DevSecOps dla programistow: Praktyczny przewodnik po shift-left security

spinny:~/writing $ vim devsecops-shift-left-security-guide.md

1~
2Podatnosc wykryta podczas pisania kodu kosztuje programiste kilka minut naprawy. Ta sama podatnosc wychwycona na produkcji kosztuje caly sprint. A jesli atakujacy znajdzie ja pierwszy, kosztuje miliony. To glowny argument za **shift-left security**  -  przesuwaniem kontroli bezpieczenstwa jak najwczesniej w cyklu zycia oprogramowania.
3~
4DevSecOps bierze te idee i przeksztalca ja w praktyke: bezpieczenstwo nie jest oddzielna faza na koncu, ale ciaglym procesem wplecionym w kazdy etap rozwoju  -  od pierwszej linii kodu po wdrozenie na produkcje.
5~
6## Koszt poznego bezpieczenstwa
7~
8Raport IBM Cost of a Data Breach konsekwentnie pokazuje, ze koszt naprawiania problemow bezpieczenstwa rosnie wykladniczo, im pozniej zostana wykryte:
9~
10| Etap | Koszt naprawy | Czas naprawy |
11|------|--------------|--------------|
12| **IDE / Lokalne srodowisko** | Minuty | Sekundy do minut |
13| **Code Review / PR** | Godziny | Minuty do godzin |
14| **Pipeline CI/CD** | Dni | Godziny do dni |
15| **Staging / QA** | Tygodnie | Dni |
16| **Produkcja** | Miesiace | Tygodnie do miesiecy |
17| **Po wycieku danych** | Miliony ($) | Miesiace do lat |
18~
19Wniosek jest jasny: kazdy etap, o ktory przesuniesz bezpieczenstwo wczesniej, oszczedza rzad wielkosci kosztow i czasu.
20~
21## Pipeline DevSecOps
22~
23Dojrzaly pipeline DevSecOps integruje kontrole bezpieczenstwa na kazdym etapie:
24~
25```mermaid
26graph LR
27    IDE[IDE / Editor] --> PC[Pre-commit Hooks]
28    PC --> PR[Pull Request]
29    PR --> CI[CI Pipeline]
30    CI --> Build[Build / Package]
31    Build --> Deploy[Deploy]
32    Deploy --> Runtime[Runtime / Production]
33~
34    IDE -.- S1[SAST\nSecret Detection\nLinting]
35    PC -.- S2[Secrets Scan\nFormat Check]
36    PR -.- S3[Code Review\nDependency Audit]
37    CI -.- S4[SAST\nSCA\nContainer Scan\nSBOM]
38    Build -.- S5[Image Signing\nArtifact Verification]
39    Deploy -.- S6[Policy Enforcement\nAdmission Control]
40    Runtime -.- S7[DAST\nWAF\nMonitoring]
41```
42~
43Omowmy kazdy etap z konkretnymi narzedziami i konfiguracja.
44~
45## Etap 1: Bezpieczenstwo w IDE
46~
47Najszybsza petla zwrotna. Wychwytuj podatnosci zanim jeszcze zapiszesz plik.
48~
49### Zalecane narzedzia
50~
51- **Semgrep**: lekka analiza statyczna z regulami spolecznosci dla podatnosci OWASP
52- **Snyk IDE Extension**: skanowanie podatnosci zaleznosci w czasie rzeczywistym
53- **GitLens + GitLeaks**: wykrywanie sekretow w edytorze
54- **ESLint Security Plugins**: `eslint-plugin-security` dla Node.js, `eslint-plugin-no-unsanitized` dla DOM XSS
55~
56### Przyklad: Konfiguracja ESLint Security
57~
58```json
59{
60  "extends": ["eslint:recommended"],
61  "plugins": ["security", "no-unsanitized"],
62  "rules": {
63    "security/detect-object-injection": "warn",
64    "security/detect-non-literal-regexp": "warn",
65    "security/detect-unsafe-regex": "error",
66    "security/detect-buffer-noassert": "error",
67    "security/detect-eval-with-expression": "error",
68    "security/detect-no-csrf-before-method-override": "error",
69    "security/detect-possible-timing-attacks": "warn",
70    "no-unsanitized/method": "error",
71    "no-unsanitized/property": "error"
72  }
73}
74```
75~
76## Etap 2: Pre-commit Hooks
77~
78Druga linia obrony. Uruchamia sie automatycznie przed kazdym commitem, blokujac niebezpieczny kod przed wejsciem do repozytorium.
79~
80### Gitleaks: Wychwytuj sekrety zanim trafia do Git
81~
82Najczestszym bledem bezpieczenstwa w bazach kodu jest commitowanie sekretow  -  kluczy API, hasel do baz danych, tokenow. Gdy sekret trafi do historii git, jest niezwykle trudno go calkowicie usunac (nawet przy force push, forki i cache moga go zachowac).
83~
84```yaml
85# .pre-commit-config.yaml
86repos:
87  - repo: https://github.com/gitleaks/gitleaks
88    rev: v8.21.0
89    hooks:
90      - id: gitleaks
91~
92  - repo: https://github.com/semgrep/semgrep
93    rev: v1.90.0
94    hooks:
95      - id: semgrep
96        args: ['--config', 'auto']
97```
98~
99Instalacja i aktywacja:
100~
101```bash
102pip install pre-commit
103pre-commit install
104```
105~
106Teraz kazdy `git commit` automatycznie skanuje w poszukiwaniu wyciekow sekretow i typowych podatnosci. Jesli cos zostanie znalezione, commit jest blokowany.
107~
108### Niestandardowe reguly Gitleaks
109~
110Mozesz dodac wlasne wzorce dla sekretow Twojej organizacji:
111~
112```toml
113# .gitleaks.toml
