Skip to content

hse-secdev-2025-fall/secdev-lite-docs

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

9 Commits
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

SecDev Lite - Документация семинаров (S03-S14)

Этот репозиторий - официальные материалы лайт-трека семинаров по разработке безопасного ПО. Здесь: краткие гайды по занятиям, рубрики оценивания TM / DV / DS, примеры и шаблоны.

🔗 Seed для S06-S08 (Template): secdev-seed-s06-s08 (кнопка Use this template, не fork; работаем в этом репозитории до конца S08) 🔗 Seed для S09-S12 (Template): secdev-seed-s09-s12 (кнопка Use this template, не fork; работаем в этом репозитории до конца S12)

Как это работает (за 60 секунд)

  1. Получи личный репозиторий из шаблона secdev-lite-template
  2. На паре работаем быстро и без лайв-кодинга - заполняем черновики в SEMINARS/.
  3. Дома доводи до минимума «на 1», а если хочешь «на 2» - усиливай (своим проектом/артефактами/обоснованием).
  4. Сдача только через три файла в твоём репозитории: GRADING/TM.md, GRADING/DV.md, GRADING/DS.md.

Преподаватель проверяет только папку GRADING/ и, при необходимости, заглядывает в EVIDENCE/.


Что сдаётся

  • TM - Требования безопасности + Модель угроз + ADR: GRADING/TM.md
  • DV - Мини-проект «DevOps-конвейер»: GRADING/DV.md
  • DS - Отчёт «DevSecOps-сканы и харднинг»: GRADING/DS.md

Правила оценивания: 0/1/2 по критериям → сумма 0-10 для каждого блока. Рубрики лежат тут:


Связь семинаров с итогами

  • TM рекомендуется делать после:
    • S03 - NFR/критерии приёмки (Given-When-Then)
    • S04 - DFD + STRIDE и приоритизация
    • S05 - ADR для топ-рисков (архитектурные решения)
  • DV рекомендуется делать после:
    • S06 - Secure Coding (чек-листы и «одна команда» для запуска) - делаем в репозитории из seed v2
    • S07 - Containerization (Docker/Compose) - делаем в репозитории из seed v2
    • S08 - CI/CD Minimal (build+test, артефакты, логи) - делаем в репозитории из seed v2
  • DS рекомендуется делать после:
    • S09 - SBOM/Dependencies (SCA)
    • S10 - SAST + Secrets (лайт)
    • S11 - DAST (лайт)
    • S12 - IaC/Policy/Container Security

Дополнительно (необязательно, но помогает усилить баллы):

  • S13 - Observability/Audit (можно подкрепить «before/after» и триаж в DS).
  • S14 - Privacy/DPIA (чаще влияет на NFR в TM).

Лайт-формат семинара

  • 10 мин - фокус-вводная.
  • 45 мин - работа в мини-группах или индивидуально.
  • 15 мин - показ 2-3 лучших решений/черновиков.
  • 10 мин - фиксируем, что именно пойдёт в ваш GRADING/*.

Важно: на паре - минимум движений; дома - доводка до «1», а желающие - до «2».


Минимальная структура личного репозитория студента

(см. шаблон secdev-lite-template)

  • README.md
  • SEMINARS/
  • EVIDENCE/
  • GRADING/TM.md, DV.md, DS.md

BYO-проект (опционально)

Разрешено и поощряется привязывать задания к собственному проекту. Привязка к реальному коду/сервису и собственные артефакты обычно ведут к уровню «2» по критериям. Нет проекта - работай на учебном шаблоне, это нормальный путь на «1».


Честность и безопасность

  • Не коммить секреты; используйте менеджер секретов платформы CI.
  • Любой подлог/чужие артефакты без явной отметки → 0 по соответствующему критерию.
  • В отчётах маскируйте чувствительные строки, не публикуйте реальные ключи/пароли.

Материалы семинаров

Папка seminars/ содержит короткие инструкции и заготовки:

  • seminars/S03/ - NFR (Given-When-Then)
  • seminars/S04/ - DFD + STRIDE + приоритизация
  • seminars/S05/ - ADR для топ-рисков (архитектурные решения)
  • seminars/S06/ - Secure Coding (чек-листы, «одна команда») - делаем в репозитории из seed S06-S08
  • seminars/S07/ - Containerization (Docker/Compose) - делаем в репозитории из seed S06-S08
  • seminars/S08/ - CI/CD Minimal (build+test, артефакты, логи) - делаем в репозитории из seed S06-S08
  • seminars/S09/ - SBOM/Dependencies (SCA) - делаем в репозитории из seed S09-S12
  • seminars/S10/ - SAST + Secrets (лайт) - делаем в репозитории из seed S09-S12
  • seminars/S11/ - DAST (лайт) - делаем в репозитории из seed S09-S12
  • seminars/S12/ - IaC/Policy/Container Security - делаем в репозитории из seed S09-S12
  • seminars/S13/ - Observability/Audit
  • seminars/S14/ - Privacy/DPIA

Частые вопросы (коротко)

Нужны ли Pull Request’ы?
Нет. Для лайт-трека достаточно коммитов в main. Преподаватель смотрит GRADING/* и при необходимости EVIDENCE/*.

Где брать исходный код для S06-S08?
В репозитории, созданном из шаблона seed: secdev-seed-s06-s08. Все шаги S06-S08 делаем в этом же репозитории.

Где брать исходный код для S09-S12?
В репозитории, созданном из шаблона seed: secdev-seed-s09-s12. Все шаги S09-S12 делаем в этом же репозитории.

Сроки сдачи?
Ориентируйтесь на объявления преподавателя/в LMS. В этом репозитории сроков нет.

Можно ли на «чужом» демо-сервисе?
Да, для DS допустимы стенды/демо-контейнеры. Важно корректно подписать артефакты.


Удачной работы! Минимум трения на парах → проверяемые артефакты в GRADING/* → прозрачные оценки по рубрикам.

About

No description, website, or topics provided.

Resources

Stars

0 stars

Watchers

0 watching

Forks

Releases

No releases published

Packages

 
 
 

Contributors