1 
2Egy sebezhetoseg, amelyet kodiras kozben talalnak meg, percekbe kerul a javitasa. Ugyanaz a sebezhetoseg, ha produkcioban bukkan fel, egy egesz sprintet emeszt fel. Es ha egy tamado talaja meg eloszor, milliokba kerul. Ez a fo erv a **shift-left security** mellett  -  a biztonsagi ellenorzesek minel korabbi fasisba torteno athelyezese a fejlesztesi eletciklusban.
3 
4A DevSecOps ezt az otletet veszi es gyakorlatta alakitja: a biztonsag nem egy kulon fazis a vegeben, hanem egy folyamatos folyamat, amely a fejlesztes minden szakaszaba bele van szove  -  az elso sor kodtol a produkcioban valo telepitesig.
5 
6## A keso biztonsag koltsege
7 
8Az IBM Cost of a Data Breach jelentese kovetkezetesen megmutatja, hogy a biztonsagi problemas javitasanak koltsege exponencialisan no, minel kesobb fedezik fel oket:
9 
10| Szakasz | Javitasi koltseg | Javitasi ido |
11|---------|-----------------|--------------|
12| **IDE / Helyi fejlesztes** | Percek | Masodpercektol percekig |
13| **Code Review / PR** | Orak | Percektol orakig |
14| **CI/CD Pipeline** | Napok | Oraktol napokig |
15| **Staging / QA** | Hetek | Napok |
16| **Produkcio** | Honapok | Hetektol honapokig |
17| **Adatszivargas utan** | Milliok ($) | Honapoktol evekig |
18 
19A kovetkeztetes vilagos: minden szakasz, amellyel korabra tolja a biztonsagot, egy nagyságrendet takarit meg koltsegben es idoben.
20 
21## A DevSecOps Pipeline
22 
23Egy erett DevSecOps pipeline biztonsagi ellenorzeseket integrál minden szakaszban:
24 
25```mermaid
26graph LR
27    IDE[IDE / Editor] --> PC[Pre-commit Hooks]
28    PC --> PR[Pull Request]
29    PR --> CI[CI Pipeline]
30    CI --> Build[Build / Package]
31    Build --> Deploy[Deploy]
32    Deploy --> Runtime[Runtime / Production]
33 
34    IDE -.- S1[SAST\nSecret Detection\nLinting]
35    PC -.- S2[Secrets Scan\nFormat Check]
36    PR -.- S3[Code Review\nDependency Audit]
37    CI -.- S4[SAST\nSCA\nContainer Scan\nSBOM]
38    Build -.- S5[Image Signing\nArtifact Verification]
39    Deploy -.- S6[Policy Enforcement\nAdmission Control]
40    Runtime -.- S7[DAST\nWAF\nMonitoring]
41```
42 
43Vizsgaljuk meg az egyes szakaszokat konkret eszkozokkel es konfiguracioval.
44 
45## 1. szakasz: Biztonsag az IDE-ben
46 
47A leggyorsabb visszajelzesi hurok. Kapja el a sebezhetosegeket meg azelott, hogy elmentene a fajlt.
48 
49### Ajanlott eszkozok
50 
51- **Semgrep**: pehelysulyu statikus elemzes kozossegi szabalyokkal az OWASP sebezhetosegekhez
52- **Snyk IDE Extension**: valos ideju fuggosegi sebezhetoseg-felderites
53- **GitLens + GitLeaks**: titkos kulcsok felderitese a szerkesztoben
54- **ESLint Security Plugins**: `eslint-plugin-security` a Node.js-hez, `eslint-plugin-no-unsanitized` a DOM XSS-hez
55 
56### Pelda: ESLint Security konfiguraciot
57 
58```json
59{
60  "extends": ["eslint:recommended"],
61  "plugins": ["security", "no-unsanitized"],
62  "rules": {
63    "security/detect-object-injection": "warn",
64    "security/detect-non-literal-regexp": "warn",
65    "security/detect-unsafe-regex": "error",
66    "security/detect-buffer-noassert": "error",
67    "security/detect-eval-with-expression": "error",
68    "security/detect-no-csrf-before-method-override": "error",
69    "security/detect-possible-timing-attacks": "warn",
70    "no-unsanitized/method": "error",
71    "no-unsanitized/property": "error"
72  }
73}
74```
75 
76## 2. szakasz: Pre-commit Hooks
77 
78A masodik vedelmi vonal. Automatikusan fut minden commit elott, megakadalyozva, hogy veszelyes kod keruljon a repozitoriuba.
