Что предлагаем
Стоимость
Результат
Контакты
С чем работаем
+7 (929) 667-15-50
Оставить заявку
Ru
En
← назад
Статьи

DevSecOps и compliance на практике: как мы строили инфраструктуру финтех-проекта с нуля

Иногда всё начинается с простого вопроса от заказчика: «А с DevSecOps и compliance вы работаете?» Мы ответили: да, работаем — и довольно давно, уже как с чем-то само собой разумеющимся. Потом посмотрели на сайт нашей компании и поняли, что нормально об этом нигде не написали. Исправили — и заодно решили рассказать, как именно мы встраиваем безопасность в CI/CD, Kubernetes и облачную инфраструктуру.

Что для нас DevSecOps и compliance на практике

Для нас DevSecOps — это не отдельный этап и не «служба безопасности, которая подключается в конце». Это способ проектировать инфраструктуру и процессы так, чтобы требования ИБ и регуляторов были встроены в систему изначально.
Хороший пример — проект Finau. Это финтех-продукт в сфере криптовалют: кошелёк с обменом между криптоактивами и рублями без P2P-механик, чатов и связанных с ними рисков мошенничества. Очевидно, что для такого продукта безопасность и соответствие требованиям — не «опция», а базовое условие существования.
На старте у Finau не было инфраструктуры вообще. Не «плохой» или «временной» — никакой. И это, на самом деле, редкая удача: можно сразу построить систему правильно, а не чинить её по ходу роста и аудитов.

Как выглядит DevSecOps, когда он не на словах

Мы начали с проектирования инфраструктуры с нуля — сразу с учётом требований PCI DSS и сопутствующей регуляторики. Это сильно влияет на архитектурные решения: где и как хранятся данные, как организован доступ, как работают пайплайны и кто вообще имеет право что-то деплоить.
Один из ключевых принципов — никаких постоянных секретов и ручных доступов.
Вся работа с чувствительными данными была построена вокруг централизованного управления секретами:
  • HashiCorp Vault стал единой точкой хранения и выдачи секретов;
  • доступы к Kubernetes, базам данных и сервисам выдавались динамически и на ограниченное время;
  • каждый CI/CD-пайплайн получал собственные временные учётные данные, которые автоматически отзывались после завершения работы.
Это сильно упрощает прохождение аудитов и одновременно снижает реальный риск — даже если что-то утечёт, срок жизни этих данных минимален.

Безопасность как часть CI/CD, а не «по желанию»

Отдельный фокус был на CI/CD DevSecOps. Не в формате «давайте иногда запускать сканер», а как обязательную часть процесса.
В пайплайны были встроены:
  • SAST-проверки кода;
  • SCA-сканирование зависимостей;
  • проверки на утечки секретов;
  • DAST после деплоя новых версий.
Каждая проверка формировала отчёт, а все результаты стекались в единый дашборд на базе DefectDojo. Это важно: безопасность перестаёт быть набором разрозненных тулов и становится управляемым процессом — с понятным текущим состоянием и приоритетами.
Параллельно мы настроили Renovate Bot, который регулярно проверял зависимости и автоматически создавал merge request’ы с обновлениями. В результате уязвимости не «копились годами», а закрывались в рабочем ритме разработки.

Контроль инфраструктуры и supply chain

Отдельно мы закрывали вопросы инфраструктурной безопасности Kubernetes:
  • были внедрены политики Kyverno (запрет root-контейнеров, read-only файловые системы и другие базовые требования);
  • все Docker-образы подписывались криптографически с помощью Cosign;
  • подписи проверялись на уровне инфраструктуры — неподписанный или подменённый образ просто не мог быть запущен.
Это уже уровень supply chain security, который редко делают «по умолчанию», но который всё чаще ожидают аудиторы и регуляторы.

Compliance без боли

Важно, что вся эта история была не «ради галочки». Инфраструктура Finau изначально проектировалась так, чтобы:
  • соответствовать требованиям PCI DSS;
  • учитывать требования разных юрисдикций (включая хранение персональных данных в нужных регионах);
  • проходить аудит без авральных переделок и ночных фиксов.
В итоге процессы, инженерия и инфраструктура и DevSecOps-подход не мешали развитию продукта, а наоборот — позволяли ему спокойно расти, не превращая каждый новый релиз в потенциальный риск.

Вывод

DevSecOps и compliance для нас — это не про отчёты и красивые слова. Это про архитектурные решения, процессы и автоматизацию, которые делают безопасность естественным свойством системы.
Кейс Finau хорошо показывает: если заложить эти вещи с самого начала, инфраструктура не становится хрупкой, аудиты — болезненными, а рост продукта — опасным. Мы с этим работаем регулярно, но подробно об рассказать добрались только сейчас.
Нас ищут по поиску: Процессы DevSecOps, этапы и инструменты, разработка DevSecOps, ci cd инженерия, внедрение специалистов
2026-02-16 11:45