114title = "Custom Gitleaks Config"
115~
116[[rules]]
117id = "internal-api-key"
118description = "Internal API key detected"
119regex = '''INTERNAL_KEY_[A-Za-z0-9]{32}'''
120tags = ["key", "internal"]
121```
122~
123## Etap 3: Bezpieczenstwo pipeline CI/CD
124~
125To jest miejsce, gdzie dzieje sie ciezka praca. Twoj pipeline CI powinien uruchamiac wiele skanow bezpieczenstwa przy kazdym pull requeście.
126~
127### SAST (Static Application Security Testing)
128~
129Narzedzia SAST analizuja kod zrodlowy bez jego uruchamiania, szukajac wzorcow wskazujacych na podatnosci.
130~
131```yaml
132# .github/workflows/security.yml
133name: Security Scan
134on:
135  pull_request:
136    branches: [main]
137~
138jobs:
139  sast:
140    name: Static Analysis
141    runs-on: ubuntu-latest
142    steps:
143      - uses: actions/checkout@v4
144~
145      - name: Run Semgrep
146        uses: semgrep/semgrep-action@v1
147        with:
148          config: >-
149            p/owasp-top-ten
150            p/typescript
151            p/nodejs
152            p/react
153          generateSarif: true
154~
155      - name: Upload SARIF
156        uses: github/codeql-action/upload-sarif@v3
157        with:
158          sarif_file: semgrep.sarif
159```
160~
161Zestaw regul `p/owasp-top-ten` Semgrep wychwytuje najczestsze podatnosci: SQL injection, XSS, SSRF, path traversal, insecure deserialization i inne.
162~
163### SCA (Software Composition Analysis)
164~
165SCA skanuje Twoje zaleznosci pod katem znanych podatnosci. Jest to krytyczne  -  ponad 80% kodu nowoczesnych aplikacji pochodzi z zaleznosci open-source.
166~
167```yaml
168  dependency-scan:
169    name: Dependency Audit
170    runs-on: ubuntu-latest
171    steps:
172      - uses: actions/checkout@v4
173~
174      - name: Run Snyk
175        uses: snyk/actions/node@master
176        env:
177          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
178        with:
179          args: --severity-threshold=high
180~
181      - name: npm audit
182        run: npm audit --audit-level=high
183```
184~
185### Bezpieczenstwo kontenerow z Trivy
186~
187Jesli budujesz obrazy Docker, skanowanie ich pod katem podatnosci jest niezbedne. **Trivy** to najpopularniejszy skaner kontenerow open-source.
188~
189```yaml
190  container-scan:
191    name: Container Security
192    runs-on: ubuntu-latest
193    steps:
194      - uses: actions/checkout@v4
195~
196      - name: Build image
197        run: docker build -t my-app:${{ github.sha }} .
198~
199      - name: Run Trivy
200        uses: aquasecurity/trivy-action@master
201        with:
202          image-ref: my-app:${{ github.sha }}
203          format: 'sarif'
204          output: 'trivy-results.sarif'
205          severity: 'CRITICAL,HIGH'
206          exit-code: '1'
207~
208      - name: Upload Trivy SARIF
209        uses: github/codeql-action/upload-sarif@v3
210        with:
211          sarif_file: trivy-results.sarif
212```
213~
214### Generowanie SBOM
215~
216**Software Bill of Materials (SBOM)** to kompletny inwentarz kazdego komponentu w Twojej aplikacji. Jest coraz czesciej wymagany przez frameworki zgodnosci i regulacje rzadowe (rozporzadzenie wykonawcze prezydenta USA w sprawie cyberbezpieczenstwa nakazuje SBOM dla oprogramowania federalnego).
217~
218```yaml
219  sbom:
220    name: Generate SBOM
221    runs-on: ubuntu-latest
222    steps:
223      - uses: actions/checkout@v4
224~
225      - name: Generate SBOM with Syft
226        uses: anchore/sbom-action@v0
227        with:
228          format: spdx-json
229          output-file: sbom.spdx.json
230~
231      - name: Upload SBOM
232        uses: actions/upload-artifact@v4
233        with:
234          name: sbom
235          path: sbom.spdx.json
236```
237~
238## Etap 4: Bezpieczne obrazy Docker
239~
240Produkcyjny obraz Docker powinien stosowac zasade najmniejszych uprawnien. Tak wyglada zahartowany Dockerfile:
241~
242```dockerfile
243# Build stage
244FROM node:22-alpine AS builder
245WORKDIR /app
246COPY package.json package-lock.json ./
247RUN npm ci
248COPY . .
249RUN npm run build
250~
251# Production stage
252FROM node:22-alpine AS runner
253WORKDIR /app
254~
255# Install dumb-init before dropping root
256RUN apk add --no-cache dumb-init
257~
258# Don't run as root
259RUN addgroup -S app && adduser -S app -G app
260~
261# Copy only what's needed
262COPY --from=builder --chown=app:app /app/dist ./dist
263COPY --from=builder --chown=app:app /app/node_modules ./node_modules
264COPY --from=builder --chown=app:app /app/package.json ./