79 
80### Gitleaks: Kapja el a titkos kulcsokat, mielott Git-be kerulnenek
81 
82A leggyakoribb biztonsagi hiba a kodbazisokban a titkos kulcsok commitolasa  -  API kulcsok, adatbazis jelszavak, tokenek. Ha egy titkos kulcs bekerult a git tortenatbe, rendkivul nehez teljesen eltavolitani (meg force push eseten is, a forkok es cache-ek megtarthatjak).
83 
84```yaml
85# .pre-commit-config.yaml
86repos:
87  - repo: https://github.com/gitleaks/gitleaks
88    rev: v8.21.0
89    hooks:
90      - id: gitleaks
91 
92  - repo: https://github.com/semgrep/semgrep
93    rev: v1.90.0
94    hooks:
95      - id: semgrep
96        args: ['--config', 'auto']
97```
98 
99Telepites es aktivalas:
100 
101```bash
102pip install pre-commit
103pre-commit install
104```
105 
106Mostantol minden `git commit` automatikusan vizsgalja a kiszivarogtatott titkos kulcsokat es a gyakori sebezhetosegeket. Ha barmi talalhato, a commit blokkolva lesz.
107 
108### Egyedi Gitleaks szabalyok
109 
110Hozzaadhat egyedi mintakat a szervezete titkos kulcsaihoz:
111 
112```toml
113# .gitleaks.toml
114title = "Custom Gitleaks Config"
115 
116[[rules]]
117id = "internal-api-key"
118description = "Internal API key detected"
119regex = '''INTERNAL_KEY_[A-Za-z0-9]{32}'''
120tags = ["key", "internal"]
121```
122 
123## 3. szakasz: CI/CD Pipeline biztonsag
124 
125Itt tortenik a nehez munka. A CI pipeline-nak tobb biztonsagi vizsgalatot kell futtatnia minden pull request alkalmaval.
126 
127### SAST (Static Application Security Testing)
128 
129A SAST eszkozok elemzik a forráskodot anelkul, hogy futtátnak, és keresik a sebezhétosegekre utalo mintakat.
130 
131```yaml
132# .github/workflows/security.yml
133name: Security Scan
134on:
135  pull_request:
136    branches: [main]
137 
138jobs:
139  sast:
140    name: Static Analysis
141    runs-on: ubuntu-latest
142    steps:
143      - uses: actions/checkout@v4
144 
145      - name: Run Semgrep
146        uses: semgrep/semgrep-action@v1
147        with:
148          config: >-
149            p/owasp-top-ten
150            p/typescript
151            p/nodejs
152            p/react
153          generateSarif: true
154 
155      - name: Upload SARIF
156        uses: github/codeql-action/upload-sarif@v3
157        with:
158          sarif_file: semgrep.sarif
159```
160 
161A Semgrep `p/owasp-top-ten` szabalyrendszere elkapja a leggyakoribb sebezhetosegeket: SQL injection, XSS, SSRF, path traversal, insecure deserialization es meg sok mast.
162 
163### SCA (Software Composition Analysis)
164 
165Az SCA vizsgalja a fuggosegeket ismert sebezhetosegek szempontjabol. Ez kritikus fontossagu  -  a modern alkalmazaskod tobb mint 80%-a open-source fuggosegekbol szarmazik.
166 
167```yaml
168  dependency-scan:
169    name: Dependency Audit
170    runs-on: ubuntu-latest
171    steps:
172      - uses: actions/checkout@v4
173 
174      - name: Run Snyk
175        uses: snyk/actions/node@master
176        env:
177          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
178        with:
179          args: --severity-threshold=high
180 
181      - name: npm audit
182        run: npm audit --audit-level=high
183```
184 
185### Kontenerbiztonsag a Trivy-vel
186 
187Ha Docker image-eket epit, a sebezhetosegi vizsgalatuk elengedhetetlen. A **Trivy** a legnepszerubb open-source kontenerszkenner.
188 
189```yaml
190  container-scan:
191    name: Container Security
192    runs-on: ubuntu-latest
193    steps:
194      - uses: actions/checkout@v4
195 
196      - name: Build image
197        run: docker build -t my-app:${{ github.sha }} .
