полезен как универсальный комбайн: image, filesystem, Git, secrets, IaC, SBOM.
Для команд с ограниченным бюджетом это важный момент: один инструмент, который закрывает несколько сценариев, часто практичнее трёх “лучших в классе”, потому что у DevSecOps есть ещё реальность поддержки, лицензий и онбординга.
Как внедрять обновления без ломки релизов
Не стоит автоматически мерджить всё подряд, даже если инструмент очень старается. Разделяйте security updates и version updates, а для критичных сервисов используйте отдельный policy: high/critical патчится быстро, medium обновляется в плановом окне, low — в пачке. Для npm, Maven, PyPI, Go modules и контейнерных базовых образов полезно держать разные SLA на обновления.
- Critical: triage в течение 24 часов, фиксация в 1-3 дня.
- High: triage в течение 2-3 дней, фиксация за 1-2 недели.
- Medium: плановое обновление в течение 2-4 недель.
- Low: в рамках регулярного dependency sprint.
Если у вас много сервисов, не обновляйте всё в один день. Пакетные апдейты лучше ограничивать по доменам, чтобы не превратить зависимостный долг в массовую регрессию. В DevSecOps дисциплина обновлений важнее героического “срочно всё подняли ночью”.
Secret scanning: gitleaks, TruffleHog
Почему секреты надо ловить до коммита
Утечки ключей и токенов — одна из самых дорогих и самых глупых категорий инцидентов. Потому что после попадания секрета в git он уже почти никогда не “исчезает”: остаётся в истории, форках, кешах, CI-логах и зеркалах. Поэтому DevSecOps-подход здесь один: блокировать утечку до того, как она станет историческим артефактом.
GitHub push protection делает именно это: блокирует push с секретами до попадания в репозиторий. А внешние инструменты нужны, чтобы поймать то, что не ловится на уровне платформы, и чтобы покрыть GitLab, локальные репозитории, артефакты, логи и сторонние источники.
Gitleaks и TruffleHog — не одно и то же
Gitleaks — быстрый и практичный инструмент для поиска секретов в git-репозиториях, файлах и через stdin. Его удобно использовать как CLI, pre-commit hook, GitHub Action и проверку в CI. Он хорош, когда вам нужен предсказуемый блокирующий контроль и минимум сюрпризов.
TruffleHog идёт дальше: он умеет не только искать, но и верифицировать секреты, классифицировать их и работать с большим количеством источников. По документации он распознаёт сотни типов секретов и может проверять, живой ли найденный ключ. Это важно: не все строки, похожие на токены, действительно опасны, а живая верификация сокращает шум.
Как уменьшить ложные срабатывания и не убить скорость
Хорошая практика — запускать быстрый локальный или pre-commit скан для новых файлов и отдельный full scan на CI. При этом исключения надо оформлять централизованно, а не плодить “ну это же временно” в десятке конфигов. Для крупных репозиториев полезно ограничивать скан только изменёнными файлами на PR, а полный исторический поиск делать по расписанию.
- Локально ловите секреты на этапе pre-commit.
- На PR блокируйте новые находки.
- Ночью прогоняйте full scan по истории и тегам.
- Отдельно проверяйте логи, дампы и конфиги деплоя.
Самый скучный, но рабочий вывод: если у вас нет secret scanning, у вас не DevSecOps, а надежда на лучшее. Надежда, как известно, хороший человеческий навык, но плохой контроль доступа.
Supply chain: SLSA, Sigstore, SBOM
Почему supply chain стал отдельным слоем
В 2026 атакуют не только приложение, но и путь его появления. Компрометация зависимости, подмена артефакта в CI, чужой бинарник под знакомым тегом, скрипт сборки из непонятного места — всё это уже не теоретические кошмары, а повседневный риск. Поэтому supply chain security в DevSecOps — это не мода, а способ доказать, что ваш релиз действительно ваш.
SLSA, Sigstore и SBOM решают разные задачи. SLSA отвечает за доверие к процессу сборки, Sigstore — за подписи и верификацию артефактов, SBOM — за прозрачность состава. Вместе они дают не магию, а проверяемость.