265~
266# Drop to non-root user
267USER app
268ENTRYPOINT ["dumb-init", "--"]
269~
270# Health check
271HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
272  CMD wget -qO- http://localhost:3000/health || exit 1
273~
274EXPOSE 3000
275CMD ["node", "dist/server.js"]
276```
277~
278Kluczowe praktyki:
279~
2801. **Uzywaj multi-stage builds**: etap builder ma zaleznosci deweloperskie; etap runner ma tylko kod produkcyjny
2812. **Nie uruchamiaj jako root**: stworz uzytkownika bez uprawnien root i przejdz na niego
2823. **Uzywaj obrazow Alpine**: mniejsza powierzchnia ataku (mniej pakietow zainstalowanych domyslnie)
2834. **Przypinaj wersje obrazow**: `node:22-alpine` zamiast `node:latest`, aby uniknac atakow na lancuch dostaw
2845. **Uzywaj `npm ci`**: deterministyczne instalacje z pliku lock, nie `npm install`
285~
286## Etap 5: Zarzadzanie sekretami
287~
288Sekrety zakodowane na stale w kodzie sa przyczyna numer jeden naruszen w incydentach spowodowanych przez programistow.
289~
290### Czego NIE robic
291~
292```typescript
293// NEVER do this
294const API_KEY = "sk-1234567890abcdef";
295const DB_PASSWORD = "supersecret123";
296~
297const client = new Client({
298  connectionString: `postgres://admin:${DB_PASSWORD}@db.example.com/prod`
299});
300```
301~
302### Co robic zamiast tego
303~
304```typescript
305// Use environment variables
306const client = new Client({
307  connectionString: process.env.DATABASE_URL
308});
309~
310// Or use a secret manager
311import { SecretManagerServiceClient } from '@google-cloud/secret-manager';
312~
313const client = new SecretManagerServiceClient();
314const [version] = await client.accessSecretVersion({
315  name: 'projects/my-project/secrets/db-password/versions/latest',
316});
317const dbPassword = version.payload?.data?.toString();
318```
319~
320### Hierarchia zarzadzania sekretami
321~
322```mermaid
323graph TD
324    A[Secret Manager\nAWS Secrets Manager\nGCP Secret Manager\nHashiCorp Vault] --> B[Best: Rotated, audited, centralized]
325    C[Environment Variables\nInjected at deploy time] --> D[Good: Not in code, but static]
326    E[.env files\nWith .gitignore] --> F[Acceptable: Local development only]
327    G[Hard-coded in source] --> H[NEVER: Instant breach risk]
328~
329    style A fill:#d4edda
330    style C fill:#fff3cd
331    style E fill:#ffeeba
332    style G fill:#f8d7da
333```
334~
335## OWASP Top 10: Krotka informacja
336~
337Kazdy programista powinien znac OWASP Top 10. Wersja skrocona:
338~
339| # | Podatnosc | Czym jest | Zapobieganie |
340|---|-----------|-----------|--------------|
341| 1 | **Broken Access Control** | Uzytkownicy uzyskuja dostep do zasobow, do ktorych nie powinni miec dostepu | Domyslna odmowa, walidacja po stronie serwera |
342| 2 | **Cryptographic Failures** | Slabe szyfrowanie, dane w postaci jawnej | Silne algorytmy (AES-256, bcrypt), TLS wszedzie |
343| 3 | **Injection** | SQL, NoSQL, OS command injection | Zapytania parametryzowane, walidacja danych wejsciowych |
344| 4 | **Insecure Design** | Wadliwa architektura | Modelowanie zagrozen, bezpieczne wzorce projektowe |
345| 5 | **Security Misconfiguration** | Domyslne dane uwierzytelniajace, otwarte buckety w chmurze | Zahartowane ustawienia domyslne, automatyczne audyty konfiguracji |
346| 6 | **Vulnerable Components** | Znane CVE w zaleznosciach | Skanowanie SCA, regularne aktualizacje |
347| 7 | **Auth Failures** | Slabe hasla, zepsute sesje | MFA, rate limiting, bezpieczne zarzadzanie sesjami |
348| 8 | **Data Integrity Failures** | Niepodpisane aktualizacje, niezaufane CI/CD | Podpisywanie kodu, SBOM, integralnosc pipeline |
349| 9 | **Logging Failures** | Brak sciezki audytu | Strukturalne logowanie, alerty na anomalie |
350| 10 | **SSRF** | Server-side request forgery | Allowlista wychodzacych URL, walidacja danych wejsciowych |
351~
352## Kompletny workflow bezpieczenstwa GitHub Actions
353~
354Kompletny, gotowy do produkcji workflow, ktory laczy wszystko powyzsze:
355~
356```yaml
357# .github/workflows/security.yml
358name: Security Pipeline
359on:
360  pull_request:
361    branches: [main]
362  push:
363    branches: [main]
364~
365permissions:
366  contents: read
367  security-events: write
368~
369jobs:
370  secrets-scan:
371    name: Secret Detection
372    runs-on: ubuntu-latest
373    steps:
374      - uses: actions/checkout@v4
375        with:
376          fetch-depth: 0
377      - uses: gitleaks/gitleaks-action@v2
378        env:
379          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
