О разделе
Подраздел 8.12 собирает темы, которые в 2025–2026 регулярно встречаются в вакансиях, аудитах и реальных инцидентах, но раньше были размазаны по разным главам. Здесь — концепции и практические ориентиры; углублённые практикумы — в 8.13–8.16.
Пройдите "Основы инфраструктуры", базу DevOps и информационной безопасности (ИБ). Без этого абстрактными покажутся термины CI (непрерывная интеграция), K8s (Kubernetes), OWASP (Open Web Application Security Project).
Зачем отдельный подраздел 8.12
Инфраструктура и безопасность меняются быстрее, чем классические учебники. Темы вроде supply chain (цепочка поставок ПО), Passkeys (ключи доступа WebAuthn), GitOps и Platform Engineering (инженерия внутренних платформ) сегодня звучат на собеседованиях и в отчётах аудиторов. Подраздел 8.12 даёт единую точку входа без необходимости искать их по всему разделу 8.
Маршрут по статьям
| № | Статья | Тема | Кому в первую очередь |
|---|---|---|---|
| 1 | Supply chain и SBOM | Зависимости, образы, атаки на цепочку поставок | Разработчик, инженер |
| 2 | Passkeys и WebAuthn | Вход без пароля для веба и API | Разработчик |
| 3 | DevSecOps | SAST, secret scan, policy в CI | Разработчик, инженер, AppSec |
| 4 | GitOps | Argo CD, Flux, декларативный деплой | Инженер |
| 5 | Облачные сервисы в РФ | Yandex Cloud, VK Cloud, Selectel | Инженер, архитектор |
| 6 | Platform Engineering | IDP, golden paths, self-service | Инженер, тимлид |
| 7 | Безопасность ИИ в инфраструктуре | Агенты, MCP, секреты в промптах | Разработчик, ИБ |
| 8 | OIDC и OAuth для разработчика | "Войти через Google", scopes, PKCE | Разработчик |
| 9 | API Gateway | Kong, nginx, rate limit, mTLS | Инженер, архитектор |
| 10 | Secure SDLC — маршрут для команды | Threat modeling, ASVS, релизные gates | AppSec, тимлид |
| 11 | Фишинг — учебная симуляция | Безопасный учебный фишинг в команде | ИБ, HR |
Рекомендуемые траектории чтения
Траектория "Безопасная доставка" (2–3 недели)
- Supply chain и SBOM
- DevSecOps
- Secure SDLC
- Практикум GitHub Actions с secret scan
Подходит инженерам и разработчикам, которые отвечают за CI/CD.
Траектория "Современный вход пользователя" (1 неделя)
Подходит backend- и fullstack-разработчикам.
Траектория "Платформа и эксплуатация" (1 месяц)
- GitOps → практикум 8.13
- Platform Engineering
- API Gateway
- Облака РФ — при работе с локальными провайдерами
Практикумы после теории
| Практикум | Что закрепляет из 8.12 |
|---|---|
| GitOps 8.13 | GitOps, декларативный деплой, K8s |
| Vault 8.14 | Секреты, DevSecOps, policy |
| DR 8.15 | RTO/RPO, устойчивость |
| FinOps 8.16 | Стоимость облака, Platform Engineering |
Закрепление теории: итоги, чек-лист.
Связь с инцидентами и стандартами
| Тема 8.12 | Реальный контекст |
|---|---|
| Supply chain | Компрометация npm-пакетов, подмена GitHub Actions, SolarWinds |
| DevSecOps | Требования PCI DSS, SOC 2, внутренние аудиты |
| Passkeys | Снижение фишинга паролей, рекомендации FIDO Alliance |
| GitOps | Единый источник правды при росте числа микросервисов |
| Secure SDLC | OWASP ASVS, threat modeling |
Подробности по каждой теме — в соответствующих статьях.
Смежные разделы
| Раздел | Связь с 8.12 |
|---|---|
| Контейнеризация 8.06 | Образы, registry, K8s — основа supply chain и GitOps |
| Микросервисы 8.05 | API Gateway, интеграции |
| Зависимости 4.09 | npm, pip, Maven — вход supply chain |
| Основы инфраструктуры 8.00 | Карта раздела 8 перед углублением |
Краткий словарь подраздела
| Термин | Расшифровка |
|---|---|
| SBOM | Software Bill of Materials — список компонентов сборки |
| SAST | Static Application Security Testing — анализ кода без запуска |
| DAST | Dynamic Application Security Testing — тесты на работающем приложении |
| WebAuthn | Веб-стандарт аутентификации с криптографическими ключами |
| OIDC | OpenID Connect — слой идентификации поверх OAuth 2.0 |
| IDP | Internal Developer Platform — внутренняя платформа для разработчиков |
| mTLS | Mutual TLS — взаимная проверка сертификатов клиента и сервера |
| ASVS | Application Security Verification Standard от OWASP |
Чек-лист перед стартом 8.12
- Прочитана глава "Основы инфраструктуры"
- Понятны CI/CD и разница dev/staging/prod (8.04)
- Знакомы CIA и OWASP Top 10 (8.07/1)
- Выбрана траектория — "доставка", "вход" или "платформа"
- Есть pet-проект или учебный репозиторий для экспериментов
Типичные вопросы
"С чего начать, если времени мало?"
Три статьи с максимальной отдачей для большинства команд:
- Supply chain
- DevSecOps
- OIDC и OAuth или Passkeys — по профилю задачи
"Нужен ли Kubernetes для 8.12?"
Для Passkeys и OAuth — нет. Для GitOps, API Gateway и части DevSecOps — желательно базовое знакомство с 8.06.
"Где искать готовые рецепты CI?"
lab/Примеры/1134 — GitHub Actions; 8.04/16 — обзор инструментов.
OWASP и внешние стандарты в 8.12
| Ресурс | Тема в подразделе |
|---|---|
| OWASP Top 10 | База перед DevSecOps |
| OWASP ASVS | Secure SDLC |
| OWASP SCVS | Supply chain |
| NIST SSDF | Процессы безопасной разработки |
Связь статей 8.12 с практикумами — матрица
| Статья 8.12 | Практикум | Навык |
|---|---|---|
| GitOps | 8.13 | Argo CD, K8s |
| DevSecOps + Supply chain | lab/1134 | GitHub Actions |
| DevSecOps | 8.14 Vault | Секреты |
| OIDC | 8.08 REST | JWT, API auth |
| Облака РФ | 8.16 FinOps | Стоимость |
Индекс статей 8.12 — одной таблицей
| № | Файл | Ключевые слова для поиска |
|---|---|---|
| 1 | Supply chain | SBOM, npm, Docker, cosign, Trivy |
| 2 | Passkeys | WebAuthn, FIDO2, биометрия |
| 3 | DevSecOps | SAST, gitleaks, policy |
| 4 | GitOps | Argo CD, Flux, declarative |
| 5 | Облака РФ | Yandex, VK Cloud, Selectel |
| 6 | Platform Engineering | IDP, golden path |
| 7 | ИИ в инфраструктуре | MCP, агенты, промпты |
| 8 | OIDC OAuth | Google login, PKCE, scopes |
| 9 | API Gateway | Kong, rate limit, mTLS |
| 10 | Secure SDLC | ASVS, threat model |
| 11 | Фишинг учебный | симуляция, awareness |
Рекомендуемый порядок чтения за 4 недели
| Неделя | Статьи | Практика |
|---|---|---|
| 1 | intro, 1 Supply chain, 3 DevSecOps | gitleaks + npm audit в pet-репо |
| 2 | 8 OIDC, 2 Passkeys | OAuth login или WebAuthn demo |
| 3 | 4 GitOps, 9 API Gateway | 8.13 практикум |
| 4 | 10 Secure SDLC, 5 Облака РФ, 6 Platform | итоги, чек-лист |
Кейсы из практики — как темы 8.12 помогают в инцидентах
Кейс 1. Утечка npm-токена в публичном репозитории
Ситуация. Разработчик случайно закоммитил .npmrc с токеном публикации. Репозиторий открытый, боты нашли ключ за минуты.
Какие статьи 8.12 закрывают пробел:
- DevSecOps — pre-commit и gitleaks на PR
- Supply chain — ротация токена, audit npm-пакетов на подмену
- Secure SDLC — onboarding "где хранить секреты"
Урок. Один красный gate в CI дешевле, чем отзыв пакетов и расследование.
Кейс 2. Фишинг пароля администратора SaaS
Ситуация. Админ ввёл пароль на поддельной странице. Аккаунт скомпрометирован, злоумышленник сменил billing и API keys.
Связанные материалы:
- Passkeys — phishing-resistant вход для админов
- OIDC и OAuth — корректные redirect URI, PKCE
- Фишинг — учебная симуляция — тренировка команды
Урок. Passkeys для привилегированных ролей снижают классический фишинг пароля.
Кейс 3. Critical CVE в Log4j в пятницу вечером
Ситуация. Вышел CVE для Log4j. Без SBOM команда три дня вручную искала вхождения в сотнях сервисов.