SLSA и Sigstore без церемоний
SLSA описывает уровни зрелости supply chain. В текущей спецификации важен build track: provenance показывает, что было собрано, чем и как. Чем выше уровень, тем сильнее защита от подмены во время и после сборки. Для практической команды это означает: фиксируйте provenance, подписывайте его и не позволяйте сборке жить без трассируемости.
Sigstore решает проблему подписи артефактов без ручного управления вечными ключами. Cosign умеет keyless signing через OIDC, а подпись и сертификат логируются в прозрачный журнал. Это удобно для контейнеров, бинарников и даже SBOM-артефактов. В нормальной схеме вы не спрашиваете “кто тут хранит приватный ключ в GitHub Secrets?”, а проверяете подпись и происхождение объекта.
SBOM как рабочий артефакт, а не бюрократия
SBOM нужен не ради красивой формальности, а ради ответа на вопрос: что именно мы поставили и что из этого уязвимо. SPDX и CycloneDX — два самых употребимых формата. SPDX — открытый стандарт, признанный ISO/IEC 5962:2021; CycloneDX заточен под inventory компонентов и зависимостей. GitHub уже умеет экспортировать SBOM в SPDX JSON, а Trivy умеет генерировать SBOM для container images и использовать его при сканировании.
Практический совет: делайте SBOM на каждый релизный артефакт, храните вместе с подписью и provenance и проверяйте это в пайплайне. Если кто-то говорит, что SBOM “никому не нужен”, обычно это человек, которому потом вручную разбирать инцидент в пятницу вечером.
Container security: Trivy, Grype, Falco
Контейнер не равен безопасности
Контейнеры упрощают деплой, но не отменяют риски. Уязвимости сидят в базовом образе, пакетах ОС, языковых зависимостях, конфигурации runtime и в поведении уже запущенного контейнера. Поэтому контейнерная безопасность в DevSecOps должна быть многоуровневой: scan before push, verify before deploy, detect at runtime.
Trivy и Grype закрывают статическую часть. Falco закрывает runtime, то есть ловит подозрительное поведение уже в работе. Вместе это заметно полезнее, чем один “канонический” скан образа в CI.
Trivy против Grype, и где тут Falco
Trivy удобен широтой покрытия: контейнерные образы, файловые системы, Git, secrets, IaC, SBOM. Это хороший универсальный слой, если вы не хотите держать пять разных утилит. Grype часто используют как специализированный vulnerability scanner для образов и файловых систем, особенно в связке с экосистемой Anchore. Если нужна простая и быстрая проверка CVE по образу, Grype остаётся рабочей лошадкой. Falco смотрит не на состав образа, а на поведение: shell inside container, неожиданные системные вызовы, доступ к чувствительным файлам, странные сетевые действия.
Falco особенно ценен там, где контейнер уже в проде и злоумышленник успел пройти build-time проверки. Это runtime-сигнализация, а не замена сканеру.
Что реально ставить в правила
Для образов имеет смысл блокировать публикацию, если есть critical CVE без исключения, если образ собран из неподписанного источника или если SBOM не сгенерирован. В runtime стоит ловить запуск shell, доступ к `/etc/shadow`, неожиданные privilege escalation, изменение системных бинарников и аномалии в kube-system.
- Сканируйте образ до push.
- Проверяйте подпись перед deploy.
- Пишите Falco-правила под свой threat model.
- Не держите один и тот же image tag неделями.
Хороший контейнерный процесс — это не “у нас есть latest”, а “у нас есть воспроизводимый, проверенный и ограниченный по правам артефакт”.
IaC security: Checkov, tfsec, kube-bench
Инфраструктуру тоже надо проверять
Infrastructure as Code давно стала обычным кодом, а значит и обычной точкой атаки. Ошибка в Terraform, небезопасная политика Kubernetes, слишком широкий IAM policy или открытый bucket — это всё не “инфраструктурные нюансы”, а будущий инцидент. DevSecOps здесь помогает поймать misconfiguration до того, как она уедет в облако и станет дорогой проблемой.
