Первый DevSecOps-Хакатон в РФ: зачем мы это сделали?

27 сентября 2025 г.·194 views

😜 Первый DevSecOps-Хакатон в РФ: зачем мы это сделали?

В 2024 провел первый в России DevSecOps-хакатон от findevsecops.ru и @fintechassociation. Среди организаторов были: Росбанк (такой родной и любимый), РСХБ, Yandex Cloud, Swordfish Security, ЦБ РФ, АФТ, MOEX Group, Высокие цифровые технологии, Холдинг Т1 (ГК Иннотех).

Важный вопрос, почему же не CTF?

На самом деле, это был настоящий практический вызов: за 3 дня собрать CI/CD пайплайн с security-проверками и при этом уложиться в требования ГОСТ 56939-2024. Мы проработали следующий концепт хакатона:

1. Вместо «ловли флагов» - полноценные пайплайны, близкие к боевым

2. Задания = реальные практики: SAST, DAST, SCA, Secret Detection, Vulnerability Management, Risk Analysis

3. Ключевой критерий - умение работать с False Positive/ Negative сработками, их триажем и группировкой в риски. А самое прикольное - масштабировать решение

4. Фокус не на теории, а на жизненном цикле разработки Secure-by-Design

В чем же профит для меня? Проверка гипотез:

1. На сколько проблемна практика внедрения процессов DevSecOps и AppSec Toolchain в CI/CD для рынка РФ в новых реалиях.

2. Какие проблемы чаще всего возникают у команд и как происходит расфокус?

3. Умеют ли команды работать с правильным триажом и не устранять все подряд, а только реальные аффектящие уязвимости и вытекающие риски на продукт?

В итоге, напомню:

• Swordfish Security — заняли 1-е место.

• Ростелеком — 2-е место.

• Россельхозбанк (РСХБ) — 3-е место.

• МГТУ им. Баумана (горжусь своей кафедрой на которой преподаю) — лучшая студенческая команда.

📌 Что это дало рынку:

1. ГОСТы можно «приземлить» на живой процесс разработки и на наши артефакты от сообщества

2. AppSec-командам нужны площадки, где можно «потрогать руками» новые подходы и решения в условиях импортозамещения

3. Здоровая конкуренция и исследования интересных для тебя, меня людей, а в том числе и групповой мэтч.

Итого: это только начало. Сейчас мы готовим новый хакатон для 2026 года - масштабнее, жёстче и ещё ближе к боевым условиям.

А также, по этому я считаю важным, что бы растить своих людей внутри команд разработки и поэтому следует обратить внимание на inseca.tech и курсы, как пример Security Champion.

#hackathon #appsec #devsecops #specialty #toolchain #vulnmanagement #course

#hackathon#appsec#devsecops#specialty#toolchain#vulnmanagement#course

Открыть в Telegram