Связанные материалы:
- Supply chain — SBOM,
trivy, playbook реагирования - DevSecOps — SLA на critical, waivers с expiry
Урок. SBOM сокращает поиск уязвимых компонентов с недель до часов. Документ полезен при инциденте и для аудита.
Кейс 4. Ручной деплой обошёл security gate
Ситуация. Инженер задеплоил образ с :latest в prod, минуя CI. На staging gate был зелёный, в prod попала уязвимая версия базового слоя.
Связанные материалы:
- GitOps — единый источник правды, sync только из Git
- DevSecOps — policy-as-code, запрет
:latest - API Gateway — mTLS между сервисами как компенсирующая мера
Урок. GitOps и policy в кластере закрывают обход пайплайна руками.
Расширенный словарь подраздела
| Термин | Расшифровка | Где углубиться |
|---|---|---|
| Supply chain | Цепочка от кода до prod — deps, CI, образы, registry | 1.md |
| SBOM | Software Bill of Materials — список компонентов сборки | 1.md |
| SAST | Static Application Security Testing — анализ кода без запуска | 3.md |
| DAST | Dynamic Application Security Testing — тесты на работающем приложении | 3.md |
| SCA | Software Composition Analysis — уязвимости в зависимостях | 1.md, 3.md |
| WebAuthn | Веб-стандарт аутентификации с криптографическими ключами | 2.md |
| Passkey | Ключ доступа FIDO2/WebAuthn — вход без пароля по сети | 2.md |
| OIDC | OpenID Connect — слой идентификации поверх OAuth 2.0 | 8.md |
| PKCE | Proof Key for Code Exchange — защита OAuth для SPA и мобильных | 8.md |
| GitOps | Деплой из Git как единственный источник правды | 4.md |
| IDP | Internal Developer Platform — внутренняя платформа для разработчиков | 6.md |
| Golden path | Рекомендуемый шаблон "как правильно" для типовой задачи | 6.md |
| mTLS | Mutual TLS — взаимная проверка сертификатов клиента и сервера | 9.md |
| ASVS | Application Security Verification Standard от OWASP | 10.md |
| Waiver | Формальное исключение из security gate с owner и сроком | 3.md |
| Shift-left | Перенос проверок безопасности ближе к написанию кода | 3.md |
| MCP | Model Context Protocol — протокол подключения инструментов к LLM | 7.md |
| FinOps | Управление стоимостью облака | 8.16 FinOps |
Что делать если — типичные ситуации
Security gate в CI красный, релиз завтра
- Откройте лог job — secret scan, SAST или dependency scan.
- Если true positive — исправьте или обновите зависимость; emergency merge только с AppSec approval.
- Если false positive — waiver с ticket, owner, expiry 30 дней — см. DevSecOps.
- Задокументируйте в post-mortem, если gate обошли — Secure SDLC.
Нужно быстро внедрить "Войти через Google"
- Прочитайте OIDC и OAuth — scopes, PKCE, хранение refresh token.
- Не смешивайте OAuth и собственные пароли без плана recovery.
- Для B2C рассмотрите Passkeys после первого OAuth-входа.
Команда просит Kubernetes, но опыта мало
- Сначала GitOps и 8.06 контейнеризация.
- Практикум 8.13 GitOps на minikube или kind.
- Platform Engineering — golden path вместо "каждый сам пишет Helm".
Аудитор спрашивает SBOM и подпись образов
- Supply chain — CycloneDX, Trivy, cosign.
- DevSecOps — gates в CI, audit log деплоев.
- Матрица compliance — таблица в 3.md "Compliance mapping".
Разработчики игнорируют алерты Semgrep
- Triage — DevSecOps, weekly review.
- Lunch & learn с разбором одного finding.
- Сократите правила до p/ci на старте, добавляйте кастом постепенно.
Расширенный FAQ
"Можно ли пройти 8.12 без облака?"
Да. Passkeys, OAuth, DevSecOps и supply chain работают на локальном pet-проекте и GitHub Actions. Облака РФ (5.md) — опционально для локального рынка.
"8.12 для frontend или только backend?"
Обе стороны. Passkeys и OAuth — frontend + backend. SAST и secret scan — весь репозиторий. API Gateway — backend и инфра.
"Сколько времени на одну статью?"
Ориентир 45–90 минут чтения + 1–2 часа практики на pet-проект. Supply chain и DevSecOps — с практикой до полного дня.
"Есть ли пересечение с 8.07 ИБ?"
Да. 8.07 даёт теорию CIA, OWASP Top 10, криптографию. 8.12 — прикладные практики 2025–2026. Читайте 8.07/1 перед 8.12.