Checkov, tfsec и kube-bench закрывают разные уровни. Checkov смотрит шире, tfsec точечно силён на Terraform, kube-bench проверяет Kubernetes на соответствие CIS benchmark и связанным hardening-гайдам.
Что умеют эти инструменты
Checkov — policy-as-code для Terraform, Terraform plan, CloudFormation, Kubernetes, Helm, ARM, Serverless и AWS CDK. Он удобен, если у вас гетерогенная облачная инфраструктура и вы хотите один подход к проверкам. tfsec — статический анализатор Terraform-кода, ориентированный на developer-friendly output и быстрые проверки в CI. kube-bench проверяет конфигурацию Kubernetes-кластера по CIS Kubernetes Benchmarks и другим hardening-руководствам, включая EKS, GKE, AKS и OpenShift-подобные среды.
Это важная связка: IaC-сканер ловит ошибку в коде, а kube-bench показывает, насколько сам кластер соответствует минимальному базовому уровню защиты.
Как не превратить IaC security в театр
Для IaC лучше всего работает схема “diff-aware checks”: сканируйте только изменения в PR, а full scan делайте на nightly и перед промоутом в production. Иначе крупные monorepo будут страдать от вечных и всем надоевших красных билдов. Хорошая практика — мэппить правила на конкретные облачные риски: публичные бакеты, security groups с `0.0.0.0/0`, IAM wildcard, отключённое encryption-at-rest, привилегированные pod’ы.
| Инструмент | Лучший сценарий | Слабое место |
|---|---|---|
| Checkov | много облаков и форматов IaC | может быть шумным без политики исключений |
| tfsec | чистый Terraform и быстрые PR-проверки | узкий фокус только на Terraform |
| kube-bench | CIS hardening Kubernetes-кластера | не ловит все runtime-проблемы |
Как встроить в CI/CD без боли
Пайплайн должен помогать, а не ломать delivery
Главная ошибка DevSecOps-перехода — попытка засунуть всё в один тяжёлый stage в конце pipeline. Так делают либо из страха, либо от желания “сразу всё закрыть”. В реальности нужно разделить проверки по цене, скорости и моменту обнаружения. Быстрые проверки идут на каждый PR, средние — после merge или на nightly, тяжёлые — перед релизом или на staging.
Поток обычно выглядит так: pre-commit ловит секреты и базовый SAST, PR запускает SAST/SCA/IaC diff scan, после сборки проверяется контейнер и SBOM, на staging прогоняется DAST, а релиз подписывается и валидируется по provenance. Если нужно — runtime detection добивает уже после выката.
Три слоя гейтов
Гейт 1: разработчик. Здесь должны работать быстрые и понятные проверки: секреты, локальный SAST, Terraform lint/security checks. Время ответа — минуты, а не часы. Гейт 2: PR. Тут уже можно запускать более дорогие сканы, но с правилом: блокируем только критичное и только то, что команда готова чинить. Гейт 3: release. Здесь проверяются подписи, SBOM, provenance, контейнерные уязвимости и DAST на staging.
Если всё это свалить в один уровень, люди начнут обходить процесс. А обойдённая безопасность — это не безопасность, а декоративная наклейка.
Пример здравой схемы
- Pre-commit: gitleaks или TruffleHog, быстрый Semgrep.
- PR: Semgrep/CodeQL, SCA, Checkov/tfsec, diff-based scans.
- Build: Trivy/Grype для образа, генерация SBOM, подпись Cosign.
- Staging: ZAP/Nuclei/Burp для DAST.
- Release: verify signature, verify provenance, publish immutable tag.
- Post-deploy: Falco и оповещения по аномалиям.
Секрет хорошего pipeline простой: он должен быть предсказуемым. Если разработчики знают, что именно и когда проверяется, они перестают воспринимать security как внезапную кару небесную. А это уже очень близко к нормальному DevSecOps.
