DevSecOps : What, Why and How
На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.
Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058
#bestpractice #dev #ops
На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.
Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058
#bestpractice #dev #ops
RSA Conference 2020 - AppSec
Собрал все самое интересное с RSA Conference 2020 по выстраиванию безопасного DevOps. Некоторым тезисам планирую посвятить отдельные посты
The Impact of Software Security Practice Adoption Quantified
- ребята из Comcast написали свой фреймворк Greenhouse для визуалиции лучших практик DevSecOps и оценки степени зрелости команд. В конце презентации они рассказывают, какие практики несут наибольшую пользу для снижения рисков, а что несет только вред
DevSecOps State of the Union - Clint Gibler проанализировал кучу источников, чтобы собрать все лучшие практики в одной презентации. В конце то, от чего стоит отказаться для оптимизации времени на AppSec.
Dude, You’re Getting a Dell: Organizational Culture Shift to SDL Maturity - опыт выстраивания культуры безопасной разработки на примере огромного Dell: используемые фреймворки, выстраивание Security Champion Program и 10 ключевых шагов
Using the Hacker Persona to Build Your DevSecOps Pipeline
- про уязвимые места в DevOps пайплане для нанесения вреда инсайдерами, неосторожными разработчиками и APT, каким образом можно выявить нарушителей зная их поведение, архетипы и мотивации
#bestpractice #dev #ops
Собрал все самое интересное с RSA Conference 2020 по выстраиванию безопасного DevOps. Некоторым тезисам планирую посвятить отдельные посты
The Impact of Software Security Practice Adoption Quantified
- ребята из Comcast написали свой фреймворк Greenhouse для визуалиции лучших практик DevSecOps и оценки степени зрелости команд. В конце презентации они рассказывают, какие практики несут наибольшую пользу для снижения рисков, а что несет только вред
DevSecOps State of the Union - Clint Gibler проанализировал кучу источников, чтобы собрать все лучшие практики в одной презентации. В конце то, от чего стоит отказаться для оптимизации времени на AppSec.
Dude, You’re Getting a Dell: Organizational Culture Shift to SDL Maturity - опыт выстраивания культуры безопасной разработки на примере огромного Dell: используемые фреймворки, выстраивание Security Champion Program и 10 ключевых шагов
Using the Hacker Persona to Build Your DevSecOps Pipeline
- про уязвимые места в DevOps пайплане для нанесения вреда инсайдерами, неосторожными разработчиками и APT, каким образом можно выявить нарушителей зная их поведение, архетипы и мотивации
#bestpractice #dev #ops
YouTube
The Impact of Software Security Practice Adoption Quantified
Larry Maccherone, DevSecOps Transformation, Comcast
This talk will present research quantifying the impact that various software security practices have on security risk outcomes. Comcast has correlated practices like secure coding training, threat modeling…
This talk will present research quantifying the impact that various software security practices have on security risk outcomes. Comcast has correlated practices like secure coding training, threat modeling…
F5Day_devsecops_waf.pdf
2.1 MB
Shift WAF left
F5 Days - конференция, которая проходит под эгидой F5 Networks, на которой наш ведущий инженер Александр Бутенко должен был выступать с докладом по встраиванию F5 в CI/CD на этапах тестов. К сожалению, так получилось, что конференция была отменена из-за небезызвестного вируса. Я решил, что материалу надо дать шанс на ознакомление, поэтому прикладываю его к посту.
Основные тезисы:
- прорабатываем и публикуем политики защиты WAF на этапах test фокус-группами или специалистами ИБ
- формируем эффективные политики за счет усечения фокус-группами веб-запросов, генерируемых dev-тестами + обучение WAF
#WAF #bestpractice #dev #ops
F5 Days - конференция, которая проходит под эгидой F5 Networks, на которой наш ведущий инженер Александр Бутенко должен был выступать с докладом по встраиванию F5 в CI/CD на этапах тестов. К сожалению, так получилось, что конференция была отменена из-за небезызвестного вируса. Я решил, что материалу надо дать шанс на ознакомление, поэтому прикладываю его к посту.
Основные тезисы:
- прорабатываем и публикуем политики защиты WAF на этапах test фокус-группами или специалистами ИБ
- формируем эффективные политики за счет усечения фокус-группами веб-запросов, генерируемых dev-тестами + обучение WAF
#WAF #bestpractice #dev #ops
SAMM v2
Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?
Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.
Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео
#bestpractice #checklist #dev #ops
Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?
Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.
Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео
#bestpractice #checklist #dev #ops
owaspsamm.org
OWASP SAMM version 2 - public release
After three years of preparation, our SAMM project team has delivered version 2 of SAMM! OWASP SAMM (Software Assurance Maturity Model) is the OWASP framework to help organizations assess, formulate, and implement, through our self-assessment model, a strategy…
BSIMM
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.
Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.
В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.
#bsimm #bestpractice #checklist #dev #ops
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.
Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.
В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.
#bsimm #bestpractice #checklist #dev #ops
Политики безопасности AppSec и отслеживание метрик.
