Jak PrivatBank vybudovala bezpečné prostředí pro tisíce vývojářů s pomocí GitLabu a Cloudfresh

PrivatBank patří mezi největší banky ve východní Evropě a zároveň i mezi největší IT organizace na Ukrajině.

Více než 80 % softwaru používaného uvnitř banky i jejími klienty vyvíjejí interní týmy. Zároveň musí banka splňovat velmi vysoké nároky na bezpečnost, compliance, stabilitu a kontrolu změn. Proto hledala platformu, která by umožnila standardizovat vývoj napříč celou organizací.

Dříve byly nástroje roztříštěné: Jenkins se využíval pro CI, kód byl spravován v jiných systémech a procesy probíhaly napříč různými nástroji. To vedlo k řadě problémů:

• Сhybějící jednotné prostředí
• Nekonzistentní standardy vývoje
• Nízká transparentnost

Proto banka začala postupně přecházet na jednotnou DevSecOps platformu.

Proč GitLab

Během posledních 1,5–2 let byl GitLab zaveden jako standardní vývojová platforma banky. Nejde přitom jen o ukládání kódu — GitLab se stal základem pro řízení projektů, CI/CD, bezpečnost kódu, kontrolu změn, audit i compliance.

V PrivatBank se GitLab stal jádrem DevSecOps přístupu.

Dev: standardizovaný vývoj a jednotný workflow

Pro PrivatBank nebylo klíčové pouze ukládání kódu, ale především vytvoření jednotného přístupu k vývoji napříč celou organizací.

Když ve společnosti pracují stovky inženýrů a desítky týmů, i malé rozdíly v procesech mohou způsobit chaos: různé nástroje, různá pravidla pro práci s kódem a odlišné přístupy k revizím. Proto banka začala používat GitLab jako jedinou platformu, která integruje všechny klíčové fáze práce s kódem:

Výsledkem je, že vývojář má celý vývojový cyklus k dispozici v jednom prostředí — od prvního commitu až po nasazení do produkce.

Code review jako standard inženýrské kultury

Jednou z klíčových změn bylo, že se GitLab stal základem interního standardu vývoje v bance.

Každá změna v kódu prochází přes workflow merge requestů. Jakmile vývojář vytvoří merge request, ostatní inženýři změny kontrolují. V rámci code review může tým:

• Kontrolovat soulad se standardy kódu
• Upozornit na potenciální problémy
• Navrhovat lepší architektonická řešení
• Ujistit se, že kód splňuje bezpečnostní požadavky

Celá historie změn je uchována v systému, takže je kdykoli možné dohledat, jak se kód vyvíjel a proč byla přijata konkrétní rozhodnutí.

Pro velkou organizaci je to zásadní — GitLab zajišťuje transparentní a automatizovaný proces review i pro distribuované týmy. Code review se tak stává důležitým nástrojem pro zvyšování kvality kódu.

Flexibilita vývoje v měřítku banky

Dalším důležitým aspektem pro PrivatBank je schopnost pracovat paralelně na různých typech úloh.

Vedle dlouhodobých projektů je v bankovním prostředí často nutné rychle implementovat urgentní změny — například nové regulatorní požadavky. Proto týmy aktivně využívají flexibilní model práce s větvemi (branching model).

To umožňuje současně řešit:

• Dlouhodobý funkční vývoj
• Kritické urgentní opravy
• Experimentální nebo výzkumné projekty

V praxi to znamená, že tým může vytvořit samostatnou větev pro urgentní změnu, implementovat ji a nasadit do produkce, aniž by bylo nutné zastavit práci na rozsáhlejších projektech

Infrastructure-as-Code a srozumitelná architektura

Dalším klíčovým principem je popis infrastruktury společně s kódem (Infrastructure as Code). Tento přístup umožňuje týmům pracovat se systémem jako s jedním celkem, nikoli jen s izolovanými částmi kódu.

Když se k týmu připojí nový inženýr, získá kompletní kontext systému:

• Dokumentovaný kód
• Popsanou architekturu
• Přehlednou strukturu komponent

To výrazně zjednodušuje onboarding a umožňuje rychlejší zapojení do projektu.

GitLab navíc umožňuje spouštět samostatné větve pro testování změn. Vývojář tak může změny nasadit ve vlastním prostředí a okamžitě vidět výsledek — bez nutnosti čekat na společný build celého systému.

Pro organizaci velikosti PrivatBank to znamená výrazné zkrácení času mezi vývojem a ověřením nových funkcí.

Sec: Bezpečnost jako součást vývojového procesu

Pro finanční instituce nemůže být bezpečnost jen posledním krokem v řadě — musí být pevnou součástí samotného vývoje. V PrivatBank běží bezpečnostní nástroje automaticky přímo v pipeline ještě předtím, než se změny dostanou do hlavního repozitáře.

PrivatBank využívá tyto bezpečnostní mechanismy GitLabu:

• SAST — analýza zdrojového kódu a hledání zranitelností
• Dependency Scanning — kontrola knihoven třetích stran
• Vulnerability Scanning — identifikace známých rizik v závislostech

Tyto kontroly probíhají přímo v rámci CI/CD pipeline, což týmu umožňuje odhalit problémy dříve, než se kód vůbec dostane do testovacího prostředí.

Díky dřívější integraci bezpečnostních prověrek získávají inženýři zpětnou vazbu už během psaní kódu. Pokud knihovna obsahuje zranitelnost, systém vývojáře upozorní okamžitě, čímž odpadá nutnost opravovat kód v pozdních fázích projektu.

Tato změna zásadně proměňuje životní cyklus vývoje. Dříve pracovní postup vypadal následovně:

1. Vývojář napíše kód.
2. Provede commit.
3. Spustí se proces sestavení (build).
4. Proběhnou kontroly bezpečnosti a dodržování pravidel.
5. Systém detekuje chybu.
6. Vývojář musí kód přepsat a celý cyklus spustit znovu.

Nyní je mnoho těchto repetitivních kroků minulostí. Inženýři identifikují problémy okamžitě a řeší je přímo při práci na kódu, což zvyšuje celkovou efektivitu.

Banka odhaduje, že tento přístup eliminoval řadu nadbytečných ověřovacích fází a ušetřil 15–25 % času, který dříve tyto cykly pohlcovaly. Hlavním přínosem je však kvalita kódu. Když je bezpečnost součástí workflow, inženýři přirozeně tvoří kód, který splňuje firemní standardy. Již od začátku počítají s bezpečnostními požadavky, interními normami i architektonickými pravidly. Výsledkem je kód, který hned na první pokus plně odpovídá vnitřním předpisům.

Tento posun přináší několik klíčových výsledků:

Kontrola open source a licencí

Dalším důležitým aspektem je řízení open-source komponent.

Různé typy licencí mohou představovat významná rizika:

• Povinnost zveřejnit vlastní zdrojový kód
• Právní konflikty
• Finanční sankce nebo reputační dopady

Pro organizaci velikosti PrivatBank je manuální kontrola těchto rizik prakticky nemožná, proto byl celý proces automatizován pomocí GitLabu.

V rámci CI/CD pipeline systém generuje Software Bill of Materials (SBOM) — kompletní seznam komponent použitých v aplikaci — podle standardů CycloneDX a SPDX.
Na základě těchto informací tým banky stanoví vlastní zásady pro používání open-source softwaru.

Na základě těchto dat systém automaticky:

• Identifikuje licence jednotlivých závislostí
• Kontroluje jejich soulad s interními pravidly
• Upozorňuje vývojáře na případná porušení

Pokud nová knihovna nevyhovuje nastaveným politikám, vývojář je upozorněn přímo v rámci merge requestu a může buď požádat o schválení, nebo zvolit jinou alternativu.

