#devops #devsecops
Темы DevOps и безопасного DevOps (DevSecOps) стремительно развиваются последнее время. Связано это с тем, что нынешняя конкуренция вынуждает организации брать на себя риски хранения большого количества конфиденциальных данных, что является идеальным условием для катастрофы. Поэтому с увеличением количества онлайн-сервисов растет частота обнаружения проблем в безопасности.
Так вот, DevSecOps показывает, как можно помочь организациям безопасно работать с данными, доверенными пользователями, и защищать их.
Но, прежде чем переходить к DevSecOps, необходимо разобраться с процессом DevOps. Простыми словами, DevOps представляет собой процесс непрерывного совершенствования программных продуктов с помощью ускорения циклов релизов, автоматизации конвейеров (интеграционных и разверточных) и тесного взаимодействия между командами.
Цель DevOps — сокращение времени и стоимости воплощения идеи в продукте, которым пользуются клиенты.
Как вы уже поняли, главной составляющей в DevOps является полностью автоматизированный процесс от отправки разработчиком модификации программы до развертывания сервиса в среде эксплуатации (production).
1. Автоматизированная интеграция нового функционала в программный продукт называется непрерывной интеграцией (Continuous Integration, CI). CI определяет рабочие процессы для внедрения, тестирования и слияния функциональностей в программном продукте. Ключевыми составляющими на данном этапе являются автоматизированные тесты, которые позволяют ответить на следующий вопрос: «Не спровоцировали ли изменения появления ошибок в существующем функционале и сохранился ли уровень качества?». Изменения сливаются с основным репозиторием после проверки изменений.
2. Автоматизацию развертывания программных продуктов в сервисах, доступных для пользователей, называют непрерывной поставкой (Continuous Delivery, CD). Вместо управления компонентами инфраструктуры вручную DevOps предполагает программирование инфраструктуры для быстрой обработки изменений. Когда разработчики выполняют слияние кода с изменениями в программе, специалисты по эксплуатации запускают развертывание обновленной программы из СD-конвейера, который автоматически извлекает последнюю версию исходного кода, упаковывает ее и создает для нее новую инфраструктуру.
3. Следующим ключевым компонентом DevOps является Инфраструктура как сервис (Infrastructure-as-a-Service, IaaS), которая может быть представлена в виде облака или может быть развернута штатно, например с помощью Kubernetes.
Вышеперечисленные концепции лежат в основе процесса DevSecOps, который еще можно назвать непрерывной безопасностью. Непрерывная безопасность в свою очередь охватывает следующие области:
- Безопасность на основе тестирования (Test-Driven Security, TDS),
- Мониторинг и реагирование на атаки,
- Оценка рисков и усиление безопасности.
Темы DevOps и безопасного DevOps (DevSecOps) стремительно развиваются последнее время. Связано это с тем, что нынешняя конкуренция вынуждает организации брать на себя риски хранения большого количества конфиденциальных данных, что является идеальным условием для катастрофы. Поэтому с увеличением количества онлайн-сервисов растет частота обнаружения проблем в безопасности.
Так вот, DevSecOps показывает, как можно помочь организациям безопасно работать с данными, доверенными пользователями, и защищать их.
Но, прежде чем переходить к DevSecOps, необходимо разобраться с процессом DevOps. Простыми словами, DevOps представляет собой процесс непрерывного совершенствования программных продуктов с помощью ускорения циклов релизов, автоматизации конвейеров (интеграционных и разверточных) и тесного взаимодействия между командами.
Цель DevOps — сокращение времени и стоимости воплощения идеи в продукте, которым пользуются клиенты.
Как вы уже поняли, главной составляющей в DevOps является полностью автоматизированный процесс от отправки разработчиком модификации программы до развертывания сервиса в среде эксплуатации (production).
1. Автоматизированная интеграция нового функционала в программный продукт называется непрерывной интеграцией (Continuous Integration, CI). CI определяет рабочие процессы для внедрения, тестирования и слияния функциональностей в программном продукте. Ключевыми составляющими на данном этапе являются автоматизированные тесты, которые позволяют ответить на следующий вопрос: «Не спровоцировали ли изменения появления ошибок в существующем функционале и сохранился ли уровень качества?». Изменения сливаются с основным репозиторием после проверки изменений.
2. Автоматизацию развертывания программных продуктов в сервисах, доступных для пользователей, называют непрерывной поставкой (Continuous Delivery, CD). Вместо управления компонентами инфраструктуры вручную DevOps предполагает программирование инфраструктуры для быстрой обработки изменений. Когда разработчики выполняют слияние кода с изменениями в программе, специалисты по эксплуатации запускают развертывание обновленной программы из СD-конвейера, который автоматически извлекает последнюю версию исходного кода, упаковывает ее и создает для нее новую инфраструктуру.
3. Следующим ключевым компонентом DevOps является Инфраструктура как сервис (Infrastructure-as-a-Service, IaaS), которая может быть представлена в виде облака или может быть развернута штатно, например с помощью Kubernetes.
Вышеперечисленные концепции лежат в основе процесса DevSecOps, который еще можно назвать непрерывной безопасностью. Непрерывная безопасность в свою очередь охватывает следующие области:
- Безопасность на основе тестирования (Test-Driven Security, TDS),
- Мониторинг и реагирование на атаки,
- Оценка рисков и усиление безопасности.
#devops #devsecops
2 статьи, которые помогут погрузиться в тему DevOps:
- Как и зачем становиться DevOps-инженером?
- Повседневные задачи в DevOps: мнения инженеров
Первый материал более общий и посвящён основам DevOps и методам освоения данной профессии. Во второй статье корреспондент Proglib выяснил у инженеров DevOps, с какими задачами они сталкиваются ежедневно и какими инструментами пользуются.
Кстати, одним из опрашиваемых является Андрей Сидоров, который в настоящее время занимает должность DevSecOps Architech в компании ARRIVAL.
2 статьи, которые помогут погрузиться в тему DevOps:
- Как и зачем становиться DevOps-инженером?
- Повседневные задачи в DevOps: мнения инженеров
Первый материал более общий и посвящён основам DevOps и методам освоения данной профессии. Во второй статье корреспондент Proglib выяснил у инженеров DevOps, с какими задачами они сталкиваются ежедневно и какими инструментами пользуются.
Кстати, одним из опрашиваемых является Андрей Сидоров, который в настоящее время занимает должность DevSecOps Architech в компании ARRIVAL.
Библиотека программиста
👨🔧️ Как и зачем становиться DevOps-инженером?
Хотите узнать, зачем в современном IT нужны DevOps-инженеры и почему такой должности не было раньше? Объясняем максимально просто.
#devops
Дорожные карты помогают ИТ- и ИБ-специалистам задать вектор развития, особенно если их поддерживает сообщество.
Ранее мы рассматривали 2 статьи, которые помогут погрузиться в тему DevOps, а сегодня рассмотрим дорожную карту DevOps-инженера. В статье также перечислены некоторые советы, которые помогут разложить все по полкам.
https://proglib.io/sh/8YNkxq59yt
Дорожные карты помогают ИТ- и ИБ-специалистам задать вектор развития, особенно если их поддерживает сообщество.
Ранее мы рассматривали 2 статьи, которые помогут погрузиться в тему DevOps, а сегодня рассмотрим дорожную карту DevOps-инженера. В статье также перечислены некоторые советы, которые помогут разложить все по полкам.
https://proglib.io/sh/8YNkxq59yt
State-of-DevOps-Russia-2020.pdf
6 MB
#devops
Компания Экспресс 42, совместно с конференциями Олега Бунина (Онтико), провели первое исследование состояния DevOps в России.
В течение августа 2020 они опросили 889 специалистов и руководителей из разных регионов, отраслей и компаний. В результате получили срез по текущему состоянию инженерных практик и инструментов, проверили гипотезы, как DevOps влияет на производительность и показатели компаний, сравнили результаты с предыдущими исследованиями, выявили тренды развития.
