Bezpečnost testovaná až před produkčním nasazením je pozdě. Shift Left znamená přesunout bezpečnostní kontroly co nejdříve — ideálně do vývojářského workflow.
Security v CI/CD pipeline¶
Každý merge request automaticky prochází:
- SAST (Static Application Security Testing) — SonarQube skenuje kód na zranitelnosti
- Dependency scanning — OWASP Dependency-Check kontroluje known CVE v knihovnách
- Secret detection — GitLeaks hledá náhodně commitnuté API klíče a hesla
- Container scanning — Trivy skenuje Docker images
Security Champions¶
V každém vývojovém týmu jeden „security champion” — vývojář se zájmem o bezpečnost, který prošel extra tréninkem. Není to security expert, ale umí identifikovat základní problémy v code review a eskalovat.
Metriky¶
Sledujeme: průměrný čas opravy kritické zranitelnosti (MTTR), počet zranitelností nalezených v CI vs. produkci, false positive rate. Cíl: 90 % zranitelností nalezeno před produkčním deployem.
Bezpečnost je týmová zodpovědnost¶
DevSecOps není o nástrojích — je o kultuře. Když vývojář myslí na bezpečnost od prvního řádku, výsledek je bezpečnější software.
devsecopsshift leftsastci/cdsecurity