Wiedza która
zmniejsza ryzyko
Bezpieczeństwo pipeline'ów, wymagania DORA i NIS2, narzędzia DevSecOps — pisane dla CTO i inżynierów, nie dla marketingu.
Hardening CI/CD — czym jest i dlaczego firmy go ignorują
Pipeline CI/CD ma dostęp do kluczy produkcyjnych, sekretów i infrastruktury. Jest jednym z najsłabiej zabezpieczonych elementów w organizacjach technologicznych.
Czytaj artykuł →DORA i bezpieczeństwo systemów wytwórczych — co regulacja mówi wprost
Rozporządzenie DORA obowiązuje od stycznia 2025. Artykuły 9 i 10 dotyczą bezpieczeństwa systemów ICT — w tym pipeline'ów CI/CD. Tłumaczymy co regulacja faktycznie wymaga.
NIS2 i łańcuch dostaw oprogramowania — nowe obowiązki dla firm technologicznych
Dyrektywa NIS2 rozszerza odpowiedzialność za bezpieczeństwo na całe łańcuchy dostaw. Firmy technologiczne dostarczające do podmiotów objętych dyrektywą stają przed nowymi wymaganiami.
Wycieki sekretów w pipeline'ach CI/CD — skala problemu i mechanizmy
Sekrety w pipeline'ach wyciekają regularnie — często nie przez atak, ale przez błędy konfiguracyjne które istnieją latami. Opisujemy mechanizmy i skalę zjawiska.
SBOM — dlaczego lista składników oprogramowania staje się wymaganiem rynkowym
Software Bill of Materials to dokument który opisuje z czego zbudowane jest oprogramowanie. Regulacje i wymagania Enterprise sprawiają że jego brak zaczyna blokować sprzedaż.
Długowieczne tokeny w CI/CD — dlaczego są problemem którego nie widać
Statyczne klucze API i tokeny dostępu do chmury w pipeline'ach są jednym z najczęstszych wektorów ataków na infrastrukturę. Problem jest strukturalny, nie personalny.
Policy-as-Code — kiedy polityka bezpieczeństwa istnieje tylko na papierze
Większość organizacji ma polityki bezpieczeństwa. Niewiele ma mechanizmy które te polityki faktycznie egzekwują. Różnica między jednym a drugim ujawnia się przy incydencie.
Integralność artefaktów w DevOps — luka którą większość organizacji ignoruje
Między buildem a deploymentem na produkcję artefakt może zostać podmieniony. Bez mechanizmu weryfikacji integralności — nie ma jak tego wykryć. To jedna z najpoważniejszych luk w łańcuchu dostaw oprogramowania.
Vendor Risk Assessment — jak wygląda od strony kupującego
Dział bezpieczeństwa klienta Enterprise wysyła kwestionariusz z 150 pytaniami. Czego szuka, co jest czerwoną flagą i dlaczego brak dokumentacji to gorszy sygnał niż przyznanie się do luki.
SOC 2 Type II a pipeline CI/CD — co audytor faktycznie weryfikuje
SOC 2 Type II potwierdza że kontrole bezpieczeństwa działały przez co najmniej 6 miesięcy. Audytorzy weryfikują pipeline CI/CD jako część systemu ICT organizacji — i wiedzą czego szukać.
Dlaczego DevSecOps spowalnia zespoły — i kiedy nie musi
Większość negatywnych doświadczeń z wdrożeniem bezpieczeństwa w pipeline'ach wynika z błędów implementacji, nie z samej idei DevSecOps. Opisujemy skąd bierze się opór i co go powoduje.
Zero Trust w kontekście DevSecOps — zasada której nie da się zignorować
Zero Trust to architektura bezpieczeństwa oparta na założeniu że żaden użytkownik, system ani sieć nie powinny być domyślnie zaufane. W kontekście CI/CD oznacza to fundamentalną zmianę myślenia o dostępie.
GitHub Actions — 10 błędów konfiguracyjnych które widzę w każdym audycie
GITHUB_TOKEN z write na wszystko, akcje bez pinningu SHA, sekrety w logach — 10 błędów które współwystępują i wzajemnie się wzmacniają.
Ankieta bezpieczeństwa klienta Enterprise — co sprawdzają i jak się przygotować
VRA blokuje kontrakt. Analitycy szukają spójności odpowiedzi, znajomości własnego środowiska i dowodów — nie deklaracji.
Evidence Pack — co to jest i dlaczego audytor go chce
Audytor nie certyfikuje organizacji za dobrą wolę — certyfikuje za dowody. Czym jest Evidence Pack i dlaczego jest trudny do złożenia samodzielnie.
Koszt wycieku danych i incydentu w CI/CD — co mówią dane
IBM, Verizon, GitGuardian — co mówią dane o koszcie incydentu bezpieczeństwa i dlaczego firmy sprzedające do Enterprise płacą podwójnie.