DevSecOps : What, Why and How
На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.
Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058
#bestpractice #dev #ops
На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.
Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058
#bestpractice #dev #ops
SLSA provenance и кое-что еще
Так как канал исторически носит название "DevSecOps", самое время вспомнить то, что было активно обсуждаемым в 2021 году — SLSA. Недавно мы наткнулись на репозиторий s3cme — тестовое приложение на Go, в котором реализованы следующие лучшие практики:
- Сканирование с помощью Trivy
- Сканирование с помощью CodeQL
- Сборка и публикация образа с использованием ko (включает генерацию SBOM)
- Сканирование уязвимостей образа с использованием trivy с параметром проверки максимальной серьезности
- Подпись образа и аттестация с использованием cosign
- Генерация происхождения (provenance) SLSA с помощью slsa-framework/slsa-github-generator
- Проверка происхождения SLSA с использованием slsa-framework/slsa-verifier и CUE политики через cosign.
Напомним, что такое provenance. Всякий раз, когда образ публикуется в реестр, к этому образу прикрепляется аттестация в виде файла SLSA provenance (v0.2). Это позволяет отследить этот образ вплоть до его исходного кода в репозитории (включая GitHub Actions, которые использовались для его создания). Способность обеспечивать такую проверяемую прослеживаемость называется как раз происхождением (provenance). Делать это наибходимо с той целью, чтобы убедиться, что конечный доставляемый артефакт нигде не изменился по пути прохождения цепочки поставок, включая CI/CD. Отследить это можно либо вручную с помощью cosign, либо сразу в кластере с помощью sigstore admission controller.
Вот ссылка на наш старый пост с описанием фреймворка SLSA с действующими ссылками. Сейчас, спустя три года, можно с уверенностью сказать, что сообщество обогатилось конкретной реализацией некогда абстрактной теории, предложенной Google (к вопросу вечного холивара теоретиков и практиков - по-настоящему хорошо работает только синтез 😊 ).
А вот, например, автор из GitHub рассказывают про фичу GitHub по аттестации артефактов, которая упрощает подписание кода для программного обеспечения, созданного в GitHub Actions, и помогает достичь соответствия уровню 2 SLSA. Provenance включает информацию о происхождении, такую как данные о репозитории, инструкции по сборке и SHA исходного кода, делая процесс "голеньким и прозрачненьким".
А как вы решаете эти задачи, и дошли ли до их решения в своих пайпах?
#slsa #supplychain #devsecops
Так как канал исторически носит название "DevSecOps", самое время вспомнить то, что было активно обсуждаемым в 2021 году — SLSA. Недавно мы наткнулись на репозиторий s3cme — тестовое приложение на Go, в котором реализованы следующие лучшие практики:
- Сканирование с помощью Trivy
- Сканирование с помощью CodeQL
- Сборка и публикация образа с использованием ko (включает генерацию SBOM)
- Сканирование уязвимостей образа с использованием trivy с параметром проверки максимальной серьезности
- Подпись образа и аттестация с использованием cosign
- Генерация происхождения (provenance) SLSA с помощью slsa-framework/slsa-github-generator
- Проверка происхождения SLSA с использованием slsa-framework/slsa-verifier и CUE политики через cosign.
Напомним, что такое provenance. Всякий раз, когда образ публикуется в реестр, к этому образу прикрепляется аттестация в виде файла SLSA provenance (v0.2). Это позволяет отследить этот образ вплоть до его исходного кода в репозитории (включая GitHub Actions, которые использовались для его создания). Способность обеспечивать такую проверяемую прослеживаемость называется как раз происхождением (provenance). Делать это наибходимо с той целью, чтобы убедиться, что конечный доставляемый артефакт нигде не изменился по пути прохождения цепочки поставок, включая CI/CD. Отследить это можно либо вручную с помощью cosign, либо сразу в кластере с помощью sigstore admission controller.
Вот ссылка на наш старый пост с описанием фреймворка SLSA с действующими ссылками. Сейчас, спустя три года, можно с уверенностью сказать, что сообщество обогатилось конкретной реализацией некогда абстрактной теории, предложенной Google (к вопросу вечного холивара теоретиков и практиков - по-настоящему хорошо работает только синтез 😊 ).