198 
199      - name: Run Trivy
200        uses: aquasecurity/trivy-action@master
201        with:
202          image-ref: my-app:${{ github.sha }}
203          format: 'sarif'
204          output: 'trivy-results.sarif'
205          severity: 'CRITICAL,HIGH'
206          exit-code: '1'
207 
208      - name: Upload Trivy SARIF
209        uses: github/codeql-action/upload-sarif@v3
210        with:
211          sarif_file: trivy-results.sarif
212```
213 
214### SBOM generalas
215 
216A **Software Bill of Materials (SBOM)** az alkalmazas minden komponensenek teljes leltara. Egyre inkabb megkoveteltek a megfelelosegi keretrendszerek es kormanyzati szabalyozasok (az amerikai elnoki rendelkezves a kiberbiztonságrol eloirja az SBOM-ot a szovetsegi szoftverekhez).
217 
218```yaml
219  sbom:
220    name: Generate SBOM
221    runs-on: ubuntu-latest
222    steps:
223      - uses: actions/checkout@v4
224 
225      - name: Generate SBOM with Syft
226        uses: anchore/sbom-action@v0
227        with:
228          format: spdx-json
229          output-file: sbom.spdx.json
230 
231      - name: Upload SBOM
232        uses: actions/upload-artifact@v4
233        with:
234          name: sbom
235          path: sbom.spdx.json
236```
237 
238## 4. szakasz: Biztonsagos Docker image-ek
239 
240Egy produkciol Docker image-nek a legkisebb jogosultsag elvet kell kovetnie. Igy nez ki egy megeroditett Dockerfile:
241 
242```dockerfile
243# Build stage
244FROM node:22-alpine AS builder
245WORKDIR /app
246COPY package.json package-lock.json ./
247RUN npm ci
248COPY . .
249RUN npm run build
250 
251# Production stage
252FROM node:22-alpine AS runner
253WORKDIR /app
254 
255# Install dumb-init before dropping root
256RUN apk add --no-cache dumb-init
257 
258# Don't run as root
259RUN addgroup -S app && adduser -S app -G app
260 
261# Copy only what's needed
262COPY --from=builder --chown=app:app /app/dist ./dist
263COPY --from=builder --chown=app:app /app/node_modules ./node_modules
264COPY --from=builder --chown=app:app /app/package.json ./
265 
266# Drop to non-root user
267USER app
268ENTRYPOINT ["dumb-init", "--"]
269 
270# Health check
271HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
272  CMD wget -qO- http://localhost:3000/health || exit 1
273 
274EXPOSE 3000
275CMD ["node", "dist/server.js"]
276```
277 
278Fontos gyakorlatok:
279 
2801. **Hasznaljon multi-stage builds-t**: a builder szakasznak vannak fejlesztoi fuggosegei; a runner szakasznak csak a produkciol kod van
2812. **Ne futtassa root-kent**: hozzon letre egy nem root felhasznalot es valtson ra
2823. **Hasznaljon Alpine image-eket**: kisebb tamadasi felulet (kevesebb alapertelmezetten telepitett csomag)
2834. **Rogzitse az image verziokat**: `node:22-alpine` a `node:latest` helyett az ellátasi lanc tamadasok elkerulese erdekeben
2845. **Hasznaljon `npm ci`-t**: determinisztikus telepites a lock fajlbol, nem `npm install`
285 
286## 5. szakasz: Titkos kulcsok kezelese
287 
288A kodba egetett titkos kulcsok az elso szamu oka az adatszivargsaoknak a fejlesztok altal okozott incidensekben.
289 
290### Mit NE tegyen
291 
292```typescript
293// NEVER do this
294const API_KEY = "sk-1234567890abcdef";
295const DB_PASSWORD = "supersecret123";
296 
297const client = new Client({
298  connectionString: `postgres://admin:${DB_PASSWORD}@db.example.com/prod`
299});
300```
301 
302### Mit tegyen helyette
303 
304```typescript
305// Use environment variables
306const client = new Client({
307  connectionString: process.env.DATABASE_URL
308});
309 
310// Or use a secret manager
311import { SecretManagerServiceClient } from '@google-cloud/secret-manager';
312 
313const client = new SecretManagerServiceClient();
314const [version] = await client.accessSecretVersion({
315  name: 'projects/my-project/secrets/db-password/versions/latest',
316});
317const dbPassword = version.payload?.data?.toString();
318```
319 
320### Titkos kulcsok kezelesi hierarchiaja
321 
322```mermaid
323graph TD
324    A[Secret Manager\nAWS Secrets Manager\nGCP Secret Manager\nHashiCorp Vault] --> B[Best: Rotated, audited, centralized]
325    C[Environment Variables\nInjected at deploy time] --> D[Good: Not in code, but static]
326    E[.env files\nWith .gitignore] --> F[Acceptable: Local development only]
327    G[Hard-coded in source] --> H[NEVER: Instant breach risk]
328 
329    style A fill:#d4edda
330    style C fill:#fff3cd
331    style E fill:#ffeeba
332    style G fill:#f8d7da
333```
334 
335## OWASP Top 10: Gyors attekintes
336 
337Minden fejlesztonek ismernie kell az OWASP Top 10-et. Tomoritett valtozat:
338 
339| # | Sebezhetoseg | Mi ez | Megelozes |
340|---|-------------|-------|-----------|
341| 1 | **Broken Access Control** | Felhasznalok hozzafernek eroforrasokhoz, amelyekhez nem kellene | Alapertelmezett elutasitas, szerver oldali validacio |
342| 2 | **Cryptographic Failures** | Gyenge titkositas, nyilt szovegu adatok | Eros algoritmusok (AES-256, bcrypt), TLS mindenhol |
343| 3 | **Injection** | SQL, NoSQL, OS command injection | Parametrizalt lekerdezesek, bemenet validacio |
344| 4 | **Insecure Design** | Hibas architektura | Fenyegetesmodellezes, biztonsagos tervezesi mintak |
345| 5 | **Security Misconfiguration** | Alapertelmezett hitelesito adatok, nyitott cloud bucketek | Megeroditett alapertelmezesek, automatizalt konfiguraciol auditok |
346| 6 | **Vulnerable Components** | Ismert CVE-k a fuggosegekben | SCA vizsgalat, rendszeres frissitesek |
347| 7 | **Auth Failures** | Gyenge jelszavak, hibas munkamenetek | MFA, rate limiting, biztonsagos munkamenet-kezeles |
348| 8 | **Data Integrity Failures** | Ala nem irt frissitesek, nem megbizhato CI/CD | Kódaláírás, SBOM, pipeline integritás |
349| 9 | **Logging Failures** | Nincs auditnyom | Strukturalt naplozas, riastas anomaliakra |
350| 10 | **SSRF** | Server-side request forgery | Kivezeto URL-ek allowlist-je, bemenet validacio |
351 
352## Teljes GitHub Actions biztonsagi workflow
353 
354Egy teljes, produkciokecsz workflow, amely mindent kombinál a fentiekbol:
355 
356```yaml
357# .github/workflows/security.yml
358name: Security Pipeline
359on:
360  pull_request:
361    branches: [main]
362  push:
363    branches: [main]
364 
365permissions:
366  contents: read
367  security-events: write
368 
369jobs:
370  secrets-scan:
371    name: Secret Detection
372    runs-on: ubuntu-latest
373    steps:
374      - uses: actions/checkout@v4
375        with:
376          fetch-depth: 0
377      - uses: gitleaks/gitleaks-action@v2
378        env:
379          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
380 
381  sast:
382    name: Static Analysis (SAST)
383    runs-on: ubuntu-latest
384    steps:
385      - uses: actions/checkout@v4
386      - uses: semgrep/semgrep-action@v1
387        with:
388          config: p/owasp-top-ten p/typescript p/nodejs
389 
390  dependency-audit:
391    name: Dependency Scan (SCA)
392    runs-on: ubuntu-latest
393    steps:
394      - uses: actions/checkout@v4
395      - uses: actions/setup-node@v4
396        with:
397          node-version: 22
398      - run: npm ci
399      - run: npm audit --audit-level=high
400      - uses: snyk/actions/node@master
401        env:
402          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
403        with:
404          args: --severity-threshold=high
405        continue-on-error: true
406 
407  container-scan:
408    name: Container Scan
409    runs-on: ubuntu-latest
410    needs: [sast, dependency-audit]
411    steps:
412      - uses: actions/checkout@v4
413      - run: docker build -t app:${{ github.sha }} .