Kontrola licencí se tak stává přirozenou součástí vývojového workflow, nikoli samostatným procesem.

Transparentnost změn a audit

Pro finanční instituci je kontrola změn v kódu stejně důležitá jako samotný vývoj. Jakákoliv úprava musí být dohledatelná a srozumitelná.

Proto PrivatBank využívá mechanismy GitLabu pro správu politik a řízení přístupu, které regulují celý proces provádění změn.

Konkrétně tým nakonfiguroval:

• Politiky schvalování pro kritické změny
• Povinné revize merge requestů
• Omezení commitů pro určité role
• Úplný auditní záznam všech změn

To znamená, že banka dokáže v libovolném okamžiku odpovědět na tři klíčové otázky: kdo změnu v kódu provedl, kdo ji zkontroloval a schválil a proč se dostala do finálního vydání.

Pro velkou finanční organizaci je taková transparentnost naprosto zásadní. Umožňuje rychlé interní audity, analýzu incidentů a zajištění souladu s regulatorními požadavky.

Výsledkem je, že bezpečnost přestává být oddělenou funkcí nebo procesem řízeným pouze specifickým týmem. Stává se nedílnou součástí každodenní práce inženýrů, integrovanou přímo do vývojové platformy.

Ops: Kontrolované dodávání změn

V prostředí, kde desítky týmů denně upravují stovky systémů, je samotné napsání kódu jen polovina práce. Stejně důležité je, jakým způsobem se tento kód dostává do produkce. Každá změna musí projít jasně definovanou a kontrolovanou cestou — od commitu až po nasazení.

Po zavedení GitLabu jako standardní vývojové platformy banka nastavila interní pravidla pro práci s CI/CD. Vznikly i specifické směrnice, které definují, jak mají být pipeline navrhovány a jak mají týmy pracovat s dodáváním kódu.

Většina projektů dnes využívá GitLab CI/CD jako hlavní nástroj automatizace, což umožnilo sjednotit procesy buildů, testování i nasazování napříč týmy.

Pipeline přitom zůstávají dostatečně flexibilní, aby reflektovaly specifika jednotlivých systémů. Banka do nich integruje nejen standardní funkce GitLabu, ale i vlastní nástroje pro kontrolu kvality a bezpečnosti.

Typicky jde například o:

• Interní bezpečnostní nástroje
• Vlastní SAST skenery
• Kontroly souladu s technologickými standardy banky

Tento přístup umožňuje propojit automatizaci GitLabu s interními kontrolními mechanismy

Práce s legacy systémy

Významnou výzvou pro velkou finanční instituci je práce s legacy systémy.

Mnohé z nich vznikly ještě před nástupem moderních DevOps přístupů a jejich plná transformace by byla časově i finančně náročná. PrivatBank proto využila flexibilitu GitLabu k jejich postupné integraci do CI/CD procesů.

I v případech, kdy některé kroky zůstávají částečně manuální, umožňuje GitLab vybudovat kolem těchto systémů kontrolované pipeline. Díky tomu:

• Všechny změny procházejí jednotným procesem
• Výsledky kontrol jsou ukládány v systému
• Historie release zůstává transparentní

Postupně se tak i starší systémy stávají součástí jednotného inženýrského prostředí.

Méně manuální práce, více kontroly

Hlavní přínos CI/CD v PrivatBank nespočívá pouze ve zrychlení release cyklů, ale především ve zvýšení kontroly a předvídatelnosti celého procesu.

Automatizované pipeline zajišťují, že každá změna prochází stejnými kroky, což minimalizuje riziko chyb a zvyšuje stabilitu nasazování.

Ve spojení s principy Dev a Sec tak vzniká jednotný model:

• Kód prochází standardizovaným code review
• Automaticky se kontroluje na zranitelnosti
• Je nasazován prostřednictvím řízeného pipeline

GitLab tak umožnil PrivatBank vybudovat plnohodnotný DevSecOps přístup, kde vývoj, bezpečnost i provoz fungují jako jeden celek

Kvalita kódu jako hlavní metrika úspěchu

V PrivatBanku nehodnotí výsledky zavedení GitLabu na základě jednotlivých ukazatelů rychlosti, ale podle toho, jaký kód organizace v konečném důsledku získá.

