https://cyberforge.agency/blog Bezpieczeństwo pipeline CI/CD, regulacje DORA i NIS2, narzędzia DevSecOps — pisane dla CTO i inżynierów. pl Wed, 25 Mar 2026 15:05:30 GMT https://cyberforge.agency/og-image.png https://cyberforge.agency https://cyberforge.agency/posts/policy-as-code-opa https://cyberforge.agency/posts/policy-as-code-opa Polityka bezpieczeństwa w Wordzie nie blokuje niezgodnego deploymentu. Policy-as-Code z OPA zamienia deklaracje w automatyczne egzekwowanie. Wed, 18 Mar 2026 00:00:00 GMT Narzędzia [email protected] (Szymon Mytych) https://cyberforge.agency/posts/co-to-jest-zero-trust-w-devsecops https://cyberforge.agency/posts/co-to-jest-zero-trust-w-devsecops Zero Trust to nie produkt do kupienia — to architektura. 3 zasady, praktyczne wdrożenie w pipeline CI/CD i model dojrzałości organizacji. Tue, 17 Mar 2026 00:00:00 GMT Podstawy [email protected] (Szymon Mytych) https://cyberforge.agency/posts/devsecops-bez-spowalniania-zespolu https://cyberforge.agency/posts/devsecops-bez-spowalniania-zespolu DevSecOps spowalnia zespół? Problem nie w idei, a we wdrożeniu. 3 dysfunkcje które zabijają produktywność i jak je naprawić bez kompromisów. Mon, 16 Mar 2026 00:00:00 GMT Praktyka [email protected] (Szymon Mytych) https://cyberforge.agency/posts/ankieta-bezpieczenstwa-enterprise https://cyberforge.agency/posts/ankieta-bezpieczenstwa-enterprise Ankieta VRA blokuje kontrakt Enterprise. Co analitycy sprawdzają, czego szukają w odpowiedziach i dlaczego brak dokumentacji jest gorszy niż luka. Sun, 15 Mar 2026 00:00:00 GMT Biznes [email protected] (Michał Jaśniewski) https://cyberforge.agency/posts/oidc-zamiast-tokenow https://cyberforge.agency/posts/oidc-zamiast-tokenow Statyczne tokeny w pipeline to tykająca bomba. Jeden wyciek = nieograniczony dostęp. Jak OIDC eliminuje ten problem w AWS, Azure i GCP. Sat, 14 Mar 2026 00:00:00 GMT Bezpieczeństwo [email protected] (Szymon Mytych) https://cyberforge.agency/posts/koszt-wycieku-danych-cicd https://cyberforge.agency/posts/koszt-wycieku-danych-cicd IBM: średni koszt naruszenia to $4.88M. Ale prawdziwy koszt dla firmy sprzedającej do Enterprise to utracone kontrakty. Analiza składników kosztu. Fri, 13 Mar 2026 00:00:00 GMT Biznes [email protected] (Michał Jaśniewski) https://cyberforge.agency/posts/github-actions-bledy-konfiguracji https://cyberforge.agency/posts/github-actions-bledy-konfiguracji 10 błędów bezpieczeństwa GitHub Actions które widzimy w każdym audycie. GITHUB_TOKEN z write, brak pinningu SHA, sekrety w logach — i jak naprawić. Thu, 12 Mar 2026 00:00:00 GMT Praktyka [email protected] (Szymon Mytych) https://cyberforge.agency/posts/evidence-pack-co-to-jest https://cyberforge.agency/posts/evidence-pack-co-to-jest Evidence Pack to automatyczne dowody bezpieczeństwa z pipeline: SBOM, provenance, podpisy, logi. Dlaczego audytor go chce i jak go wygenerować. Wed, 11 Mar 2026 00:00:00 GMT Podstawy [email protected] (Szymon Mytych) https://cyberforge.agency/posts/sbom-co-to-jak-generowac https://cyberforge.agency/posts/sbom-co-to-jak-generowac SBOM staje się wymogiem rynkowym — NIS2, DORA i klienci Enterprise żądają listy składników. Jak generować automatycznie w pipeline CI/CD. Tue, 10 Mar 2026 00:00:00 GMT Narzędzia [email protected] (Szymon Mytych) https://cyberforge.agency/posts/soc2-wymagania-pipeline https://cyberforge.agency/posts/soc2-wymagania-pipeline SOC 2 Type II wymaga 6 miesięcy dowodów. Audytor weryfikuje pipeline CI/CD — logi, dostępy, rotację sekretów. Co musisz mieć gotowe. Mon, 09 Mar 2026 00:00:00 GMT Regulacje [email protected] (Michał Jaśniewski) https://cyberforge.agency/posts/wycieki-sekretow-github-actions https://cyberforge.agency/posts/wycieki-sekretow-github-actions Sekrety w pipeline wyciekają nie przez ataki, ale przez błędy konfiguracji. 3 mechanizmy wycieku i dlaczego klasyczne narzędzia ich nie łapią. Sun, 08 Mar 2026 00:00:00 GMT Bezpieczeństwo [email protected] (Szymon Mytych) https://cyberforge.agency/posts/vendor-risk-assessment-przewodnik https://cyberforge.agency/posts/vendor-risk-assessment-przewodnik Klient Enterprise wysyła 150 pytań o bezpieczeństwo. Co sprawdza analityk, jakie odpowiedzi są red flagą i jak przygotować dokumentację. Sat, 07 Mar 2026 00:00:00 GMT Biznes [email protected] (Michał Jaśniewski) https://cyberforge.agency/posts/podpisywanie-artefaktow-cosign https://cyberforge.agency/posts/podpisywanie-artefaktow-cosign Między buildem a produkcją artefakt może zostać podmieniony. Cosign i Sigstore dają kryptograficzny dowód, że deploy jest tym co zbudował pipeline. Fri, 06 Mar 2026 00:00:00 GMT Bezpieczeństwo [email protected] (Szymon Mytych) https://cyberforge.agency/posts/nis2-supply-chain-security https://cyberforge.agency/posts/nis2-supply-chain-security NIS2 wymaga audytu dostawców oprogramowania. Jeśli dostarczasz software do firm objętych dyrektywą — musisz udowodnić bezpieczeństwo łańcucha dostaw. Thu, 05 Mar 2026 00:00:00 GMT Regulacje [email protected] (Michał Jaśniewski) https://cyberforge.agency/posts/dora-pipeline-co-wdrozye https://cyberforge.agency/posts/dora-pipeline-co-wdrozye DORA obowiązuje od stycznia 2025. Artykuły 9 i 10 wymagają bezpieczeństwa systemów ICT. Co to oznacza dla pipeline CI/CD i jak się przygotować. Wed, 04 Mar 2026 00:00:00 GMT Regulacje [email protected] (Michał Jaśniewski) https://cyberforge.agency/posts/hardening-cicd-co-to-jest https://cyberforge.agency/posts/hardening-cicd-co-to-jest Pipeline CI/CD ma klucze do produkcji — ale jest zabezpieczony jak narzędzie deweloperskie. Czym jest hardening i dlaczego firmy go ignorują. Tue, 03 Mar 2026 00:00:00 GMT Podstawy [email protected] (Szymon Mytych)