Одной из основных сложностей стало отсутствие данных за прошлый год, поэтому в своем исследовании они опирались на методологию и данные компании DevOps Research and Assessment (DORA) в отчетах Accelerate State of DevOps 2018/2019.
Кратко с результатами исследования можно ознакомиться в статье: https://proglib.io/w/e3414f86
Компания Экспресс 42, совместно с конференциями Олега Бунина (Онтико), провели первое исследование состояния DevOps в России.
В течение августа 2020 они опросили 889 специалистов и руководителей из разных регионов, отраслей и компаний. В результате получили срез по текущему состоянию инженерных практик и инструментов, проверили гипотезы, как DevOps влияет на производительность и показатели компаний, сравнили результаты с предыдущими исследованиями, выявили тренды развития.
Одной из основных сложностей стало отсутствие данных за прошлый год, поэтому в своем исследовании они опирались на методологию и данные компании DevOps Research and Assessment (DORA) в отчетах Accelerate State of DevOps 2018/2019.
Кратко с результатами исследования можно ознакомиться в статье: https://proglib.io/w/e3414f86
#devops
Build Automation, Configuration Management, Deployment, Exploratory Testing, Hybrid Cloud, Platform-as-a-Service, Rollback и еще много терминов в словаре DevOps-инженера.
https://proglib.io/sh/QOIHkpmzSr
Build Automation, Configuration Management, Deployment, Exploratory Testing, Hybrid Cloud, Platform-as-a-Service, Rollback и еще много терминов в словаре DevOps-инженера.
https://proglib.io/sh/QOIHkpmzSr
Библиотека программиста
👨🎓️👨🔧️50 терминов DevOps: словарь инженера
Чтобы освоить любую специальность, нужно понимать профессиональный жаргон. В небольшом словаре мы собрали основные термины, необходимые инженеру DevOps. Изучить их также стоит начинающим программистам и сисаминам.
#devops #devsecops
Небольшая подборка вебинаров с теорией и практикой на тему DevOps и DevSecOps:
- DevOps на пальцах
- DevSecOps. Общее погружение
- DevOps. Начало работы в кластере Kubernetes
- SecOps. Средства защиты и контроль доступа к кластеру
- DevSec. Встраивание ИБ в автоматизированный конвейер разработки
Небольшая подборка вебинаров с теорией и практикой на тему DevOps и DevSecOps:
- DevOps на пальцах
- DevSecOps. Общее погружение
- DevOps. Начало работы в кластере Kubernetes
- SecOps. Средства защиты и контроль доступа к кластеру
- DevSec. Встраивание ИБ в автоматизированный конвейер разработки
YouTube
DevOps на пальцах
На вебинаре простым и понятным языком рассказали, о том какие технологии используются в DevOps, зачем они нужны и как правильно их использовать для создания конвейера разработки.
Подробно обсудили на мероприятии:
• Что такое DevOps: что и зачем
• Обзор ключевых…
Подробно обсудили на мероприятии:
• Что такое DevOps: что и зачем
• Обзор ключевых…
#devops #sre #career
Интересные размышления на тему того, какими навыками необходимо обладать современному специалисту SRE (Site Reliability Engineering) / DevOps, чтобы оставаться востребованым.
https://proglib.io/w/6035498b
Интересные размышления на тему того, какими навыками необходимо обладать современному специалисту SRE (Site Reliability Engineering) / DevOps, чтобы оставаться востребованым.
https://proglib.io/w/6035498b
A Cloud Guru
The Future of Ops Jobs
The role of operations engineers is changing fast, and the role is bifurcating along the question of infrastructure.
CICD_with_Docker_Kubernetes_Semaphore.pdf
2 MB
#book #devops
CI/CD with Docker
and Kubernetes
How to Deliver Cloud Native
Applications at High Velocity (2020)
Авторы: Marko Anastasov, Jérôme Petazzoni
Контейнер Docker теперь является стандартным способом упаковки программного обеспечения
таким образом, чтобы его можно было развернуть, масштабировать и динамически распределить на любом облаке. Kubernetes — ведущая платформа для запуска контейнеров в боевой среде.
