📂

Исходный код

Git commit в feature branch

Developer Push
Код + зависимости + конфигурации
🔍

Test Stage Fail Fast

SAST & Secrets Scanning

Gitleaks
Поиск секретов: API ключи, токены, пароли
Semgrep
Статический анализ: SQL инъекции, XSS
< 2 мин
Время проверки
0%
False Positives (секреты)
🔨

Build Stage

Сборка Docker образа

Docker Build
Компиляция + создание образа
Artifact Storage
Сохранение образа для сканирования
🛡️

Scan Stage Security Gate

Глубокое сканирование артефактов

Trivy Image Scan
CVE в Docker слоях: OS, библиотеки
Trivy FS (SCA)
Уязвимости в зависимостях: npm, pip, maven
Trivy Config
IaC сканирование: Terraform, K8s
CRITICAL
Блокирует сборку
< 5 мин
Полное сканирование
📊

Monitor Stage Always Run

Метрики и отчетность

Security Metrics
Время выполнения, количество findings
Compliance Report
Соответствие OWASP, CIS Controls