Безопасность
Безопасность по умолчанию, не по случаю
RBAC, SSO, approval-flows и аудит идут в коробке с первой инсталляции. Self-hosted-вариант поддерживает air-gapped-контуры — корпоративные данные никогда не покидают периметр.
Что внутри
SSO через Keycloak / SAML / OIDC
Без отдельной базы пользователей. Группы из realm'а становятся командами в DeckOps.
Гибкий RBAC
Права на каждый Blueprint и команду: кто читает, пишет, запускает действия. Scoped-токены для CI без полного доступа.
Approval-flows на чувствительные действия
Создание prod-ресурсов, ротация секретов, выкат — через согласование. SLA на approval и pending-таблица из коробки.
Журнал аудита
Каждое изменение сущности, запуск действия и переход скоркард фиксируются. Фильтр по пользователю/времени/blueprint — за миллисекунды.
Self-hosting и air-gapped
Helm-чарт под ваш Kubernetes. Свой Keycloak / Postgres / Redis. Полная работа без интернета.
Безопасные дефолты
Ownership-based read-access, IP allowlist и Private Link — включены, а не «опционально включаются».
Практики разработки
- Rust + типизированный API: целые классы инъекций невозможны на уровне языка.
- Зависимости проходят weekly-аудит, секреты — через Vault, не в env.
- CI/CD проверяет SAST, SBOM и lint перед каждым релизом.
- Сборки подписываются — air-gapped-инсталляции могут проверить целостность offline.
Сообщить об уязвимости
Если вы нашли уязвимость в DeckOps — напишите на security@deckops.ru. Мы отвечаем в течение 24 часов и публикуем фикс в ближайший релизный окно.
security@deckops.ru