"Нужен ли AppSec-специалист в команде?"
На старте достаточно инженера с DevSecOps и чек-листом. AppSec консультант полезен для threat modeling (10.md) и triage на масштабе.
"Как связаны 8.12 и практикумы 8.13–8.16?"
8.12 — концепции и ориентиры. 8.13–8.16 — hands-on с Vault, GitOps, DR, FinOps. Матрица выше в разделе "Связь статей 8.12 с практикумами".
"Что читать после завершения всех 11 статей?"
Итоги 998, чек-лист 999, затем углубление по роли — Platform Engineering для платформенных инженеров, Secure SDLC для тимлидов.
Карта компетенций по ролям
| Роль | Обязательно из 8.12 | Желательно | Практикум |
|---|---|---|---|
| Junior backend | 1, 3, 8 | 2 Passkeys | lab/1134 |
| Frontend | 2, 8 | 3 DevSecOps | WebAuthn demo |
| DevOps / SRE | 1, 3, 4 GitOps | 9 Gateway, 6 Platform | 8.13 |
| Архитектор | 9, 6, 5 облака | 10 SDLC | 8.16 FinOps |
| AppSec | 3, 10, 1 | 7 ИИ, 11 фишинг | Threat model workshop |
| Тимлид | 10, 6 Platform | 3, 11 | Secure SDLC roadmap |
Внешние ссылки — быстрый указатель
| Тема | Ресурс |
|---|---|
| OWASP Top 10 | https://owasp.org/www-project-top-ten/ |
| OWASP ASVS | https://owasp.org/www-project-application-security-verification-standard/ |
| OWASP SCVS | https://owasp.org/www-project-software-component-verification-standard/ |
| NIST SSDF | https://csrc.nist.gov/Projects/ssdf |
| FIDO / passkeys | https://fidoalliance.org/ |
| passkeys.dev | https://passkeys.dev/ |
| SLSA | https://slsa.dev/ |
| CycloneDX | https://cyclonedx.org/ |
| OWASP DevSecOps | https://owasp.org/www-project-devsecops-guideline/ |
| CISA SolarWinds | https://www.cisa.gov/solarwinds |
Дальше
- Начните с Supply chain и SBOM или выберите траекторию выше
- После серии статей — итоги и чек-лист
- Углубление руками — 8.13 GitOps
Supply chain и SBOM
Цепочка поставок ПО — npm, PyPI, Docker, SBOM, подпись артефактов, Dependabot и защита CI от компрометации.
Secure SDLC — маршрут для команды
Безопасный жизненный цикл ПО — threat modeling, ASVS, gates в PR, pentest и связь с DevSecOps за один спринт.
Фишинг — учебная симуляция для команды
Как провести легальный учебный фишинг — scope, согласование, метрики, debrief и связь с SOC и 152-ФЗ.
Passkeys и WebAuthn
FIDO2 и WebAuthn для разработчиков — passkeys вместо паролей, регистрация, аутентификация, UX и типовые ошибки.
DevSecOps
Безопасность в CI/CD — SAST, DAST, secret scanning, policy-as-code, gates в PR и связь с Secure SDLC.
GitOps
Декларативный деплой из Git — Argo CD, Flux, принципы pull-модели, push-деплой и практикум 8.13.
Облачные сервисы в РФ
Yandex Cloud, VK Cloud, Selectel, Cloud.ru — IaaS и PaaS, карта сервисов рядом с hyperscale и практические ориентиры.
Platform Engineering
Internal Developer Platform — golden paths, self-service, порталы разработчика и связь DevOps, SRE и GitOps.
Безопасность ИИ в инфраструктуре
LLM, агенты и MCP в prod — секреты в промптах, supply chain моделей, изоляция рантайма и связь с AgentOps и 6.10.
OIDC и OAuth для разработчика
Authorization Code и PKCE, scopes, JWT access token, IdP и типовые ошибки при входе через Google или GitHub.
API Gateway
Единая точка входа для API — маршрутизация, TLS, rate limit, auth, WAF и сравнение nginx, Kong, Traefik, cloud ALB.
Актуальные практики — итоги
Резюме подраздела 8.12 — supply chain, DevSecOps, GitOps, OAuth, API Gateway и связь с практикумами.
Актуальные практики — чек-лист
Самопроверка по supply chain, DevSecOps, GitOps, OAuth, API Gateway, Platform Engineering и Secure SDLC.
Актуальные практики — о разделе
Supply chain, DevSecOps, GitOps, Passkeys, OAuth, API Gateway, Platform Engineering, облака РФ, Secure SDLC и учебный фишинг.