380~
381  sast:
382    name: Static Analysis (SAST)
383    runs-on: ubuntu-latest
384    steps:
385      - uses: actions/checkout@v4
386      - uses: semgrep/semgrep-action@v1
387        with:
388          config: p/owasp-top-ten p/typescript p/nodejs
389~
390  dependency-audit:
391    name: Dependency Scan (SCA)
392    runs-on: ubuntu-latest
393    steps:
394      - uses: actions/checkout@v4
395      - uses: actions/setup-node@v4
396        with:
397          node-version: 22
398      - run: npm ci
399      - run: npm audit --audit-level=high
400      - uses: snyk/actions/node@master
401        env:
402          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
403        with:
404          args: --severity-threshold=high
405        continue-on-error: true
406~
407  container-scan:
408    name: Container Scan
409    runs-on: ubuntu-latest
410    needs: [sast, dependency-audit]
411    steps:
412      - uses: actions/checkout@v4
413      - run: docker build -t app:${{ github.sha }} .
414      - uses: aquasecurity/trivy-action@master
415        with:
416          image-ref: app:${{ github.sha }}
417          severity: CRITICAL,HIGH
418          exit-code: '1'
419~
420  sbom:
421    name: SBOM Generation
422    runs-on: ubuntu-latest
423    needs: [container-scan]
424    steps:
425      - uses: actions/checkout@v4
426      - uses: anchore/sbom-action@v0
427        with:
428          format: spdx-json
429          output-file: sbom.spdx.json
430```
431~
432```mermaid
433graph TD
434    PR[Pull Request] --> S1[Secret Detection]
435    PR --> S2[SAST - Semgrep]
436    PR --> S3[SCA - Snyk + npm audit]
437    S2 --> S4[Container Scan - Trivy]
438    S3 --> S4
439    S4 --> S5[SBOM Generation]
440    S5 --> Deploy[Deploy]
441~
442    S1 -.- F1[Block if secrets found]
443    S2 -.- F2[Block on critical vulns]
444    S3 -.- F3[Block on high severity]
445    S4 -.- F4[Block on critical CVEs]
446```
447~
448## Metryki do sledzenia
449~
450Jak sprawdzic, czy Twoj program DevSecOps dziala? Sledz te metryki:
451~
452- **Mean time to remediate (MTTR)**: jak szybko naprawiasz podatnosci po ich wykryciu
453- **Vulnerability escape rate**: procent podatnosci, ktore docieraja do produkcji
454- **False positive rate**: zbyt wiele falszywych alarmow prowadzi do zmeczenia alertami i ignorowania ostrzezen
455- **Dependency freshness**: sredni wiek Twoich zaleznosci (starsze = wieksza szansa na znane CVE)
456- **SBOM coverage**: procent projektow z aktualnymi SBOM
457~
458## Pierwsze kroki: Praktyczny plan dzialania
459~
460Nie probuj wdrazac wszystkiego naraz. Podejscie fazowe dziala lepiej:
461~
462```mermaid
463flowchart TD
464    A[Week 1-2: Foundations] --> B[Week 3-4: CI/CD Integration]
465    B --> C[Month 2: Container Security]
466    C --> D[Month 3+: Advanced]
467~
468    A --> A1[Add Gitleaks pre-commit hooks]
469    A --> A2[Enable npm audit in CI]
470    A --> A3[Add .gitignore for .env files]
471~
472    B --> B1[Add Semgrep to GitHub Actions]
473    B --> B2[Add Snyk dependency scanning]
474    B --> B3[Set up SARIF upload to GitHub]
475~
476    C --> C1[Add Trivy container scanning]
477    C --> C2[Harden Dockerfiles]
478    C --> C3[Generate SBOMs]
479~
480    D --> D1[Secret manager integration]
481    D --> D2[Runtime protection - DAST]
482    D --> D3[Policy as code - OPA]
483```
484~
485## Podsumowanie
486~
487DevSecOps to nie dodawanie kolejnych narzedzi do pipeline  -  to uczynienie bezpieczenstwa naturalna czescia sposobu, w jaki tworzysz oprogramowanie. Celem nie jest blokowanie kazdego PR ostrzezeniami bezpieczenstwa, ale dawanie programistom szybkiego feedbacku, aby mogli naprawiac problemy, gdy kod jest jeszcze swiezy w ich pamieci.
488~
489Zacznij od podstaw: pre-commit hooks dla sekretow, skanowanie zaleznosci w CI i skanowanie kontenerow dla obrazow Docker. Nastepnie iteruj w oparciu o potrzeby Twojego zespolu.
490~
491Bezpieczenstwo to nie funkcja, ktora wdrazasz raz. To praktyka, ktora wbudowujesz w kazdy commit.
492~
493> **Lista kontrolna DevSecOps na start:**
494>
495> - [x] Zainstalowane pre-commit hooks Gitleaks
496> - [x] Pliki .env i pliki z sekretami w .gitignore
497> - [x] Semgrep SAST w pipeline CI
498> - [x] Snyk lub npm audit do skanowania zaleznosci
499> - [x] Trivy do skanowania obrazow kontenerow
500> - [x] Uzytkownik bez uprawnien root w Dockerfile
501> - [x] Sekrety w zmiennych srodowiskowych lub secret manager
502> - [x] Generowanie SBOM przy kazdym wydaniu
503> - [x] Swiadomosc OWASP Top 10 w calym zespole
504~

NORMAL · devsecops-shift-left-security-guide.md [readonly]504 lines · :q to close

2Podatnosc wykryta podczas pisania kodu kosztuje programiste kilka minut naprawy. Ta sama podatnosc wychwycona na produkcji kosztuje caly sprint. A jesli atakujacy znajdzie ja pierwszy, kosztuje miliony. To glowny argument za **shift-left security** - przesuwaniem kontroli bezpieczenstwa jak najwczesniej w cyklu zycia oprogramowania.

4DevSecOps bierze te idee i przeksztalca ja w praktyke: bezpieczenstwo nie jest oddzielna faza na koncu, ale ciaglym procesem wplecionym w kazdy etap rozwoju - od pierwszej linii kodu po wdrozenie na produkcje.

6## Koszt poznego bezpieczenstwa

8Raport IBM Cost of a Data Breach konsekwentnie pokazuje, ze koszt naprawiania problemow bezpieczenstwa rosnie wykladniczo, im pozniej zostana wykryte:

10| Etap | Koszt naprawy | Czas naprawy |

11|------|--------------|--------------|

12| **IDE / Lokalne srodowisko** | Minuty | Sekundy do minut |

13| **Code Review / PR** | Godziny | Minuty do godzin |

14| **Pipeline CI/CD** | Dni | Godziny do dni |

15| **Staging / QA** | Tygodnie | Dni |

16| **Produkcja** | Miesiace | Tygodnie do miesiecy |

17| **Po wycieku danych** | Miliony ($) | Miesiace do lat |

18~

19Wniosek jest jasny: kazdy etap, o ktory przesuniesz bezpieczenstwo wczesniej, oszczedza rzad wielkosci kosztow i czasu.

20~

21## Pipeline DevSecOps

22~

23Dojrzaly pipeline DevSecOps integruje kontrole bezpieczenstwa na kazdym etapie:

24~

25```mermaid

26graph LR

27 IDE[IDE / Editor] --> PC[Pre-commit Hooks]

28 PC --> PR[Pull Request]

29 PR --> CI[CI Pipeline]

30 CI --> Build[Build / Package]

31 Build --> Deploy[Deploy]

32 Deploy --> Runtime[Runtime / Production]

33~

34 IDE -.- S1[SAST\nSecret Detection\nLinting]

35 PC -.- S2[Secrets Scan\nFormat Check]

36 PR -.- S3[Code Review\nDependency Audit]

37 CI -.- S4[SAST\nSCA\nContainer Scan\nSBOM]

38 Build -.- S5[Image Signing\nArtifact Verification]

39 Deploy -.- S6[Policy Enforcement\nAdmission Control]

40 Runtime -.- S7[DAST\nWAF\nMonitoring]

41```

42~

43Omowmy kazdy etap z konkretnymi narzedziami i konfiguracja.

44~

45## Etap 1: Bezpieczenstwo w IDE

46~

47Najszybsza petla zwrotna. Wychwytuj podatnosci zanim jeszcze zapiszesz plik.

48~

49### Zalecane narzedzia

50~

51- **Semgrep**: lekka analiza statyczna z regulami spolecznosci dla podatnosci OWASP

52- **Snyk IDE Extension**: skanowanie podatnosci zaleznosci w czasie rzeczywistym

53- **GitLens + GitLeaks**: wykrywanie sekretow w edytorze

54- **ESLint Security Plugins**: `eslint-plugin-security` dla Node.js, `eslint-plugin-no-unsanitized` dla DOM XSS

55~

56### Przyklad: Konfiguracja ESLint Security

57~

58```json

59{

60 "extends": ["eslint:recommended"],

61 "plugins": ["security", "no-unsanitized"],

62 "rules": {

63 "security/detect-object-injection": "warn",

64 "security/detect-non-literal-regexp": "warn",

65 "security/detect-unsafe-regex": "error",

66 "security/detect-buffer-noassert": "error",

67 "security/detect-eval-with-expression": "error",

68 "security/detect-no-csrf-before-method-override": "error",

69 "security/detect-possible-timing-attacks": "warn",

70 "no-unsanitized/method": "error",

71 "no-unsanitized/property": "error"

72 }

73}

74```

75~

76## Etap 2: Pre-commit Hooks

77~

78Druga linia obrony. Uruchamia sie automatycznie przed kazdym commitem, blokujac niebezpieczny kod przed wejsciem do repozytorium.

