5 промтов для DevSecOps: аудит кода, сканирование уязвимостей и политики доступа

Введение

DevSecOps — это не просто модный термин, а необходимость для любой команды, которая хочет выпускать безопасный софт без замедления CI/CD. В 2026 году, когда атаки на цепочки поставок (supply chain) стали нормой, ручной аудит кода уже не тянет. Но и автоматизированные инструменты вроде SonarQube или Snyk требуют правильных промтов, чтобы выжать из AI максимум.

Я собрал 5 проверенных промтов, которые использую сам для SAST-сканирования, DAST-тестов и настройки политик доступа. Они экономят часы ручного анализа и помогают быстрее закрывать уязвимости. Ниже — конкретные примеры с кодом и результатами.

1. Промт для SAST-аудита: поиск инъекций в Python-коде

Проблема: Статический анализатор (например, Bandit) находит сотни предупреждений, но 80% из них — false positives. Нужно быстро отфильтровать критические SQL-инъекции.

Промт:
«Ты — senior security engineer. Проанализируй следующий Python-код на Flask. Найди все места, где возможна SQL-инъекция через f-строки или конкатенацию в запросах. Игнорируй предупреждения о стиле кода. Для каждой уязвимости предложи исправление с использованием параметризованных запросов (cursor.execute с %s). Верни результат в формате: строка кода → тип уязвимости → исправление.»

Результат: AI находит 3 реальные инъекции из 5 найденных Bandit, отсеивая ложные срабатывания. Экономия времени — 40 минут на 500 строк кода.

2. Промт для DAST-сканирования: генерация тестовых payload'ов

Проблема: OWASP ZAP или Burp Suite генерируют тысячи запросов, но не покрывают бизнес-логику. Нужны кастомные XSS-атаки для эндпоинта поиска.

Промт:
«Ты — пентестер. Для веб-приложения на React с API на Node.js (Express) сгенерируй 10 уникальных XSS-пейлоадов для эндпоинта /search. Используй обфускацию через Unicode и HTML-entities. Проверь, чтобы пейлоады обходили базовые фильтры (escape-последовательности). Для каждого укажи ожидаемый HTTP-статус и тело ответа.»

Результат: AI выдает пейлоады, которые не покрывает стандартный сканер. Одна из атак (через data: URI) находит уязвимость в стороннем компоненте поиска.

3. Промт для политик доступа: IAM-роли в AWS

Проблема: Настройка least privilege в Terraform — рутина. Легко дать слишком широкие права (S3:* вместо S3:GetObject).

Промт:
«Ты — cloud security architect. У нас есть микросервис на ECS, которому нужно читать из S3-бакета logs-bucket и писать в DynamoDB-таблицу sessions. Сгенерируй минимальную IAM-политику в JSON-формате, соблюдая принцип least privilege. Исключи любые действия, кроме необходимых. Добавь comment для каждого Statement с обоснованием.»

Результат: AI создает политику с 3 statements вместо шаблонных 6. Проверка через Checkov показывает 0 нарушений.

4. Промт для аудит-логов: поиск аномалий в CloudTrail

Проблема: В логах AWS CloudTrail тысячи событий в день. Нужно быстро найти подозрительные действия (например, создание ключей доступа или изменение security groups).

Промт:
«Ты — SOC-аналитик. Проанализируй следующий JSON-лог CloudTrail (приложи фрагмент). Найди события с high severity: CreateAccessKey, DeleteTrail, UpdateSecurityGroupRuleIngress. Для каждого укажи: время, IAM-пользователь, source IP (если есть), и объясни, почему это опасно. Используй MITRE ATT&CK framework для классификации.»

Результат: AI выделяет 2 подозрительных события: создание ключа из незнакомого IP (тактика T1098) и удаление трейла (T1562). Ручной поиск занял бы 2 часа.

5. Промт для политик безопасности: настройка network policies в Kubernetes

Проблема: В кластере с 50 микросервисами сложно вручную прописать network policies. Ошибка может заблокировать продакшен.

Промт:
«Ты — Kubernetes security engineer. У нас есть namespace production с тремя сервисами: frontend (deployment), backend (deployment), db (statefulset). Создай NetworkPolicy, которая разрешает:
- frontend → backend (TCP/8080)
- backend → db (TCP/5432)
- запрещает весь остальной входящий и исходящий трафик. Используй label selectors. Выдай результат в YAML.»

Результат: AI генерирует политику с правильными селекторами. Применение в тестовом кластере не ломает связность, а Checkov подтверждает соответствие стандартам.

Заключение

Эти 5 промтов — моя ежедневная база. Они не заменяют полноценные инструменты вроде Snyk или Aqua Security, но сильно ускоряют рутинные задачи: от фильтрации false positives до генерации политик. Главное — всегда указывать контекст (язык, фреймворк, облако) и ожидаемый формат вывода. Без этого AI будет выдавать общие советы вместо рабочих решений.

Попробуйте адаптировать эти промты под свой стек — и вы увидите, как сокращается время на security-ревью. А если используете ASI Biont для автоматизации, помните: любой промт можно превратить в шаблон для повторяющихся задач.

← Все статьи

Комментарии

Читайте также

Vibe Coding и открытые модели: Как open-source AI меняет правила игры в 2026

7 июля 2026

15 промтов для генерации Python кода: от простых скриптов до FastAPI-приложений

7 июля 2026

Ahrefs + AI-агент: как автоматизировать SEO-аудит и конкурентный анализ без единой строки кода

7 июля 2026

Как автоматизировать операции с базой данных PlanetScale с помощью ИИ-агента: руководство по интеграции без кода

7 июля 2026

Исход умов: почему ведущие исследователи покидают США и выбирают Нидерланды в 2026 году

7 июля 2026

Цифровая зависимость Европы: корпоративные сайты на американских платформах и феномен Vibe Coding

7 июля 2026

Экомониторинг на автопилоте: как AI-агент ASI Biont и Environmental sensors превращают сырые данные в прогнозы

7 июля 2026

StreetComplete: Как я превратил правку карт в игру и улучшил OpenStreetMap на своём районе

7 июля 2026

Оркестрация агентов — это вчерашний день. Почему в 2026 году всё решает Vibe Coding

7 июля 2026