"10 Steps Every CISO Should Take to Secure Next-Gen Software" Cindy Blake
Те самые 10 шагов:
1) Инвестиция в сканирование зависимостей, безопасности контейнеров и облачной инфраструктуры. SAST, DAST к каждому новому участку кода
2) Пересмотр безопасности. Выравнивание метрик и управление рисками. Исправление текущих уязвимостей важнее обнаружения новых
3) Инструменты и процессы обязательно должны идти рука об руку. Начните с процесса, а затем примените инструменты, которые помогут вам достичь желаемого результата.
4) Идти вширь, а не вглубь. Проверять каждом изменение на наличие распространненных уязвимостей, а не на наличие наиболее "критических"
5) Объедините рабочий процесс, применяя непрерывное сканирование безопасности с итеративной разработкой
6) Проверка на наличие уязвимостей в момент коммита, чтобы разбить работу на более мелкие и эффективные циклы сканирования
7) Автоматизация, позволяющая безопасности сосредоточиться на исключениях.
8) Примите открытый исходный код. Согласуйте цели с разработчиками. Совместите тестирование безопасности с рабочим процессом разработчика. Стандартизируйте конвейеры, код и многое другое для получения согласованных, предсказуемых результатов.
9) Применять принципы Zero-Trust к приложениям и их инфраструктуре.
10) Защитите целостность процесса разработки и доставки программного обеспечения, обеспечив надлежащий контроль аудита и бесперебойную работу по всему SDLC.
Подробности в файле следующим сообщением.
#report #checklist #dev #ops
Те самые 10 шагов:
1) Инвестиция в сканирование зависимостей, безопасности контейнеров и облачной инфраструктуры. SAST, DAST к каждому новому участку кода
2) Пересмотр безопасности. Выравнивание метрик и управление рисками. Исправление текущих уязвимостей важнее обнаружения новых
3) Инструменты и процессы обязательно должны идти рука об руку. Начните с процесса, а затем примените инструменты, которые помогут вам достичь желаемого результата.
4) Идти вширь, а не вглубь. Проверять каждом изменение на наличие распространненных уязвимостей, а не на наличие наиболее "критических"
5) Объедините рабочий процесс, применяя непрерывное сканирование безопасности с итеративной разработкой
6) Проверка на наличие уязвимостей в момент коммита, чтобы разбить работу на более мелкие и эффективные циклы сканирования
7) Автоматизация, позволяющая безопасности сосредоточиться на исключениях.
8) Примите открытый исходный код. Согласуйте цели с разработчиками. Совместите тестирование безопасности с рабочим процессом разработчика. Стандартизируйте конвейеры, код и многое другое для получения согласованных, предсказуемых результатов.
9) Применять принципы Zero-Trust к приложениям и их инфраструктуре.
10) Защитите целостность процесса разработки и доставки программного обеспечения, обеспечив надлежащий контроль аудита и бесперебойную работу по всему SDLC.
Подробности в файле следующим сообщением.
#report #checklist #dev #ops
2019 DSO Reference Architectures.pdf
135 MB
"Developers are taking over AppSec" by WhiteSource
Компания WhiteSource представила статистику по безопасности приложений на базе опроса около 600 разработчиков
Статистика охватывает следующие вопросы:
- Кто несет ответственность за безопасность приложения
- Как расставляются приоритеты относительно безопасности приложений в компаниях
- На каком этапе SDLC разработчики начинают тестировать безопасность приложения
- Про обучение безопасности разработчиков
- На что ориентируются команды при выборе бесплатных инструментов AppSec
- Какие бесплатные инструменты для AppSec используются
За ссылку спасибо @oleg_log
#report
https://www.whitesourcesoftware.com/developers-security-report/
#dev #sca
Компания WhiteSource представила статистику по безопасности приложений на базе опроса около 600 разработчиков
Статистика охватывает следующие вопросы:
- Кто несет ответственность за безопасность приложения
- Как расставляются приоритеты относительно безопасности приложений в компаниях
- На каком этапе SDLC разработчики начинают тестировать безопасность приложения
- Про обучение безопасности разработчиков
- На что ориентируются команды при выборе бесплатных инструментов AppSec
- Какие бесплатные инструменты для AppSec используются
За ссылку спасибо @oleg_log
#report
https://www.whitesourcesoftware.com/developers-security-report/
#dev #sca
Mend
Developers Security Report - Mend
The survey gathered responses from 650 developers in NA and Europe about how their organizations handle the day-to-day operational responsibility for application security from identification to remediation.