Учитывая данные тенденции, данная книга стремится помочь вам быстро перейти к созданию облачных приложений и позволяет самостоятельно построить продуктивный процесс CI / CD на основе контейнеров.
К концу этой книги вы поймете:
- Основные преимущества использования контейнеров Docker и способы их достижения.
- Как работает развертывание в Kubernetes.
- Как необходимо изменить нашу культуру и инструменты доставки, чтобы в полной мере воспользоваться гибкостью, которую могут предложить контейнеры и облачные технологии.
CI/CD with Docker
and Kubernetes
How to Deliver Cloud Native
Applications at High Velocity (2020)
Авторы: Marko Anastasov, Jérôme Petazzoni
Контейнер Docker теперь является стандартным способом упаковки программного обеспечения
таким образом, чтобы его можно было развернуть, масштабировать и динамически распределить на любом облаке. Kubernetes — ведущая платформа для запуска контейнеров в боевой среде.
Учитывая данные тенденции, данная книга стремится помочь вам быстро перейти к созданию облачных приложений и позволяет самостоятельно построить продуктивный процесс CI / CD на основе контейнеров.
К концу этой книги вы поймете:
- Основные преимущества использования контейнеров Docker и способы их достижения.
- Как работает развертывание в Kubernetes.
- Как необходимо изменить нашу культуру и инструменты доставки, чтобы в полной мере воспользоваться гибкостью, которую могут предложить контейнеры и облачные технологии.
#devops
Ребята из Rebrain взяли интервью у инженера компании Uber — получилось очень занимательно. Основной посыл в том, что в современных компаниях исчезает разделение между разработчиками и DevOps-специалистами.
https://proglib.io/w/cc60ea86
Ребята из Rebrain взяли интервью у инженера компании Uber — получилось очень занимательно. Основной посыл в том, что в современных компаниях исчезает разделение между разработчиками и DevOps-специалистами.
https://proglib.io/w/cc60ea86
Хабр
Разрабы становятся админами, а админы — разрабами. Интервью с инженером Uber, где разделение исчезло совсем
Данила Мигалин (@miga) живет в Вильнюсе и работает инженером в Uber. Давным-давно контора, которая занималась русификацией игр, не взяла его работать переводчико...
#devops
Воркшоп, в рамках которого рассматриваются основы DevOps для Red Team специалистов и пентестеров.
https://proglib.io/w/a7767869
Воркшоп, в рамках которого рассматриваются основы DevOps для Red Team специалистов и пентестеров.
https://proglib.io/w/a7767869
YouTube
DevOps for Hackers with Hands-On Labs w/ Ralph May (4-Hour Workshop)
Join us in the Black Hills InfoSec Discord server here: https://discord.gg/BHIS to keep the security conversation going!
Learn hackerops with Ralph May from Antisyphon
Training: https://www.antisyphontraining.com/hackerops-w-ralph-may/
0:00:00 - PreShow…
Learn hackerops with Ralph May from Antisyphon
Training: https://www.antisyphontraining.com/hackerops-w-ralph-may/
0:00:00 - PreShow…
#devsecops #devops #security
Построение простого CI/CD-пайплайна с инструментами контроля безопасности с помощью бесплатных инструментов.
https://proglib.io/w/4639c11d
Построение простого CI/CD-пайплайна с инструментами контроля безопасности с помощью бесплатных инструментов.
https://proglib.io/w/4639c11d
Хабр
DevSecOps «за 5 копеек»
В этой статье один из сотрудников нашей компании Сергей Полунин Belowzero273 расскажет, как с помощью бесплатных инструментов можно построить простой CI/CD-пайплайн с инструментами контроля...
Enterprise_DevOps_for_Architects.pdf
5.8 MB
#devops #devsecops
Enterprise DevOps for Architects: Leverage AIOps and DevSecOps for secure digital transformation (2021)
Автор: Jeroen Mulder
В книге представлен архитектурный обзор DevOps, AIOps и DevSecOps — трех областей, которые стимулируют и ускоряют цифровую трансформацию.