А вот, например, автор из GitHub рассказывают про фичу GitHub по аттестации артефактов, которая упрощает подписание кода для программного обеспечения, созданного в GitHub Actions, и помогает достичь соответствия уровню 2 SLSA. Provenance включает информацию о происхождении, такую как данные о репозитории, инструкции по сборке и SHA исходного кода, делая процесс "голеньким и прозрачненьким".
А как вы решаете эти задачи, и дошли ли до их решения в своих пайпах?
#slsa #supplychain #devsecops
GitHub
GitHub - mchmarny/s3cme: Template Go app repo with local test/lint/build/vulnerability check workflow, and on tag image test/build/release…
Template Go app repo with local test/lint/build/vulnerability check workflow, and on tag image test/build/release pipelines, with ko generative SBOM, cosign attestation, and SLSA build provenance -...
👍11❤2🔥1
Forwarded from RAD COP
Если вы давно не виделись с командой РАД КОП и хотели бы пообщаться с нами лично, то этот пост для вас 🕵♂️
Встречаемся на конференции АБИСС!
8 октября наша команда будет участвовать в ежегодной конференции ассоциации АБИСС.
Эксперты Александр Осипов и Владимир Алферов выступят в роли спикера и модератора на двух сессиях.
⚪ Сессия 5: «Информационная безопасность финансовых организаций»
Спикер: Александр Осипов, руководитель направления комплаенса и методологии, ведущий эксперт ПК «РАД КОП»
Тема: «Системный подход и трансформация ИБ из статьи расходов в фактор ценности»
Александр расскажет, как выстроить ИБ-функцию, которая не тратит ресурсы компании впустую и не создает убытки, а реально увеличивает ценность бизнеса, обеспечивая устойчивость и доверие.
⚪ Сессия 6: «Разработка безопасного ПО»
Модератор: Владимир Алферов, руководитель направления безопасности приложений ПК «РАД КОП».
Эта сессия обещает быть насыщенной, вместе с экспертами обсудим:
А в конце сессии вместе с докладчиками и приглашенным гостем председателем ПК «РАД КОП» Рустамом Гусейновым обсудим эффект синергии людей, процессов и технологий в области безопасной разработки ПО🤝
Ждем встречи с вами, чтобы поделиться лучшими практиками и пообщаться вживую❤️
#АБИСС #DevSecOps
Встречаемся на конференции АБИСС!
8 октября наша команда будет участвовать в ежегодной конференции ассоциации АБИСС.
Эксперты Александр Осипов и Владимир Алферов выступят в роли спикера и модератора на двух сессиях.
Спикер: Александр Осипов, руководитель направления комплаенса и методологии, ведущий эксперт ПК «РАД КОП»
Тема: «Системный подход и трансформация ИБ из статьи расходов в фактор ценности»
Александр расскажет, как выстроить ИБ-функцию, которая не тратит ресурсы компании впустую и не создает убытки, а реально увеличивает ценность бизнеса, обеспечивая устойчивость и доверие.
Модератор: Владимир Алферов, руководитель направления безопасности приложений ПК «РАД КОП».
Эта сессия обещает быть насыщенной, вместе с экспертами обсудим:
🔗 Требования приказа ФСТЭК № 117 — практические шаги внедрения процессов РБПО
Башарина Екатерина, руководитель группы аудита и стратегии, Swordfish Security🔗 Практико-ориентированный подход в обучении специалистов безопасной разработки
Насонов Виталий, начальник отдела безопасной разработки, ООО «СИГМА»🔗 Возможен ли Sec между Dev и Ops?
Васин Александр, начальник управления комплексной защиты информации, ПАО «МКБ»🔗 Бизнес-прозрачность безопасности приложений через метрики и автоматизацию
Султанов Денис, руководитель направления безопасности приложений, Компания БКС
А в конце сессии вместе с докладчиками и приглашенным гостем председателем ПК «РАД КОП» Рустамом Гусейновым обсудим эффект синергии людей, процессов и технологий в области безопасной разработки ПО
Ждем встречи с вами, чтобы поделиться лучшими практиками и пообщаться вживую
#АБИСС #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥3👏1🙏1🤡1