Прием заявок на доклады БеКон 2026 уже открыт! Единственная конференция по безопасности контейнерных технологий ждет ваших заявок ;)

И тут у нас есть нововведение. Теперь на конференции будет не 1, а 2 трека. При этом у них есть строгое логическое разграничение.

1 трек - Ингредиенты

Данный трек посвящен технологиям. Он для инженеров, кто воплощает задуманное на практике. Этот трек у нас был и в предыдущие года, и будет продолжать радовать глубокими техническими докладами.

2 трек - Рецепты

Данный трек посвящен людям, командам и процессам связанным с безопасностью контейнеров и Kubernetes. Он для С-level, Leads, которые продумывают и выстраивают все в компании. Этот трек как раз новинка и призван расширить спектр докладов.

P.S. Как всегда будем рады обсудить и помочь сформировать заявку если у вас есть мысль/идея, но вы не уверены в ней.

P.S.S. Будем признательны за репост!

Предновогодний релиз DAF!

С наступающим новым годом, друзья! Все подводят итоги года, а мы запрыгиваем в последний вагон трудовых будней 2025 года с очередным релизом DAF!

Первая часть релиза (что добавилось и изменилось):
1. Актуализировали маппинг на ГОСТ 56939-2024
2. Добавили автомаппинг на BSIMM. Теперь проводя аудит по DAF можно сразу же получать результат относительно 5 фреймворков - ГОСТ 56939, DSOMM, SAMM, BSIMM, PT Table Top
3. Отдельный лист "Карта DAF" решили вовсе убрать, т.к. есть отличное визуальное представление на вкладке "Общее, домены, поддомены" (в нем еще добавили часть MLSecOps)
4. Учли некоторые пожелания пользователей DAF:
- скорректировали формулировки некоторых практик (T-ADI-ART-4-3, T-DEV-SCM-4-3, T-ADI-DEP-3-2, T-DEV-SRC-2-2, T-DEV-SRC-2-3, T-DEV-SRC-3-4, T-DEV-SRC-3-6)
- в выпадающем списке на странице «Практики» добавили вариант «Не заполнено» и по-умолчанию проставили для всех практик (чтобы было явно заметно что именно нужно еще заполнить при аудите)
- добавили на странице «Практики» отдельный столбец "Область действия практики", чтобы можно было заполнить часть практик для одной команды, часть - для группы команд, а еще часть - для всей компании в целом (например, общие на всю компанию регламенты, процессы)
5. Сделали более приятное визуальное оформление
6. Ну и как обычно, исправили битые ссылки, опечатки, прочие косяки с визуалом и добавили новые

Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps" - к сожалению, 4й квартал нас не пощадил и мы не пришли внутри к общему мнению как же правильно считать. Поэтому переносим на весенний релиз

Вторая часть релиза.
Мы довольно долго обходили вниманием MLSecOps, хотя это направление очень-очень близко нашему классическому DevSecOps. В этом релизе DAF мы исправили это упущение и добавили:
- отдельную вкладку "Практики+MLSecOps" - в ней голубой заливкой выделены отдельные практики MLSecOps, наложенные на обычные практики нашего фреймворка. Это сделано для того, чтобы можно было пользоваться фреймворком как для аудита только DevSecOps (вкладка "Практики"), так и для аудита MLSecOps (вкладка "Практики+MLSecOps"), который является "надстройкой" над DevSecOps
- на вкладке "Результаты аудита" добавили результаты по MLSecOps (эти строки скрыты, раскройте их, нажав слева сверху цифру "2")
- актуализировали "Общее, домены, поддомены" с учетом добавления MLSecOps

Ну и если сделали два релиза (в одном), то почему бы не сделать и третий, верно?😉 Вышел релиз английской версии DAF! Лайк, шер, репост своим зарубежным коллегам!☺️

DevSecOps Assessment Framework (DAF) – A Fresh Approach to Secure Software Development

Good news everyone!
We are pleased to announce that the DevSecOps Assessment Framework (DAF) is now available in English for the international community.

There are many useful frameworks for evaluating the secure development processes, such as SAMM, BSIMM, DSOMM, and Microsoft SDL. However, there is no single framework that clearly describes what must be done and in which order to establish a secure development process, objectively assess existing maturity level, and identify next steps.
The DevSecOps Assessment Framework (DAF) aims to solve this problem. It consolidates recommendations and best practices from various areas of DevSecOps and integrates our community's extensive expertise structured and adapted to modern realities. Some practices from well-known frameworks are not included in DAF, but new and more detailed practices have been added instead. All models, domains, subdomains, and practices are described in clear language to avoid ambiguity and misinterpretation.

Like, share and repost! We would appreciate your feedback!