К концу книги вы:
✔️Научитесь создавать архитектуру DevOps и интегрировать ее с корпоративной архитектурой
✔️Узнаете, как DevOps может повысить качество предоставления ИТ-услуг
✔️Изучите стратегии масштабирования DevOps для энтерпрайза
✔️Узнаете про архитектуру SRE
✔️Поймете, что такое подход AIOps и какую пользу он несет
✔️Создадите архитектуру AIOps и интегрируете ее в DevOps
✔️Научитесь работать с архитектурой DevSecOps
✔️Интегрируете архитектуру DevSecOps в DevOps
✔️Реализуете Zero Trust Architecture и многое другое
Enterprise DevOps for Architects: Leverage AIOps and DevSecOps for secure digital transformation (2021)
Автор: Jeroen Mulder
В книге представлен архитектурный обзор DevOps, AIOps и DevSecOps — трех областей, которые стимулируют и ускоряют цифровую трансформацию.
К концу книги вы:
✔️Научитесь создавать архитектуру DevOps и интегрировать ее с корпоративной архитектурой
✔️Узнаете, как DevOps может повысить качество предоставления ИТ-услуг
✔️Изучите стратегии масштабирования DevOps для энтерпрайза
✔️Узнаете про архитектуру SRE
✔️Поймете, что такое подход AIOps и какую пользу он несет
✔️Создадите архитектуру AIOps и интегрируете ее в DevOps
✔️Научитесь работать с архитектурой DevSecOps
✔️Интегрируете архитектуру DevSecOps в DevOps
✔️Реализуете Zero Trust Architecture и многое другое
#devsecops #devops
Руководитель направления по построению процессов безопасной разработки в Positive Technologies Тимур Гильмуллин рассматривает концепцию DevSecOps в целом и разбирает, что она дает бизнесу, разработчикам, DevOps-инженерам и безопасникам, какие инструменты можно при этом использовать и насколько трудоемко их внедрение.
https://proglib.io/w/dae3bb45
Руководитель направления по построению процессов безопасной разработки в Positive Technologies Тимур Гильмуллин рассматривает концепцию DevSecOps в целом и разбирает, что она дает бизнесу, разработчикам, DevOps-инженерам и безопасникам, какие инструменты можно при этом использовать и насколько трудоемко их внедрение.
https://proglib.io/w/dae3bb45
Хабр
Безопасная разработка: какую часть Sec занимает в DevSecOps
Всем привет! Меня зовут Тимур Гильмуллин , я руководитель направления по построению процессов безопасной разработки в компании Positive Technologies. Раньше я работал в DevOps-отделе, где инженеры...
#learning #devops #cloud
Не совсем по теме, но данные аспекты важны для безопасника. Пошаговый путь к становлению Cloud- и DevOps- специалистом 👉 https://proglib.io/w/1b2d3655
Не совсем по теме, но данные аспекты важны для безопасника. Пошаговый путь к становлению Cloud- и DevOps- специалистом 👉 https://proglib.io/w/1b2d3655
learntocloud.guide
Learn to Cloud
Description
#security #devops #devsecops
Топ-10 рисков безопасности, которые могут возникнуть в экосистеме CI / CD.
https://proglib.io/w/95f36b17
Топ-10 рисков безопасности, которые могут возникнуть в экосистеме CI / CD.
https://proglib.io/w/95f36b17
#security #devsecops #devops #pentest
CI/CD Goat — заведомо уязвимая инфраструктура CI/CD, которую можно развернуть локально. Взламывайте CI/CD пайплайны и получайте флаги.
https://proglib.io/w/01e25d34
CI/CD Goat — заведомо уязвимая инфраструктура CI/CD, которую можно развернуть локально. Взламывайте CI/CD пайплайны и получайте флаги.
https://proglib.io/w/01e25d34
DevSecOps Checklist.png
1.4 MB
#devsecops #devops
DevSecOps чек-лист, который охватывает большинство областей для каждой фазы DevOps
DevSecOps чек-лист, который охватывает большинство областей для каждой фазы DevOps