Проверка инфраструктуры кодом - иногда и двух пар глаз 👀👀 недостаточно Бывало у вас так: два инженера посмотрели в пулл-реквест, кивнули, мерджнули, а потом - бац! Инцидент из-за кривой настройки безопасности или ресурса, улетевшего в продакшн без лимитов? У нас бывало. И это не вопрос компетенции. Это вопрос того, что человек просто не может держать в голове все 750+ правил безопасной конфигурации. Тут на помощь приходят инструменты статического анализа для Infrastructure as Code (IaC). Например, попался мне на глаза Checkov - https://www.checkov.io/ Что умеет: - сканирует Terraform, CloudFormation, ARM, Helm, Kubernetes, Dockerfile и Serverless Framework - проверяет на 750+ предустановленных политик - от открытых портов до отсутствия шифрования - позволяет писать свои политики, если у вас специфичные требования - интегрируется в CI/CD, чтобы ловить проблемы до мерджа Почему это важно для SRE и DevOps: - снижает когнитивную нагрузку на ревьюверов - формализует знания о лучших практиках - превращает "мы так не делаем" в автоматический чек - дает артефакт для аудита и постмортема Альтернативы, которые тоже стоит посмотреть: - tfsec - легковесный, фокус на Terraform - Terrascan - поддерживает несколько провайдеров, хорош для политик как код - KICS от Checkmarx - открытый, с акцентом на безопасность Внедряешь такую проверку в пайплайн - и количество "а мы не заметили" в ревью падает. Конечно, инструмент не заменяет инженера, но страхует от банальных промахов. А вы используете статический анализ для IaC? Какой инструмент выбрали и почему? Сталкивались с инцидентами, которые можно было предотвратить автоматической проверкой? #SRE #IaC #SAST #Security #DevSecOps #DevOps