Information Security Management through Reflexive Security.pdf
315.2 KB
"Information Security
Management through
Reflexive Security" by CSA
Документ определяет понятие рефлексивной безопасности (Reflexive Security) как новый подход к управлению ИБ, основанный на принципах Agile и DevOps. Reflexive Security подчеркивает безопасность между организационными ролями, которая реагирует на внешние и внутренние угрозы гибким и динамичным способом. Reflexive Security призван стать новой стратегией управления информационной безопасностью, которая является динамичной, интерактивной, эффективной и целостной по сравнению с традиционными (СУИБ)
#law #report #dev #ops
Management through
Reflexive Security" by CSA
Документ определяет понятие рефлексивной безопасности (Reflexive Security) как новый подход к управлению ИБ, основанный на принципах Agile и DevOps. Reflexive Security подчеркивает безопасность между организационными ролями, которая реагирует на внешние и внутренние угрозы гибким и динамичным способом. Reflexive Security призван стать новой стратегией управления информационной безопасностью, которая является динамичной, интерактивной, эффективной и целостной по сравнению с традиционными (СУИБ)
#law #report #dev #ops
The State of Open Source Secuirty 2020
У WhiteSource вышел ежегодный отчет по уязвимостям, которые можно встретить в открытом исходном коде. Если коротко, то было зафиксировано примерно на 50% больше уязвимостей в 2019 году, чем в 2018. Самые популярные - XSS, некорректная проверка ввода, ошибки, связанные с буффером.
https://goo.su/0nqw
#report #dev
У WhiteSource вышел ежегодный отчет по уязвимостям, которые можно встретить в открытом исходном коде. Если коротко, то было зафиксировано примерно на 50% больше уязвимостей в 2019 году, чем в 2018. Самые популярные - XSS, некорректная проверка ввода, ошибки, связанные с буффером.
https://goo.su/0nqw
#report #dev
sooss_2020_final_v2.pdf
9.7 MB
State of Open Source Security Report 2020
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
Introducing the State of Open Source Terraform Security Report 2020
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
DSO_Community_Survey_2020_ru_.pdf
16.3 MB
DevSecOps Community Survey 2020
Swordfish Security представили перевод ежегодного отчета DevSecOps Community Survey 2020 от Sonatype на русском языке. Основная цель отчета - показать как меняется жизнь компании, в особенности разработчиков, после внедрения практик безопасной разработки.
#report #dev
Swordfish Security представили перевод ежегодного отчета DevSecOps Community Survey 2020 от Sonatype на русском языке. Основная цель отчета - показать как меняется жизнь компании, в особенности разработчиков, после внедрения практик безопасной разработки.
#report #dev
Aqua_Security_Cloud_Native_Security_Threat_Report_2020.pdf
9.8 MB
Evolution of Attacks in the Wild on Container Infrastructure 2020
Только что прилетел на почту первый отчет по Cloud Native угрозам от Aqua Security. В нем можно прочитать про современные атаки, их классификацию, этапы, статистику, описание, примеры использования MITRE Techniques. Хочется отметить, что на первый взгляд материал не является каким-то маркетинговым булшитом (как часто бывает в вендорских отчетах).
#report #ops #k8s #docker #attack
Только что прилетел на почту первый отчет по Cloud Native угрозам от Aqua Security. В нем можно прочитать про современные атаки, их классификацию, этапы, статистику, описание, примеры использования MITRE Techniques. Хочется отметить, что на первый взгляд материал не является каким-то маркетинговым булшитом (как часто бывает в вендорских отчетах).
#report #ops #k8s #docker #attack
State_of_software_security_vol_11.pdf
11.2 MB
State of Software Security
Со временем начинаю все меньше любить вендорские отчеты в виду большого колличетсва воды и минимальной ценности. Тем не менее заинтересовал последний отчет Veracode. Они проанализировали различные уязвимости с точки зрения их покрытия с помощью SAST и DAST - что из них эффективнее и при каких условиях, зависимость эффективности инструментов от частоты сканирования и способе их использования. Также рассматриваются уязвимости по степени их популярности и времени фикса.
Также в отчете отдельно рассматриваются "природные" (nature) и "приобретенные" (narture) факторы команды и то, как они влияют на безопасность приложений. К "природным" относятся масштабы организации и приложений, величины тех. долга безопасности. К "приобретенным" факторам относится все то, на что команда может повлиять, например, на частоту сканирования.