79~

80### Gitleaks: Wychwytuj sekrety zanim trafia do Git

81~

82Najczestszym bledem bezpieczenstwa w bazach kodu jest commitowanie sekretow - kluczy API, hasel do baz danych, tokenow. Gdy sekret trafi do historii git, jest niezwykle trudno go calkowicie usunac (nawet przy force push, forki i cache moga go zachowac).

83~

84```yaml

85# .pre-commit-config.yaml

86repos:

87 - repo: https://github.com/gitleaks/gitleaks

88 rev: v8.21.0

89 hooks:

90 - id: gitleaks

91~

92 - repo: https://github.com/semgrep/semgrep

93 rev: v1.90.0

94 hooks:

95 - id: semgrep

96 args: ['--config', 'auto']

97```

98~

99Instalacja i aktywacja:

100~

101```bash

102pip install pre-commit

103pre-commit install

104```

105~

106Teraz kazdy `git commit` automatycznie skanuje w poszukiwaniu wyciekow sekretow i typowych podatnosci. Jesli cos zostanie znalezione, commit jest blokowany.

107~

108### Niestandardowe reguly Gitleaks

109~

110Mozesz dodac wlasne wzorce dla sekretow Twojej organizacji:

111~

112```toml

113# .gitleaks.toml

114title = "Custom Gitleaks Config"

115~

116[[rules]]

117id = "internal-api-key"

118description = "Internal API key detected"

119regex = '''INTERNAL_KEY_[A-Za-z0-9]{32}'''

120tags = ["key", "internal"]

121```

122~

123## Etap 3: Bezpieczenstwo pipeline CI/CD

124~

125To jest miejsce, gdzie dzieje sie ciezka praca. Twoj pipeline CI powinien uruchamiac wiele skanow bezpieczenstwa przy kazdym pull requeście.

126~

127### SAST (Static Application Security Testing)

128~

129Narzedzia SAST analizuja kod zrodlowy bez jego uruchamiania, szukajac wzorcow wskazujacych na podatnosci.

130~

131```yaml

132# .github/workflows/security.yml

133name: Security Scan

134on:

135 pull_request:

136 branches: [main]

137~

138jobs:

139 sast:

140 name: Static Analysis

141 runs-on: ubuntu-latest

142 steps:

143 - uses: actions/checkout@v4

144~

145 - name: Run Semgrep

146 uses: semgrep/semgrep-action@v1

147 with:

148 config: >-

149 p/owasp-top-ten

150 p/typescript

151 p/nodejs

152 p/react

153 generateSarif: true

154~

155 - name: Upload SARIF

156 uses: github/codeql-action/upload-sarif@v3

157 with:

158 sarif_file: semgrep.sarif

159```

160~

161Zestaw regul `p/owasp-top-ten` Semgrep wychwytuje najczestsze podatnosci: SQL injection, XSS, SSRF, path traversal, insecure deserialization i inne.

162~

163### SCA (Software Composition Analysis)

164~

165SCA skanuje Twoje zaleznosci pod katem znanych podatnosci. Jest to krytyczne - ponad 80% kodu nowoczesnych aplikacji pochodzi z zaleznosci open-source.

166~

167```yaml

168 dependency-scan:

169 name: Dependency Audit

170 runs-on: ubuntu-latest

171 steps:

172 - uses: actions/checkout@v4

173~

174 - name: Run Snyk

175 uses: snyk/actions/node@master

176 env:

177 SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}

178 with:

179 args: --severity-threshold=high

180~

181 - name: npm audit

182 run: npm audit --audit-level=high

183```

184~

185### Bezpieczenstwo kontenerow z Trivy

186~

187Jesli budujesz obrazy Docker, skanowanie ich pod katem podatnosci jest niezbedne. **Trivy** to najpopularniejszy skaner kontenerow open-source.

188~

189```yaml

190 container-scan:

191 name: Container Security

192 runs-on: ubuntu-latest

193 steps:

194 - uses: actions/checkout@v4

195~

196 - name: Build image

197 run: docker build -t my-app:${{ github.sha }} .

198~

199 - name: Run Trivy

200 uses: aquasecurity/trivy-action@master

201 with:

202 image-ref: my-app:${{ github.sha }}

203 format: 'sarif'

204 output: 'trivy-results.sarif'

205 severity: 'CRITICAL,HIGH'

206 exit-code: '1'

207~

208 - name: Upload Trivy SARIF

209 uses: github/codeql-action/upload-sarif@v3

210 with:

211 sarif_file: trivy-results.sarif

212```

213~

214### Generowanie SBOM

215~

216**Software Bill of Materials (SBOM)** to kompletny inwentarz kazdego komponentu w Twojej aplikacji. Jest coraz czesciej wymagany przez frameworki zgodnosci i regulacje rzadowe (rozporzadzenie wykonawcze prezydenta USA w sprawie cyberbezpieczenstwa nakazuje SBOM dla oprogramowania federalnego).

