Пусть начнётся с маленькой шутки: «Сдвиньте влево — и всё заработает лучше», — говорили они, и мир ответил едва слышимым скрипом CI-пайплайна. На практике «shift‑left» превратился в кашу из чеклистов, усталых разработчиков и пропущенных угроз.
Qualys проделал честную работу: проанализировали 34 000 публичных контейнеров и нашли около 2 500 явно вредоносных — примерно 7,3%. 70% таких образов майнили криптовалюту, а в 42% были обнаружены более пяти секретов: AWS-ключи, токены GitHub, пароли баз. Звучит как анекдот, но это — реальность, где публичный реестр воспринимается как библиотека, а не как риск.
Проблема не в лени разработчиков — они под колоссальным давлением бизнеса: быстро, хорошо, дешево и ещё безопасно. Когда сканирование тормозит релиз, «быстро» побеждает. И тогда правила безопасности обходятся бытовыми приемами: тайные образы, опущенные проверки, «маленькие хитрости».
Выход — не заставлять каждого помнить обо всём, а сделать безопасное поведение простым и естественным. Концепция «shift down» переводит ответственность вниз, на платформу: внутренний прокси для внешних артефактов, «золотой путь» с предодобренными базовыми образами, автоматические PR для обновлений, admission-контроллеры, которые не пустят уязвимый образ в кластер, и механизмы автосегментации при подозрительном поведении контейнера.
Так платформа обеспечивает скорость бизнеса и снимает бремя с разработчиков. Они продолжают писать фичи, а инфраструктура автоматически ставит замок на дверь, если что-то пытается пролезть мимо. Это не магия, а дисциплина: правильные шаблоны, автоматические политики и совместная работа SecOps и Platform Engineering.
Если мы снова начнём грузить разработчиков всем подряд, мы получим саботаж не из злого умысла, а из элементарной потребности успеть. Лучше инвестировать в платформу, которая делает безопасное — лёгким по умолчанию.