11.10.2025 12:17
Sub-ZeroMKX 0 297 Источник

Сегодня я хотел бы рассказать о новой концепции обучения безопасной разработке. Работая с разработчиками достаточно долго я увидел что у них есть интерес к безопасности но его нужно подавать под правильным соусом. А не просто кидать на них отчеты из DefectDojo и прочую техническую не валидированную информацию.

Идея прошла как-то сама собой. Читая кучу отчетов с defectdojo появилась идея делать лабораторные по безопасной разработке опираясь на технический стек компании и на те баги которые она ловит чаще всего. То есть грубо мы берем отчет из агрегатора вроде DefectDojo и просим превратить это в учебный план. Но нам мало просто готовить лабораторные на том технологическом стеке который превалирует в компании. Нам нужно их упорядочить от самых распространенных и также учесть максимально критические уязвимости которые уже были сделаны.

То есть как вообще выглядит проблема:

  1. Ограниченность контента
    Большинство курсов по безопасной разработке используют шаблонные примеры из DefectDojo, OWASP Top 10 или устаревшие CVE. Они не учитывают специфику вашего стек-технологий и реальные ошибки, которые встречаются в проектах.

  2. Ручная разработка
    Создание лабораторных работ занимает недели: эксперты подбирают темы, настраивают стенды и пишут инструкции.

  3. Отсутствие мотивации
    Программисты редко видят связь между учебными заданиями и своей повседневной работой, из-за чего быстро теряют интерес.

Покажу часть лабораторных которые мы внедряем в крупнейшем провайдере цифровых услуг в России

Также с помощью AI мы готовим полностью теоретический контент + видео материалы (также генерируем с помощью AI)

Таким образом мы делаем не просто персонализированное обучение по тому технологическому стеку что работает компания. Мы делаем связку того где они технологии + там где они уже часто ошибаются.

И это будушее. Мы получаем не просто типовое обучение для компании. Мы получаем обучение которое подходит для конкретной компании. Мы способны уже создавать десятки лабораторных работ в течение суток под конкретный стек и конкретную компанию покрывая полностью её потребности в обучении безопасной разработке.

И теперь немного как это работает конечно я писал эту статью с помощью AI потому что она в курсе всего что мы делаем в данном проекте)

План как учиться на своих багах: пошаговый конвейер

1) Сбор входа

  • ыгрузка DefectDojo (csv/json), отчёты SAST/DAST, ручные пентест-находки.

  • Описание стека (языки/фреймворки/версии/CI/CD).

  • Политики и стандарты (гайдлайны код-ревью, DoD, gates).

2) Нормализация и валидация

  • Дедупликация, группировка, мэппинг на CWE/OWASP.

  • Проверка воспроизводимости: PoC, минимальные шаги, фиксация окружения.

3) Ранжирование

  • Score = Частота × Критичность × Близость к прод-рискам × Влияние на пользователей.

  • На выходе — дорожная карта обучения на 4–8 недель.

4) Генерация артефактов

  • Лабы под ваш стек: Java/Spring, Node.js/Express/Nest, Go/Gin/Fiber, .NET/ASP.NET, Python/FastAPI/Django.

  • Теория+видео: короткие блоки, минимум «воды».

  • Автотесты/чек-листы: чтобы уроки уехали в PR/CI.

5) Интеграции

  • Экспорт метрик обратно в DefectDojo.

  • PR-темплейты с security-чек-листами, quality-gates в GitLab/GitHub/Jenkins.

  • Обновление SAST-правил (минус ложные, плюс сигнатуры под ваш стиль кода).

Этап 1. Импорт и приоритизация баг-репортов

  • Подключение к вашим баг-трекерам (DefectDojo, Jira) через API

  • AI-анализ частоты и критичности ошибок (CVSS, бизнес-риски)

  • Выделение топ-10 наиболее значимых уязвимостей

Этап 2. Генерация лабораторий

  • Автоматическое создание CTF-стенда в Docker с уязвимой версией приложения

  • Генерация тестов для валидации решения

  • Формирование чёткого технического задания и подсказок

Этап 3. AI-подготовка контента

  • Создание теоретических материалов: статьи, шпаргалки, swipe-cards

  • Генерация видеороликов с голосовым сопровождением и скринкастами

  • Персонализация языка и терминологии под внутренние стандарты компании

Этап 4. Сертификация и отчётность

  • Автоматическая выдача цифровых сертификатов после прохождения лабораторий

  • Интеграция с HR- и LMS-системой для учёта KPI

  • Реал-тайм дашборд прогресса и статистики по сотрудникам

. «Сделай сам»: как превратить баги в учебный план (чек-лист)

  1. Соберите вход. Экспорт DefectDojo/сканов/ручных находок + краткая карта стеков и сервисов. OWASP Developer Guide

  2. Нормализуйте. Дедуп, мэппинг на CWE/OWASP, PoC воспроизводимость. OWASP Foundation

  3. Приоритизируйте. Частота × критичность × влияние.

  4. Генерируйте лабы под стек. На каждую тему — 1) PoC; 2) expected fix; 3) интеграционный тест; 4) PR-чек-лист.

  5. Вкрутите в процессы. Security-профиль тестов в CI; gates; отчётность в Dojo. documentation.defectdojo.com

  6. Мерьте. Повторяемость баг-классов, time-to-fix, reopen-rate, покрытие тестами, доля критов в проде.

Надеюсь это было как минимум познавательно для Вас) спасибо если дочитали до конца.

Комментарии (0)