217~

218```yaml

219 sbom:

220 name: Generate SBOM

221 runs-on: ubuntu-latest

222 steps:

223 - uses: actions/checkout@v4

224~

225 - name: Generate SBOM with Syft

226 uses: anchore/sbom-action@v0

227 with:

228 format: spdx-json

229 output-file: sbom.spdx.json

230~

231 - name: Upload SBOM

232 uses: actions/upload-artifact@v4

233 with:

234 name: sbom

235 path: sbom.spdx.json

236```

237~

238## Etap 4: Bezpieczne obrazy Docker

239~

240Produkcyjny obraz Docker powinien stosowac zasade najmniejszych uprawnien. Tak wyglada zahartowany Dockerfile:

241~

242```dockerfile

243# Build stage

244FROM node:22-alpine AS builder

245WORKDIR /app

246COPY package.json package-lock.json ./

247RUN npm ci

248COPY . .

249RUN npm run build

250~

251# Production stage

252FROM node:22-alpine AS runner

253WORKDIR /app

254~

255# Install dumb-init before dropping root

256RUN apk add --no-cache dumb-init

257~

258# Don't run as root

259RUN addgroup -S app && adduser -S app -G app

260~

261# Copy only what's needed

262COPY --from=builder --chown=app:app /app/dist ./dist

263COPY --from=builder --chown=app:app /app/node_modules ./node_modules

264COPY --from=builder --chown=app:app /app/package.json ./

265~

266# Drop to non-root user

267USER app

268ENTRYPOINT ["dumb-init", "--"]

269~

270# Health check

271HEALTHCHECK --interval=30s --timeout=3s --retries=3 \

272 CMD wget -qO- http://localhost:3000/health || exit 1

273~

274EXPOSE 3000

275CMD ["node", "dist/server.js"]

276```

277~

278Kluczowe praktyki:

279~

2801. **Uzywaj multi-stage builds**: etap builder ma zaleznosci deweloperskie; etap runner ma tylko kod produkcyjny

2812. **Nie uruchamiaj jako root**: stworz uzytkownika bez uprawnien root i przejdz na niego

2823. **Uzywaj obrazow Alpine**: mniejsza powierzchnia ataku (mniej pakietow zainstalowanych domyslnie)

2834. **Przypinaj wersje obrazow**: `node:22-alpine` zamiast `node:latest`, aby uniknac atakow na lancuch dostaw

2845. **Uzywaj `npm ci`**: deterministyczne instalacje z pliku lock, nie `npm install`

285~

286## Etap 5: Zarzadzanie sekretami

287~

288Sekrety zakodowane na stale w kodzie sa przyczyna numer jeden naruszen w incydentach spowodowanych przez programistow.

289~

290### Czego NIE robic

291~

292```typescript

293// NEVER do this

294const API_KEY = "sk-1234567890abcdef";

295const DB_PASSWORD = "supersecret123";

296~

297const client = new Client({

298 connectionString: `postgres://admin:${DB_PASSWORD}@db.example.com/prod`

299});

300```

301~

302### Co robic zamiast tego

303~

304```typescript

305// Use environment variables

306const client = new Client({

307 connectionString: process.env.DATABASE_URL

308});

309~

310// Or use a secret manager

311import { SecretManagerServiceClient } from '@google-cloud/secret-manager';

312~

313const client = new SecretManagerServiceClient();

314const [version] = await client.accessSecretVersion({

315 name: 'projects/my-project/secrets/db-password/versions/latest',

316});

317const dbPassword = version.payload?.data?.toString();

318```

319~

320### Hierarchia zarzadzania sekretami

321~

322```mermaid

323graph TD

324 A[Secret Manager\nAWS Secrets Manager\nGCP Secret Manager\nHashiCorp Vault] --> B[Best: Rotated, audited, centralized]

325 C[Environment Variables\nInjected at deploy time] --> D[Good: Not in code, but static]

326 E[.env files\nWith .gitignore] --> F[Acceptable: Local development only]

327 G[Hard-coded in source] --> H[NEVER: Instant breach risk]

328~

329 style A fill:#d4edda

330 style C fill:#fff3cd

331 style E fill:#ffeeba

332 style G fill:#f8d7da

333```

334~

335## OWASP Top 10: Krotka informacja

336~

337Kazdy programista powinien znac OWASP Top 10. Wersja skrocona:

338~

340|---|-----------|-----------|--------------|

351~

352## Kompletny workflow bezpieczenstwa GitHub Actions

353~

354Kompletny, gotowy do produkcji workflow, ktory laczy wszystko powyzsze:

355~

356```yaml

357# .github/workflows/security.yml

358name: Security Pipeline

359on:

360 pull_request:

361 branches: [main]

362 push:

363 branches: [main]

364~

365permissions:

366 contents: read

367 security-events: write

368~

369jobs:

370 secrets-scan:

371 name: Secret Detection

372 runs-on: ubuntu-latest

373 steps:

374 - uses: actions/checkout@v4

375 with:

376 fetch-depth: 0

377 - uses: gitleaks/gitleaks-action@v2

378 env:

379 GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

380~

381 sast:

382 name: Static Analysis (SAST)

383 runs-on: ubuntu-latest

384 steps:

385 - uses: actions/checkout@v4

386 - uses: semgrep/semgrep-action@v1

387 with:

388 config: p/owasp-top-ten p/typescript p/nodejs

389~

390 dependency-audit:

391 name: Dependency Scan (SCA)

392 runs-on: ubuntu-latest

393 steps:

394 - uses: actions/checkout@v4

395 - uses: actions/setup-node@v4

396 with:

397 node-version: 22

398 - run: npm ci

399 - run: npm audit --audit-level=high

400 - uses: snyk/actions/node@master

401 env:

402 SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}

403 with:

404 args: --severity-threshold=high

405 continue-on-error: true

406~

407 container-scan:

408 name: Container Scan

409 runs-on: ubuntu-latest

410 needs: [sast, dependency-audit]

411 steps:

412 - uses: actions/checkout@v4

413 - run: docker build -t app:${{ github.sha }} .