Метрики и отчётность DevSecOps
Что измерять, кроме количества находок
Количество уязвимостей само по себе мало о чём говорит. Один репозиторий может светиться десятком старых medium, другой — одним критичным секретом в истории, и второй проблемнее на порядок. Поэтому метрики DevSecOps должны показывать не только объём, но и скорость реакции, покрытие и качество процесса.
Условный KPI “нашли 500 issues” — это не KPI, а цифра. Полезнее считать, сколько находок блокируется на ранних этапах, сколько уходит в прод, как быстро закрываются критичные, насколько покрыт пайплайн и сколько исключений действительно обоснованы.
Практические метрики
| Метрика | Что показывает | Практичный ориентир |
|---|---|---|
| Coverage PR scans | сколько PR проходят SAST/SCA/IaC | 90-100% |
| MTTR critical findings | как быстро чинятся critical/high | 1-7 дней для critical, 7-14 для high |
| Secret leak blocked | сколько секретов блокируется до merge | чем выше, тем лучше; цель — тренд вверх |
| Signed releases | доля артефактов с подписью | 100% для релизов |
| SBOM coverage | есть ли SBOM на каждый релиз | 100% для критичных сервисов |
Как сделать отчёт полезным для бизнеса
Отчёт нужен не ради AppSec-эстетики, а ради решений. Показывайте тренд по критичным находкам, процент “старых” уязвимостей старше 30/60/90 дней, число обоснованных исключений, долю автопочинки через Dependabot или аналогичные PR, а также coverage по репозиториям и сервисам. Для руководителя это означает не “сколько страшных слов нашли”, а “где у нас реальный риск и как он меняется”.
Отдельно полезно показывать, какие проверки чаще всего вызывают ложные срабатывания. Если 70% шума создаёт один rule pack, его надо настраивать или выключать, а не гордиться “строгостью”. DevSecOps без нормальной отчётности быстро скатывается в музей красных билдов.
Глубже на тему — исследования it-institute.ru
На партнёрском портале it-institute.ru опубликована подборка релевантных исследований с медианами, выборками и методологией:
- каталог гайдов
- Cloud Native и Kubernetes 2026
- Platform Engineering vs DevOps
- Карта вендоров: DevTools и CI/CD
FAQ о DevSecOps
DevSecOps — это отдельная роль или набор практик?
В большинстве команд это набор практик, а не одна должность. Роль AppSec-инженера помогает ускорить внедрение, но сама по себе не заменяет автоматизацию в CI/CD, секреты, SAST, DAST и контроль supply chain.
С чего начинать, если ресурсов мало?
Начинайте с секретов и зависимостей: это самые быстрые победы с максимальным эффектом. Потом добавьте быстрый SAST на PR и проверку контейнеров перед публикацией образа.
Нужны ли одновременно SAST и DAST?
Да, потому что они смотрят на разные риски. SAST ловит ошибки в коде, DAST — поведение живого приложения, особенно вокруг аутентификации, сессий и API.
Что важнее: SBOM или подпись артефактов?
Оба нужны, но решают разные задачи. SBOM отвечает за прозрачность состава, а подпись и provenance — за доверие к происхождению и целостности артефакта.
Почему Dependabot не закрывает весь SCA?
Dependabot хорош для автоматических обновлений, но это не полноценная платформа риск-приоритизации. Для сложных сценариев часто добавляют Snyk, Trivy или другой SCA-инструмент с более гибкой аналитикой.
Можно ли обойтись только open source-инструментами?
Можно, если у вас не слишком сложный стек и есть время на настройку. Semgrep, OWASP ZAP, Trivy, Gitleaks, Checkov, kube-bench и Falco закрывают большую часть базовых потребностей.
Как понять, что DevSecOps у нас действительно работает?
Смотрите на покрытие проверок, скорость закрытия критичных находок, долю секретов, пойманных до merge, и на то, подписаны ли релизы. Если находки не уменьшают риск и не ускоряют исправление, процесс есть, а результата нет.
Следите за обновлениями itech-news.ru — мы держим эту страницу актуальной.
