Перейти к содержанию

О проекте

Карта инструментов безопасной разработки — это разработанная интерактивная карта AppSec инструментов для DevSecOps конвейера. Данная карта разработана для специалистов безопасной разработки, разработчиков, DevOps/DevSecOps специалистов, архитекторов, студентов и т.п.

Проект фокусируется на практическом применении продуктов на различных этапах жизненного цикла разработки.

О проекте.

  • Каталог и карта инструментов по направлениям: SAST, DAST, SCA/OSA, secrets‑management, container security, code coverage, MLSecOps и др.
  • Визуальная карта связей: какие классы и типы решений существуют, как они дополняют друг друга в жизненном цикле разработки и эксплуатации
  • Практический справочник для:
    • выбора инструментов для конкретных задач;
    • планирования импортозамещения;
    • выстраивания целевой архитектуры разработки безопасного ПО.

Ключевые возможности.

  • Единый формат описания: для каждого инструмента собираются структурированные meta‑данные:

    • наличие и тип сертификаций (в т.ч. ФСТЭК и другие регуляторы);
    • тип лицензии (OSS, коммерческая, гибридная, trial и др.);
    • доступность в РФ и риск санкционных ограничений;
    • поддерживаемые языки, платформы и стеки;
    • типы отчётов (HTML, PDF, JSON, SBOM, SARIF и т.п.);
    • поддерживаемые стандарты и методики (OWASP, NIST, PCI DSS, MITRE, CIS Benchmarks и др.);
    • назначение: анализ кода, анализ зависимостей, рантайм, управление рисками и т.д.

  • Фильтрация по meta‑данным:возможно отфильтровать инструменты по лицензии, классу, типу отчётов, сертификации, доступности в РФ, поддерживаемому стеку и т.п.

  • Обновляемые списки: устаревшие и давно не поддерживаемые решения помечаются или убираются, добавляются новые инструменты и актуальные версии
  • Фокус на импортозамещении: для многих категорий указывается, чем можно закрыть потребности за счёт OSS и российских продуктов.

Как используется карта

  • Архитектура и дорожные карты: помощь в проектировании целевого DevSecOps-конвейера и планирование поэтапного внедрения.
  • Закупки и обоснование решений: аргументация выбора продукта на основе открытых критериев: класс, метрики, сертификация, формат отчётов, доступность.
  • Обучение и онбординг: быстрый обзор ландшафта инструментов для новых членов команды, стажёров, смежных ролей (Dev, QA, SecOps).
  • Исследования и сравнение: стартовая точка для сравнений в конкретном классе (например, разные SCA‑решения или средства container security).

Технические детали

  • Вёрстка и интерфейс построены на Material‑дизайне, чтобы обеспечить единообразный внешний вид и удобную навигацию.
  • Данные об инструментах хранятся в YAML/JSON‑структурах и собираются в единый search‑index для быстрого поиска и фильтрации.
  • Исключительно декларативный формат данных: проект можно использовать как основу для собственных тулов, дашбордов, внутренних порталов.
  • Поддерживается экспорт/рендеринг в PDF с ссылками, логотипами и сохранением структуры карты для офлайн‑использования.

Статус проекта

  • Карта находится в статусе активно развиваемого прототипа:

    • регулярно обновляются списки инструментов и их метаданные;
    • дописываются и вычищаются описания (ru/en), приводятся к единому стилю;
    • добавляются новые разделы (MLSecOps, CNAPP, ASPM, governance & compliance и др.).

  • Предыдущая опубликованная версия карты доступна в виде PDF и может использоваться специалистами.

Вклад сообщества

Проект открыт для комьюнити:

  • Принимаются pull‑requests:
    • добавление/коррекция инструментов и их метаданных;
    • исправление описаний, опечаток, ссылок;
    • предложения по новым классам/разделам.
  • Приветствуются issues:
    • баги в данных (неверная лицензия, устаревшая версия, битые ссылки);
    • предложения по структуре и навигации;
    • запросы на добавление инструментов под конкретные задачи (например, «минимальный стек для малого бизнеса», «полностью OSS‑стек» и т.п.).
  • Цель — сделать карту общим рабочим инструментом сообщества.

Для кого этот проект

  • AppSec / DevSecOps инженеры — для подбора и согласования стека.
  • Архитекторы и тимлиды — для планирования внедрения и импортозамещения.
  • Специалисты по ИБ и комплаенс‑специалисты — для сопоставления инструментов с требованиями стандартов и регуляторов.
  • Разработчики и DevOps — для ознакомления, какие security‑инструменты есть и как они вписываются в привычный процесс разработки.

Если вы хотите использовать карту внутри своей компании, расширить её под свои нужды или помочь с развитием — ознакомьтесь с разделами README и Contributing, где описаны базовые правила работы с данными и оформления pull‑request’ов.