414 - uses: aquasecurity/trivy-action@master

415 with:

416 image-ref: app:${{ github.sha }}

417 severity: CRITICAL,HIGH

418 exit-code: '1'

419~

420 sbom:

421 name: SBOM Generation

422 runs-on: ubuntu-latest

423 needs: [container-scan]

424 steps:

425 - uses: actions/checkout@v4

426 - uses: anchore/sbom-action@v0

427 with:

428 format: spdx-json

429 output-file: sbom.spdx.json

430```

431~

432```mermaid

433graph TD

434 PR[Pull Request] --> S1[Secret Detection]

435 PR --> S2[SAST - Semgrep]

436 PR --> S3[SCA - Snyk + npm audit]

437 S2 --> S4[Container Scan - Trivy]

438 S3 --> S4

439 S4 --> S5[SBOM Generation]

440 S5 --> Deploy[Deploy]

441~

442 S1 -.- F1[Block if secrets found]

443 S2 -.- F2[Block on critical vulns]

444 S3 -.- F3[Block on high severity]

445 S4 -.- F4[Block on critical CVEs]

446```

447~

448## Metryki do sledzenia

449~

450Jak sprawdzic, czy Twoj program DevSecOps dziala? Sledz te metryki:

451~

452- **Mean time to remediate (MTTR)**: jak szybko naprawiasz podatnosci po ich wykryciu

453- **Vulnerability escape rate**: procent podatnosci, ktore docieraja do produkcji

454- **False positive rate**: zbyt wiele falszywych alarmow prowadzi do zmeczenia alertami i ignorowania ostrzezen

455- **Dependency freshness**: sredni wiek Twoich zaleznosci (starsze = wieksza szansa na znane CVE)

456- **SBOM coverage**: procent projektow z aktualnymi SBOM

457~

458## Pierwsze kroki: Praktyczny plan dzialania

459~

460Nie probuj wdrazac wszystkiego naraz. Podejscie fazowe dziala lepiej:

461~

462```mermaid

463flowchart TD

464 A[Week 1-2: Foundations] --> B[Week 3-4: CI/CD Integration]

465 B --> C[Month 2: Container Security]

466 C --> D[Month 3+: Advanced]

467~

468 A --> A1[Add Gitleaks pre-commit hooks]

469 A --> A2[Enable npm audit in CI]

470 A --> A3[Add .gitignore for .env files]

471~

472 B --> B1[Add Semgrep to GitHub Actions]

473 B --> B2[Add Snyk dependency scanning]

474 B --> B3[Set up SARIF upload to GitHub]

475~

476 C --> C1[Add Trivy container scanning]

477 C --> C2[Harden Dockerfiles]

478 C --> C3[Generate SBOMs]

479~

480 D --> D1[Secret manager integration]

481 D --> D2[Runtime protection - DAST]

482 D --> D3[Policy as code - OPA]

483```

484~

485## Podsumowanie

486~

487DevSecOps to nie dodawanie kolejnych narzedzi do pipeline - to uczynienie bezpieczenstwa naturalna czescia sposobu, w jaki tworzysz oprogramowanie. Celem nie jest blokowanie kazdego PR ostrzezeniami bezpieczenstwa, ale dawanie programistom szybkiego feedbacku, aby mogli naprawiac problemy, gdy kod jest jeszcze swiezy w ich pamieci.

488~

489Zacznij od podstaw: pre-commit hooks dla sekretow, skanowanie zaleznosci w CI i skanowanie kontenerow dla obrazow Docker. Nastepnie iteruj w oparciu o potrzeby Twojego zespolu.

490~

491Bezpieczenstwo to nie funkcja, ktora wdrazasz raz. To praktyka, ktora wbudowujesz w kazdy commit.

492~

493> **Lista kontrolna DevSecOps na start:**

494>

495> - [x] Zainstalowane pre-commit hooks Gitleaks

496> - [x] Pliki .env i pliki z sekretami w .gitignore

497> - [x] Semgrep SAST w pipeline CI

498> - [x] Snyk lub npm audit do skanowania zaleznosci

499> - [x] Trivy do skanowania obrazow kontenerow

500> - [x] Uzytkownik bez uprawnien root w Dockerfile

501> - [x] Sekrety w zmiennych srodowiskowych lub secret manager

502> - [x] Generowanie SBOM przy kazdym wydaniu

503> - [x] Swiadomosc OWASP Top 10 w calym zespole

504~