414      - uses: aquasecurity/trivy-action@master
415        with:
416          image-ref: app:${{ github.sha }}
417          severity: CRITICAL,HIGH
418          exit-code: '1'
419 
420  sbom:
421    name: SBOM Generation
422    runs-on: ubuntu-latest
423    needs: [container-scan]
424    steps:
425      - uses: actions/checkout@v4
426      - uses: anchore/sbom-action@v0
427        with:
428          format: spdx-json
429          output-file: sbom.spdx.json
430```
431 
432```mermaid
433graph TD
434    PR[Pull Request] --> S1[Secret Detection]
435    PR --> S2[SAST - Semgrep]
436    PR --> S3[SCA - Snyk + npm audit]
437    S2 --> S4[Container Scan - Trivy]
438    S3 --> S4
439    S4 --> S5[SBOM Generation]
440    S5 --> Deploy[Deploy]
441 
442    S1 -.- F1[Block if secrets found]
443    S2 -.- F2[Block on critical vulns]
444    S3 -.- F3[Block on high severity]
445    S4 -.- F4[Block on critical CVEs]
446```
447 
448## Kovetheto metrikak
449 
450Honnan tudja, hogy a DevSecOps programja mukodik? Kovesse ezeket a metrikakat:
451 
452- **Mean time to remediate (MTTR)**: milyen gyorsan javitja a sebezhetosegeket az eszleles utan
453- **Vulnerability escape rate**: a produkciot elero sebezhetosegek szazaleka
454- **False positive rate**: a tul sok hamis pozitiv eredmeny riasztasi faradtsaghoz es figyelmen kivul hagyott figyelmeztetesekhez vezet
455- **Dependency freshness**: a fuggosegek atlagelett kora (regebbi = nagyobb a valoszinusege ismert CVE-knek)
456- **SBOM coverage**: a naprakesz SBOM-mal rendelkezo projektek szazaleka
457 
458## Kezdes: Gyakorlati utvonalterv
459 
460Ne probaljon mindent egyszerre megvalositani. A fazisolt megkozelites jobban mukodik:
461 
462```mermaid
463flowchart TD
464    A[Week 1-2: Foundations] --> B[Week 3-4: CI/CD Integration]
465    B --> C[Month 2: Container Security]
466    C --> D[Month 3+: Advanced]
467 
468    A --> A1[Add Gitleaks pre-commit hooks]
469    A --> A2[Enable npm audit in CI]
470    A --> A3[Add .gitignore for .env files]
471 
472    B --> B1[Add Semgrep to GitHub Actions]
473    B --> B2[Add Snyk dependency scanning]
474    B --> B3[Set up SARIF upload to GitHub]
475 
476    C --> C1[Add Trivy container scanning]
477    C --> C2[Harden Dockerfiles]
478    C --> C3[Generate SBOMs]
479 
480    D --> D1[Secret manager integration]
481    D --> D2[Runtime protection - DAST]
482    D --> D3[Policy as code - OPA]
483```
484 
485## Osszefoglalas
486 
487A DevSecOps nem arrol szol, hogy tobb eszkozt adjunk a pipeline-hoz  -  arrol szol, hogy a biztonsagot a szoftverfejlesztes termeszetes reszeve tegyuk. A cel nem az, hogy minden PR-t biztonsagi figyelmeztetesekkel blokkoljunk, hanem az, hogy gyors visszajelzest adjunk a fejlesztoknek, hogy javithassak a problemakat, amig a kod meg friss az emlekezukben.
488 
489Kezdje az alapokkal: pre-commit hooks a titkos kulcsokhoz, fuggoseg-vizsgalat a CI-ben es kontener-vizsgalat a Docker image-ekhez. Aztan iteraljon a csapata igenyei alapjan.
490 
491A biztonsag nem egy egyszeri funkcio, amelyet kiszallit. Ez egy gyakorlat, amelyet minden commitba beepit.
492 
493> **DevSecOps indulo ellenorzo lista:**
494>
495> - [x] Gitleaks pre-commit hooks telepitve
496> - [x] .env es titkos kulcsokat tartalmazo fajlok a .gitignore-ban
497> - [x] Semgrep SAST a CI pipeline-ban
498> - [x] Snyk vagy npm audit a fuggosegek vizsgalatahoz
499> - [x] Trivy a kontener image-ek vizsgalatahoz
500> - [x] Nem root felhasznalo a Dockerfile-okban
501> - [x] Titkos kulcsok kornyezeti valtozokban vagy secret manager-ben
502> - [x] SBOM generalas minden kiadas alkalmaval
503> - [x] OWASP Top 10 ismerete az egesz csapatban
504