Введение
DevSecOps — это не просто модный термин, а необходимость для любой команды, которая хочет выпускать безопасный код без замедления поставки. Проблема в том, что многие инженеры тратят часы на ручной аудит, написание политик и разбор логов. Современные языковые модели (LLM) могут взять на себя до 70% этой рутины, если правильно составить промт. В этой подборке — 10 готовых шаблонов для SAST (статический анализ), DAST (динамическое сканирование), настройки политик IAM и анализа инцидентов. Каждый промт проверен на практике и адаптирован под реальные задачи, с которыми сталкиваются DevOps-инженеры и security-специалисты. Мы не будем говорить абстрактно — только конкретные примеры, код и результаты.
1. Промт для SAST-анализа: поиск SQL-инъекций в Python-коде
Для чего: Помогает найти уязвимости типа SQL-инъекций в Django или Flask проектах. Промт генерирует отчёт с указанием строки кода и рекомендацией по исправлению.
Промт: «Ты — senior security engineer. Проанализируй следующий код на Python (Django) и найди места, где возможна SQL-инъекция. Выведи таблицу с колонками: строка кода, тип уязвимости, уровень риска (High/Medium/Low), рекомендация. Код: def get_user(request): username = request.GET.get('username') cursor.execute(f\"SELECT * FROM users WHERE username = '{username}'\") return cursor.fetchall()»
Пример использования: В ответе AI укажет строку 3, тип — SQL-инъекция, риск High, рекомендация — использовать параметризованные запросы: cursor.execute(\"SELECT * FROM users WHERE username = %s\", [username]).
2. Промт для DAST-сканирования: анализ заголовков безопасности веб-приложения
Для чего: Быстрая проверка HTTP-заголовков на наличие HSTS, CSP, X-Frame-Options и других security-заголовков. Экономит время на ручной проверке через curl.
Промт: «Ты — security analyst. Проанализируй HTTP-ответ от сервера и оцени, какие заголовки безопасности отсутствуют. Выведи таблицу: заголовок, статус (Present/Missing/Risky), описание риска. Ответ: HTTP/1.1 200 OK\nContent-Type: text/html\nX-Powered-By: Express\nSet-Cookie: sessionid=abc123; Path=/»
Пример использования: AI отметит отсутствие HSTS (риск — понижение версии), отсутствие CSP (риск XSS), наличие X-Powered-By (риск утечки информации). Рекомендация: добавить заголовки Strict-Transport-Security и Content-Security-Policy.
3. Промт для политик доступа IAM: генерация минималистичной политики AWS S3
Для чего: Создание политики, которая даёт доступ только к конкретному бакету и только на чтение. Полезно для настройки service account.
Промт: «Ты — cloud security engineer. Создай политику AWS IAM в формате JSON, которая разрешает только операцию s3:GetObject для пользователя dev-user в бакете my-app-bucket. Запрети все остальные действия. Добавь условие, что доступ возможен только из диапазона IP 10.0.0.0/16. Выведи готовый JSON и объясни каждое поле.»
Пример использования: AI сгенерирует политику с "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::my-app-bucket/*" и "Condition": {"IpAddress": {"aws:SourceIp": "10.0.0.0/16"}}. Пояснит, что нужно заменить Account ID.
4. Промт для анализа логов: поиск подозрительных активностей в CloudTrail
Для чего: Быстрый анализ логов AWS CloudTrail на предмет аномалий, например, массового удаления ресурсов или создания ключей доступа.
Промт: «Ты — SOC-аналитик. Проанализируй следующий фрагмент логов CloudTrail. Определи, есть ли подозрительные действия. Выведи список событий с временем, пользователем, действием и уровнем аномалии (Critical/Warning/Info). Логи: [{'eventTime': '2026-07-18T10:00:00Z', 'userIdentity': {'arn': 'arn:aws:iam::123456789012:user/admin'}, 'eventName': 'DeleteBucket', 'sourceIPAddress': '185.220.101.0'}, {'eventTime': '2026-07-18T10:05:00Z', 'userIdentity': {'arn': 'arn:aws:iam::123456789012:user/admin'}, 'eventName': 'CreateAccessKey', 'sourceIPAddress': '185.220.101.0'}]»
Пример использования: AI отметит, что admin из IP 185.220.101.0 (известный TOR-узел) за 5 минут удалил бакет и создал ключ доступа — это критическая аномалия. Рекомендация: немедленно отозвать сессию.
5. Промт для написания security-чеклиста для CI/CD пайплайна
Для чего: Помогает интегрировать проверки безопасности в GitLab CI или GitHub Actions. Промт генерирует готовый перечень шагов.
Промт: «Ты — DevSecOps инженер. Составь чеклист из 5 обязательных шагов безопасности для CI/CD пайплайна на основе GitLab CI. Включи: SAST-сканер, проверку секретов, сканирование зависимостей, проверку лицензий и контейнера. Для каждого шага укажи инструмент (например, Semgrep, Trivy, GitLab SAST) и пример конфигурации в YAML. Выведи как таблицу: шаг, инструмент, цель, пример кода.»
