🛠 Карта DevSecOps Toolchain

Салюты,

Я ранее рассказывал, что готовил вот эту карту toolchain. На сейчас ее активно шарят, как пример у Лукацкого, там еще рядом есть описание процесса по ГОСТ 56939-2024 с уклоном в анализ рисков и инструментарий (расскажу про это аналогично). Вот эта карта инструментов показывает какие есть классы и типы инструментов. Прототип приложил к посту.

Также, вчера встретились с ребятками из сообщества FinDevSecOps @fintechassociation, где мы плотно обсудили планы на конец 2025 и 2026. Немного расскажу про свою часть:

Классной и отличительной особенностью является, что в новой версии:

- сделал раскраску, где зеленым - вендор РФ, желтым - зарубежный вендор, а свободное ПО фиолетовым

- структура в yml

- агрегируются мета данные о наличии сертификации, типе лицензии ПО, может ли быть импортозамещено, какой язык программирования, какие виды отчетов и иное

- вся верстка натянута на md materials и расметим на gpages

- мы будем принимать pull requeste на изменения для того, что бы эта карта шарилась и мы могли работать в едином поле с комьюнити

- на gpages фильтрация по мета данным

- сейчас пилю прототип описания каждого тула отдельно

- адаптивная визуализация

- убрал некоторые инструменты, которые не поддерживаются или пользуются меньшей популярностью, вследствие чего они не обновляются

- актуализировали инструменты

Карта дает возможность выбрать выгодные для себя инструменты под все необходимые ситуации: когда нет денег, когда не можем интегрировать большой инструмент, когда никого нет и приходится делать все одному и тд.

Планирую зарелизить в новой версии до конца года и дальше мы будем шарить в репозитория FDSO на github.com

Поэтому stay tuned 😜

#toolchain #appsec #devsecops #specialty #compliance #gost #vulnmanagement #techsolution