Tento přístup mění nejen technické procesy, ale i fungování týmů. Inženýři tráví méně času řešením problémů v produkci a více se věnují rozvoji produktů.

Zároveň se výrazně zjednodušuje onboarding nových vývojářů — díky strukturovanému, dokumentovanému a standardizovaně kontrolovanému kódu.

Měřítko inženýrské organizace

Aby bylo možné pochopit, proč je standardizace procesů tak důležitá, stačí se podívat na rozsah vývoje v PrivatBank. GitLab se zde využívá pro práci na stovkách systémů a tisících komponent.

Konkrétně jde například o:

• 700+ interních a externích platforem
• 1 000 vývojářů pracujících současně
• Desítky týmů fungujících v režimu 24/7

Tento rozsah je patrný nejen na úrovni celé organizace, ale i v každodenním provozu platformy. Jen za poslední dva měsíce bylo v prostředí GitLabu zaznamenáno:

V takovém měřítku se jakákoli absence standardů velmi rychle mění v zásadní problém. Právě proto se centralizace vývojových procesů stala jedním z klíčových faktorů úspěchu.

Stabilita platformy

GitLab je v PrivatBank provozován v self-hosted prostředí, což umožňuje plnou kontrolu nad infrastrukturou a splnění přísných bezpečnostních požadavků finanční instituce.

Podle týmu banky platforma vykazuje mimořádně vysokou stabilitu:

Pro organizaci, kde tisíce inženýrů denně pracují s kódem, je taková spolehlivost naprosto zásadní. Umožňuje týmům soustředit se na rozvoj produktů místo řešení infrastrukturních problémů

Partnerství s Cloudfresh

Přechod na komerční verzi GitLabu proběhl ve spolupráci s Cloudfresh, oficiálním partnerem GitLabu v Česko.

Tým Cloudfresh poskytuje bance podporu v několika klíčových oblastech: od licencování platformy až po podporu technických týmů při škálování procesů DevSecOps.

Spolupráce pokrývá několik klíčových oblastí:

• Konzultace v oblasti licencování a optimálního využití platformy
• Technickou expertízu při zavádění nových funkcí (např. Duo Agent Platform)
• Podporu inženýrských týmů při práci s GitLabem
• Pomoc při řešení technických problémů

Pro velkou organizaci, kde s platformou denně pracují tisíce inženýrů, je důležité mít přístup k odborným znalostem a rychlé podpoře.

Tento formát spolupráce umožňuje PrivatBanku nejen udržovat stabilní chod platformy, ale také postupně rozšiřovat její využití. Společně s Cloudfresh tým banky testuje nové funkce GitLabu a zavádí je do svých inženýrských procesů.

AI přístup k vývoji

Další fází rozvoje platformy je integrace AI nástrojů do vývojového procesu. Tým již testuje nová vývojová prostředí (IDE) a AI agenty a zároveň experimentuje s možnostmi GitLab Duo Agent Platform.

Mezi hlavní oblasti potenciálního využití patří:

• Automatická kontrola kvality kódu
• Analýza dodržování standardů technologického stacku
• Optimalizace CI/CD procesů
• Podpora vývojářů při psaní kódu.

Zatím se tyto možnosti využívají v pilotních projektech, ale tým banky aktivně zkoumá, jak integrovat umělou inteligenci do každodenního pracovního postupu vývojářů.

Díky tomu se GitLab pro PrivatBank stal více než jen systémem pro ukládání kódu. Platforma spojila vývoj, bezpečnost a provozní procesy do jednotného inženýrského systému, který umožňuje další škálování jedné z největších finančních organizací v zemi.