Пример использования: AI предложит: Шаг 1 — SAST с Semgrep (цель — поиск уязвимостей в коде), пример: semgrep --config=auto. Шаг 2 — проверка секретов с Gitleaks (цель — предотвращение утечки токенов). И так далее.
6. Промт для анализа Dockerfile: поиск уязвимостей в контейнере
Для чего: Проверка Dockerfile на best practices: запуск от root, использование непроверенных базовых образов, отсутствие multi-stage build.
Промт: «Ты — container security specialist. Проанализируй Dockerfile и найди нарушения безопасности. Выведи таблицу: строка, проблема, уровень риска, рекомендация. Dockerfile: FROM ubuntu:latest\nRUN apt-get update && apt-get install -y curl\nCOPY . /app\nCMD [\"python\", \"app.py\"]\nUSER root»
Пример использования: AI укажет: "FROM ubuntu:latest" — риск Medium, так как latest может содержать уязвимости, рекомендует использовать фиксированный тег (ubuntu:22.04). "USER root" — риск High, рекомендует создать непривилегированного пользователя.
7. Промт для генерации политики безопасности сети (NetworkPolicy) в Kubernetes
Для чего: Создание Kubernetes NetworkPolicy для ограничения трафика между подами. Полезно для zero-trust сегментации.
Промт: «Ты — Kubernetes security engineer. Создай NetworkPolicy для namespace production, которая разрешает входящие запросы только от подов с меткой app: frontend к подам с меткой app: backend на порт 8080. Запрети весь остальной трафик. Выведи YAML и объясни ingress и egress правила.»
Пример использования: AI сгенерирует YAML с podSelector: matchLabels: app: backend, ingress: [from: [podSelector: matchLabels: app: frontend], ports: [port: 8080]]. Пояснит, что без egress rules исходящий трафик не ограничен.
8. Промт для анализа CVE: оценка критичности уязвимости в библиотеке
Для чего: Быстрая оценка, нужно ли срочно обновлять библиотеку, основываясь на её CVE-записи.
Промт: «Ты — vulnerability researcher. Проанализируй CVE-2024-3094 (уязвимость в XZ Utils). Выведи таблицу: CVE ID, CVSS score, affected versions, описание, рекомендация по митигации. Дополнительно укажи, затрагивает ли она библиотеки, используемые в Python-проектах.»
Пример использования: AI выдаст: CVSS Score — 10.0, Affected versions — 5.6.0 and 5.6.1, Recommendation — немедленно откатиться до 5.4.6. Укажет, что затрагивает системные библиотеки, но не напрямую Python-пакеты.
9. Промт для написания security-политики паролей
Для чего: Создание документа для компании по требованиям к паролям, соответствующего стандартам NIST SP 800-63.
Промт: «Ты — compliance specialist. Напиши политику паролей для корпоративной системы на основе NIST SP 800-63. Включи требования: минимальная длина (не менее 12 символов), запрет на компрометированные пароли (проверка через Have I Been Pwned), многофакторная аутентификация. Выведи в формате Markdown с секциями: цель, требования, ответственность, санкции.»
Пример использования: AI создаст документ: "Цель — снижение риска компрометации", "Требования: пароль длиной от 12 символов, проверка через API HIBP", "Ответственность: каждый сотрудник", "Санкции: блокировка учётной записи при нарушении".
10. Промт для анализа Terraform-кода на security-риски
Для чего: Проверка Infrastructure as Code на уязвимости, например, открытые порты или небезопасные группы безопасности.
Промт: «Ты — cloud security engineer. Проанализируй Terraform-код на предмет security-рисков. Выведи таблицу: ресурс, проблема, уровень риска, рекомендация. Код: resource \"aws_security_group\" \"web_sg\" { ingress { from_port = 0 to_port = 0 protocol = \"-1\" cidr_blocks = [\"0.0.0.0/0\"] } }»
Пример использования: AI отметит: ресурс aws_security_group.web_sg — проблема: открытый доступ с любого IP (0.0.0.0/0) по всем портам, риск Critical, рекомендация — ограничить доступ конкретными IP-адресами и портами (например, 80 и 443).
Заключение
Эти 10 промтов покрывают большинство рутинных задач DevSecOps: от анализа кода и контейнеров до генерации политик и оценки уязвимостей. Чтобы получить максимальную пользу, адаптируйте шаблоны под свой стек — замените названия инструментов, IP-адреса и имена ресурсов на свои. Помните, что LLM не заменяют полноценные SAST/DAST-сканеры (Semgrep, Burp Suite, Trivy), но экономят время на начальном анализе и документировании. Начните с малого: возьмите один промт, протестируйте на своём проекте и оцените, сколько минут вы сэкономили. Безопасность — это процесс, а не одноразовая проверка, и правильные промты делают этот процесс быстрее.
Комментарии