Введение
DevSecOps — это не просто модный термин, а необходимость для любой команды, которая хочет выпускать безопасный софт без замедления CI/CD. В 2026 году, когда атаки на цепочки поставок (supply chain) стали нормой, ручной аудит кода уже не тянет. Но и автоматизированные инструменты вроде SonarQube или Snyk требуют правильных промтов, чтобы выжать из AI максимум.
Я собрал 5 проверенных промтов, которые использую сам для SAST-сканирования, DAST-тестов и настройки политик доступа. Они экономят часы ручного анализа и помогают быстрее закрывать уязвимости. Ниже — конкретные примеры с кодом и результатами.
1. Промт для SAST-аудита: поиск инъекций в Python-коде
Проблема: Статический анализатор (например, Bandit) находит сотни предупреждений, но 80% из них — false positives. Нужно быстро отфильтровать критические SQL-инъекции.
Промт:
«Ты — senior security engineer. Проанализируй следующий Python-код на Flask. Найди все места, где возможна SQL-инъекция через f-строки или конкатенацию в запросах. Игнорируй предупреждения о стиле кода. Для каждой уязвимости предложи исправление с использованием параметризованных запросов (cursor.execute с %s). Верни результат в формате: строка кода → тип уязвимости → исправление.»
Результат: AI находит 3 реальные инъекции из 5 найденных Bandit, отсеивая ложные срабатывания. Экономия времени — 40 минут на 500 строк кода.
2. Промт для DAST-сканирования: генерация тестовых payload'ов
Проблема: OWASP ZAP или Burp Suite генерируют тысячи запросов, но не покрывают бизнес-логику. Нужны кастомные XSS-атаки для эндпоинта поиска.
Промт:
«Ты — пентестер. Для веб-приложения на React с API на Node.js (Express) сгенерируй 10 уникальных XSS-пейлоадов для эндпоинта /search. Используй обфускацию через Unicode и HTML-entities. Проверь, чтобы пейлоады обходили базовые фильтры (escape-последовательности). Для каждого укажи ожидаемый HTTP-статус и тело ответа.»
Результат: AI выдает пейлоады, которые не покрывает стандартный сканер. Одна из атак (через data: URI) находит уязвимость в стороннем компоненте поиска.
3. Промт для политик доступа: IAM-роли в AWS
Проблема: Настройка least privilege в Terraform — рутина. Легко дать слишком широкие права (S3:* вместо S3:GetObject).
Промт:
«Ты — cloud security architect. У нас есть микросервис на ECS, которому нужно читать из S3-бакета logs-bucket и писать в DynamoDB-таблицу sessions. Сгенерируй минимальную IAM-политику в JSON-формате, соблюдая принцип least privilege. Исключи любые действия, кроме необходимых. Добавь comment для каждого Statement с обоснованием.»
Результат: AI создает политику с 3 statements вместо шаблонных 6. Проверка через Checkov показывает 0 нарушений.
4. Промт для аудит-логов: поиск аномалий в CloudTrail
Проблема: В логах AWS CloudTrail тысячи событий в день. Нужно быстро найти подозрительные действия (например, создание ключей доступа или изменение security groups).
Промт:
«Ты — SOC-аналитик. Проанализируй следующий JSON-лог CloudTrail (приложи фрагмент). Найди события с high severity: CreateAccessKey, DeleteTrail, UpdateSecurityGroupRuleIngress. Для каждого укажи: время, IAM-пользователь, source IP (если есть), и объясни, почему это опасно. Используй MITRE ATT&CK framework для классификации.»
Результат: AI выделяет 2 подозрительных события: создание ключа из незнакомого IP (тактика T1098) и удаление трейла (T1562). Ручной поиск занял бы 2 часа.
5. Промт для политик безопасности: настройка network policies в Kubernetes
Проблема: В кластере с 50 микросервисами сложно вручную прописать network policies. Ошибка может заблокировать продакшен.
Промт:
«Ты — Kubernetes security engineer. У нас есть namespace production с тремя сервисами: frontend (deployment), backend (deployment), db (statefulset). Создай NetworkPolicy, которая разрешает:
- frontend → backend (TCP/8080)
- backend → db (TCP/5432)
- запрещает весь остальной входящий и исходящий трафик. Используй label selectors. Выдай результат в YAML.»
Результат: AI генерирует политику с правильными селекторами. Применение в тестовом кластере не ломает связность, а Checkov подтверждает соответствие стандартам.
Заключение
Эти 5 промтов — моя ежедневная база. Они не заменяют полноценные инструменты вроде Snyk или Aqua Security, но сильно ускоряют рутинные задачи: от фильтрации false positives до генерации политик. Главное — всегда указывать контекст (язык, фреймворк, облако) и ожидаемый формат вывода. Без этого AI будет выдавать общие советы вместо рабочих решений.
Попробуйте адаптировать эти промты под свой стек — и вы увидите, как сокращается время на security-ревью. А если используете ASI Biont для автоматизации, помните: любой промт можно превратить в шаблон для повторяющихся задач.
Комментарии