В продолжении к переводу о ведении политики безопасности приложений. Стивен Гейтс из Checkmarx пишет о том, что должна включать политика безопасности.
https://securityboulevard.com/2020/03/discussing-appsec-policies-within-devsecops/
В частности он упоминает важность формализации того, как необходимо управлять и отслеживать показатели эффективности (KPI). Частью KPI является знание того, какие области нуждаются в улучшении, а какие нет. Это позволяет организациям определить, соблюдается ли политика AppSec.
Вспомнил доклад Юрия Шабалина и Антона Башарина с OFFZONE 2018 про безопасность как код. Там, в частности, они довольно наглядно рассказывают про метрики безопасности, о том какие инструменты могут помочь команде разработке и как их эффективно использовать.
https://youtu.be/wfHJyqhTW1o
#bestpractice #ops
В продолжении к переводу о ведении политики безопасности приложений. Стивен Гейтс из Checkmarx пишет о том, что должна включать политика безопасности.
https://securityboulevard.com/2020/03/discussing-appsec-policies-within-devsecops/
В частности он упоминает важность формализации того, как необходимо управлять и отслеживать показатели эффективности (KPI). Частью KPI является знание того, какие области нуждаются в улучшении, а какие нет. Это позволяет организациям определить, соблюдается ли политика AppSec.
Вспомнил доклад Юрия Шабалина и Антона Башарина с OFFZONE 2018 про безопасность как код. Там, в частности, они довольно наглядно рассказывают про метрики безопасности, о том какие инструменты могут помочь команде разработке и как их эффективно использовать.
https://youtu.be/wfHJyqhTW1o
#bestpractice #ops
Telegram
DevSecOps Wine
Обеспечение соответствия и ведение политик (BSIMM - Governance, Compliance & Policy)
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо…
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо…
ebook_An_Integrated_Approach_to_Embedding_Security_into_DevOps_A.pdf
1.3 MB
An Integrated Approach to Embedding Security into DevOps
А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.
#bestpractice #dev
А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.
#bestpractice #dev
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
GitGuardian Blog - Take Control of Your Secrets Security
How to Avoid Security Risks After Leaking Credentials and API Keys on GitHub
If you have discovered that you have just exposed a sensitive file or secrets to a public git repository, there are some very important steps to follow.
Bug Bounty - how to
Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.
Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов
How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.
#bestpractice #dev #ops #attack
Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.
Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов
How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.
#bestpractice #dev #ops #attack
The GitHub Blog
Six years of the GitHub Security Bug Bounty program
Learn more about the Bug Bounty program, including a recap of 2019’s bugs, our expanded scope, new features, and more.
Top 10 security items to improve in your AWS account
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice #ops
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice #ops
DoD_Enterprise_DevSecOps_Reference_Design_v1_0_Public_Release.pdf
2.5 MB
DoD Enterprise DevSecOps
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice #dev #ops
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice #dev #ops
What I Learned Watching All 44 AppSec Cali 2019 Talks
Clint Gibler, директор по исследованиям NCC Group, посмотрел абсолютно все видео с AppSec Cali 2019 и написал большой пост по самым интересным для него темам. Все это подкреплено ссылками на видео и слайды источников. Очень много материала по выстраиванию процессов, а также упоминание различных фреймворков, что заслуживает внимания.
https://tldrsec.com/blog/appsec-cali-2019/
#bestpractice #talks #dev #ops
Clint Gibler, директор по исследованиям NCC Group, посмотрел абсолютно все видео с AppSec Cali 2019 и написал большой пост по самым интересным для него темам. Все это подкреплено ссылками на видео и слайды источников. Очень много материала по выстраиванию процессов, а также упоминание различных фреймворков, что заслуживает внимания.
https://tldrsec.com/blog/appsec-cali-2019/
#bestpractice #talks #dev #ops
DevSecOps Reference Architecture.pdf
4.2 MB
DevSecOps Reference Architecture.
Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.
#bestpractice #dev #ops
Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.
#bestpractice #dev #ops
OWASP ASVS - Application Security Verification Standard
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
Metrics, KPIs, and Application Security
Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.
Максим поделился довольно интересной статьей от HP -
"Magic Numbers . 5 Key Performance Indicators for Web Application Security"
Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).
#bestpractice #ops #dev
Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.
Максим поделился довольно интересной статьей от HP -
"Magic Numbers . 5 Key Performance Indicators for Web Application Security"
Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).
WRT = [X(critical)*defects + X(high)*defects + X(medium)*defects + X(low)*defects]* Criticality(business)
Где critical/high/medium/low - метрики CVSS, а Criticality - коэффициент критичностти приложения для бизнеса. Метрики CVSS можно получить из результатов сканирования или дефект-трекера. Складывая WRT всех приложений и определяя ее граничное значение можно обозначить порог, при котором имеет смысл отправить алерт.#bestpractice #ops #dev
OAuth: Security
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
DevSecOps & Swordfish Security
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Swordfish Security.
Swordfish Security
Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки, позволяющий выявлять уязвимости, оперативно устранять проблемы и выпускать надежно защищенные продукты.
Awesome DevSecOps
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Secure Development Guidelines
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev