10 промтов для безопасности и DevSecOps: аудит, сканирование и политики доступа

Введение

DevSecOps — это не просто модный термин, а необходимость для любой команды, которая хочет выпускать безопасный код без замедления поставки. Проблема в том, что многие инженеры тратят часы на ручной аудит, написание политик и разбор логов. Современные языковые модели (LLM) могут взять на себя до 70% этой рутины, если правильно составить промт. В этой подборке — 10 готовых шаблонов для SAST (статический анализ), DAST (динамическое сканирование), настройки политик IAM и анализа инцидентов. Каждый промт проверен на практике и адаптирован под реальные задачи, с которыми сталкиваются DevOps-инженеры и security-специалисты. Мы не будем говорить абстрактно — только конкретные примеры, код и результаты.

1. Промт для SAST-анализа: поиск SQL-инъекций в Python-коде

Для чего: Помогает найти уязвимости типа SQL-инъекций в Django или Flask проектах. Промт генерирует отчёт с указанием строки кода и рекомендацией по исправлению.

Промт: «Ты — senior security engineer. Проанализируй следующий код на Python (Django) и найди места, где возможна SQL-инъекция. Выведи таблицу с колонками: строка кода, тип уязвимости, уровень риска (High/Medium/Low), рекомендация. Код: def get_user(request): username = request.GET.get('username') cursor.execute(f\"SELECT * FROM users WHERE username = '{username}'\") return cursor.fetchall()»

Пример использования: В ответе AI укажет строку 3, тип — SQL-инъекция, риск High, рекомендация — использовать параметризованные запросы: cursor.execute(\"SELECT * FROM users WHERE username = %s\", [username]).

2. Промт для DAST-сканирования: анализ заголовков безопасности веб-приложения

Для чего: Быстрая проверка HTTP-заголовков на наличие HSTS, CSP, X-Frame-Options и других security-заголовков. Экономит время на ручной проверке через curl.

Промт: «Ты — security analyst. Проанализируй HTTP-ответ от сервера и оцени, какие заголовки безопасности отсутствуют. Выведи таблицу: заголовок, статус (Present/Missing/Risky), описание риска. Ответ: HTTP/1.1 200 OK\nContent-Type: text/html\nX-Powered-By: Express\nSet-Cookie: sessionid=abc123; Path=/»

Пример использования: AI отметит отсутствие HSTS (риск — понижение версии), отсутствие CSP (риск XSS), наличие X-Powered-By (риск утечки информации). Рекомендация: добавить заголовки Strict-Transport-Security и Content-Security-Policy.

3. Промт для политик доступа IAM: генерация минималистичной политики AWS S3

Для чего: Создание политики, которая даёт доступ только к конкретному бакету и только на чтение. Полезно для настройки service account.

Промт: «Ты — cloud security engineer. Создай политику AWS IAM в формате JSON, которая разрешает только операцию s3:GetObject для пользователя dev-user в бакете my-app-bucket. Запрети все остальные действия. Добавь условие, что доступ возможен только из диапазона IP 10.0.0.0/16. Выведи готовый JSON и объясни каждое поле.»

Пример использования: AI сгенерирует политику с "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::my-app-bucket/*" и "Condition": {"IpAddress": {"aws:SourceIp": "10.0.0.0/16"}}. Пояснит, что нужно заменить Account ID.

4. Промт для анализа логов: поиск подозрительных активностей в CloudTrail

Для чего: Быстрый анализ логов AWS CloudTrail на предмет аномалий, например, массового удаления ресурсов или создания ключей доступа.

Промт: «Ты — SOC-аналитик. Проанализируй следующий фрагмент логов CloudTrail. Определи, есть ли подозрительные действия. Выведи список событий с временем, пользователем, действием и уровнем аномалии (Critical/Warning/Info). Логи: [{'eventTime': '2026-07-18T10:00:00Z', 'userIdentity': {'arn': 'arn:aws:iam::123456789012:user/admin'}, 'eventName': 'DeleteBucket', 'sourceIPAddress': '185.220.101.0'}, {'eventTime': '2026-07-18T10:05:00Z', 'userIdentity': {'arn': 'arn:aws:iam::123456789012:user/admin'}, 'eventName': 'CreateAccessKey', 'sourceIPAddress': '185.220.101.0'}]»

Пример использования: AI отметит, что admin из IP 185.220.101.0 (известный TOR-узел) за 5 минут удалил бакет и создал ключ доступа — это критическая аномалия. Рекомендация: немедленно отозвать сессию.

5. Промт для написания security-чеклиста для CI/CD пайплайна

Для чего: Помогает интегрировать проверки безопасности в GitLab CI или GitHub Actions. Промт генерирует готовый перечень шагов.

Промт: «Ты — DevSecOps инженер. Составь чеклист из 5 обязательных шагов безопасности для CI/CD пайплайна на основе GitLab CI. Включи: SAST-сканер, проверку секретов, сканирование зависимостей, проверку лицензий и контейнера. Для каждого шага укажи инструмент (например, Semgrep, Trivy, GitLab SAST) и пример конфигурации в YAML. Выведи как таблицу: шаг, инструмент, цель, пример кода.»

Пример использования: AI предложит: Шаг 1 — SAST с Semgrep (цель — поиск уязвимостей в коде), пример: semgrep --config=auto. Шаг 2 — проверка секретов с Gitleaks (цель — предотвращение утечки токенов). И так далее.

6. Промт для анализа Dockerfile: поиск уязвимостей в контейнере

Для чего: Проверка Dockerfile на best practices: запуск от root, использование непроверенных базовых образов, отсутствие multi-stage build.

Промт: «Ты — container security specialist. Проанализируй Dockerfile и найди нарушения безопасности. Выведи таблицу: строка, проблема, уровень риска, рекомендация. Dockerfile: FROM ubuntu:latest\nRUN apt-get update && apt-get install -y curl\nCOPY . /app\nCMD [\"python\", \"app.py\"]\nUSER root»

Пример использования: AI укажет: "FROM ubuntu:latest" — риск Medium, так как latest может содержать уязвимости, рекомендует использовать фиксированный тег (ubuntu:22.04). "USER root" — риск High, рекомендует создать непривилегированного пользователя.

7. Промт для генерации политики безопасности сети (NetworkPolicy) в Kubernetes

Для чего: Создание Kubernetes NetworkPolicy для ограничения трафика между подами. Полезно для zero-trust сегментации.

Промт: «Ты — Kubernetes security engineer. Создай NetworkPolicy для namespace production, которая разрешает входящие запросы только от подов с меткой app: frontend к подам с меткой app: backend на порт 8080. Запрети весь остальной трафик. Выведи YAML и объясни ingress и egress правила.»

Пример использования: AI сгенерирует YAML с podSelector: matchLabels: app: backend, ingress: [from: [podSelector: matchLabels: app: frontend], ports: [port: 8080]]. Пояснит, что без egress rules исходящий трафик не ограничен.

8. Промт для анализа CVE: оценка критичности уязвимости в библиотеке

Для чего: Быстрая оценка, нужно ли срочно обновлять библиотеку, основываясь на её CVE-записи.

Промт: «Ты — vulnerability researcher. Проанализируй CVE-2024-3094 (уязвимость в XZ Utils). Выведи таблицу: CVE ID, CVSS score, affected versions, описание, рекомендация по митигации. Дополнительно укажи, затрагивает ли она библиотеки, используемые в Python-проектах.»

Пример использования: AI выдаст: CVSS Score — 10.0, Affected versions — 5.6.0 and 5.6.1, Recommendation — немедленно откатиться до 5.4.6. Укажет, что затрагивает системные библиотеки, но не напрямую Python-пакеты.

9. Промт для написания security-политики паролей

Для чего: Создание документа для компании по требованиям к паролям, соответствующего стандартам NIST SP 800-63.

Промт: «Ты — compliance specialist. Напиши политику паролей для корпоративной системы на основе NIST SP 800-63. Включи требования: минимальная длина (не менее 12 символов), запрет на компрометированные пароли (проверка через Have I Been Pwned), многофакторная аутентификация. Выведи в формате Markdown с секциями: цель, требования, ответственность, санкции.»

Пример использования: AI создаст документ: "Цель — снижение риска компрометации", "Требования: пароль длиной от 12 символов, проверка через API HIBP", "Ответственность: каждый сотрудник", "Санкции: блокировка учётной записи при нарушении".

10. Промт для анализа Terraform-кода на security-риски

Для чего: Проверка Infrastructure as Code на уязвимости, например, открытые порты или небезопасные группы безопасности.

Промт: «Ты — cloud security engineer. Проанализируй Terraform-код на предмет security-рисков. Выведи таблицу: ресурс, проблема, уровень риска, рекомендация. Код: resource \"aws_security_group\" \"web_sg\" { ingress { from_port = 0 to_port = 0 protocol = \"-1\" cidr_blocks = [\"0.0.0.0/0\"] } }»

Пример использования: AI отметит: ресурс aws_security_group.web_sg — проблема: открытый доступ с любого IP (0.0.0.0/0) по всем портам, риск Critical, рекомендация — ограничить доступ конкретными IP-адресами и портами (например, 80 и 443).

Заключение

Эти 10 промтов покрывают большинство рутинных задач DevSecOps: от анализа кода и контейнеров до генерации политик и оценки уязвимостей. Чтобы получить максимальную пользу, адаптируйте шаблоны под свой стек — замените названия инструментов, IP-адреса и имена ресурсов на свои. Помните, что LLM не заменяют полноценные SAST/DAST-сканеры (Semgrep, Burp Suite, Trivy), но экономят время на начальном анализе и документировании. Начните с малого: возьмите один промт, протестируйте на своём проекте и оцените, сколько минут вы сэкономили. Безопасность — это процесс, а не одноразовая проверка, и правильные промты делают этот процесс быстрее.

← Все статьи

Комментарии

Читайте также

10 промтов для UI/UX дизайна: Figma, прототипы, компоненты

18 июля 2026

Цифровая трансформация рынка труда: институционализация профессий и персонализация карьерных стратегий в 2026 году

18 июля 2026

Как подключить Reddit к AI-агенту ASI Biont: автоматизация мониторинга и анализа обсуждений без программирования

18 июля 2026

Бесперебойные платежи: как интеграция ASI Biont с YooKassa автоматизирует выставление счетов и сверку

18 июля 2026

Как подключить AI-агента к SendGrid: пошаговое руководство по автоматизации email-рассылок без программирования

18 июля 2026

От сценария к экрану: Как курс «Кино- и видеопроизводство» от Asibiont превращает начинающих кинематографистов в рассказчиков

18 июля 2026

Z-Wave и AI-агент ASI Biont: интеграция умного дома без программирования за 30 минут

18 июля 2026

Промышленный интернет вещей (IIoT) и SCADA-системы: ваш путь к Индустрии 4.0 — практический обзор курса

18 июля 2026

Освойте налоговое право Российской Федерации: Практическое руководство с ИИ на Asibiont

18 июля 2026