#sast #dast #sca #dev #report
Со временем начинаю все меньше любить вендорские отчеты в виду большого колличетсва воды и минимальной ценности. Тем не менее заинтересовал последний отчет Veracode. Они проанализировали различные уязвимости с точки зрения их покрытия с помощью SAST и DAST - что из них эффективнее и при каких условиях, зависимость эффективности инструментов от частоты сканирования и способе их использования. Также рассматриваются уязвимости по степени их популярности и времени фикса.
Также в отчете отдельно рассматриваются "природные" (nature) и "приобретенные" (narture) факторы команды и то, как они влияют на безопасность приложений. К "природным" относятся масштабы организации и приложений, величины тех. долга безопасности. К "приобретенным" факторам относится все то, на что команда может повлиять, например, на частоту сканирования.
#sast #dast #sca #dev #report
rep-opensource-devsecops-survey-2020.pdf
792.6 KB
DevSecOps Practices And Open Source Managent in 2020
Отчет от Synopsys по результатам опроса 1500 специалистов касательно DevSecOps и проверки open-source компонентов.
Коротко:
- 66% опрошенных внедрили практики DevSecOps, но только половина из них считает, что они достаточно зрелы и распространены на всю организацию
- 42% считают, что за DevSecOps ответственна команда ИБ, 29% - разработка, 9% - эксплуатация, 18% - ответственность распределенная
- Самые популярные средства защиты - WAF, SCA, DAST
- 72% имеют политику использования open-source
- У 51% опрошенных фикс критической уязвимости с момента ее обнаружения занимает 2-3 недели, 24% - месяц
И некоторая другая статистика в pdf.
Ну и не обошлось конечно же без рекламы Synopsys и заезженной истории про Equifax. Хотя, если верить их опросу, то 33% опрошенных стали использовать коммерческий SCA после соответствующей публикации в СМИ.
За ссылку спасибо @Mr_R1p
#dev #ops #report
Отчет от Synopsys по результатам опроса 1500 специалистов касательно DevSecOps и проверки open-source компонентов.
Коротко:
- 66% опрошенных внедрили практики DevSecOps, но только половина из них считает, что они достаточно зрелы и распространены на всю организацию
- 42% считают, что за DevSecOps ответственна команда ИБ, 29% - разработка, 9% - эксплуатация, 18% - ответственность распределенная
- Самые популярные средства защиты - WAF, SCA, DAST
- 72% имеют политику использования open-source
- У 51% опрошенных фикс критической уязвимости с момента ее обнаружения занимает 2-3 недели, 24% - месяц
И некоторая другая статистика в pdf.
Ну и не обошлось конечно же без рекламы Synopsys и заезженной истории про Equifax. Хотя, если верить их опросу, то 33% опрошенных стали использовать коммерческий SCA после соответствующей публикации в СМИ.
За ссылку спасибо @Mr_R1p
#dev #ops #report
pf-2021-container-security-and-usage-report.pdf
1.3 MB
Sysdig 2021 container security and usage report
Sysdig выпустила большой отчет об использовании контейнерных технологий и обеспечении их безопасности. Отчет формировался на базе информации от клиентов Sysdig.
Статью со сводной информацией можно прочитать здесь.
Коротко:
- 49% контейнеров живут меньше 5 минут, 21% менее 10 секунд
- 74% клиентов сканируют образы в CI/CD, при этом 58% контейнеров запускаются от рута
- Рост использования containerd и CRI-O в 2 раза за 2020 год
- 53% уязвимостей программных компонентов (библиотеки PIP, Ruby и тд) обладают высоким уровнем критичности. Для ОС-компонентов только 4% из всех уязвимостей обладают высоким уровнем критичности.
- Рост использования Falco в 3 раза за 2020 год. Рост использования Prometheus на 16% за 2020 год. И то и то очень удачно вписывается в продажи Sysdig ;)
В отчете очень много информации, которая не относится к security вроде числа нод, подов на хост, статистики алертов и тд.
#ops #k8s #docker #report
Sysdig выпустила большой отчет об использовании контейнерных технологий и обеспечении их безопасности. Отчет формировался на базе информации от клиентов Sysdig.
Статью со сводной информацией можно прочитать здесь.
Коротко:
- 49% контейнеров живут меньше 5 минут, 21% менее 10 секунд
- 74% клиентов сканируют образы в CI/CD, при этом 58% контейнеров запускаются от рута
- Рост использования containerd и CRI-O в 2 раза за 2020 год
- 53% уязвимостей программных компонентов (библиотеки PIP, Ruby и тд) обладают высоким уровнем критичности. Для ОС-компонентов только 4% из всех уязвимостей обладают высоким уровнем критичности.
- Рост использования Falco в 3 раза за 2020 год. Рост использования Prometheus на 16% за 2020 год. И то и то очень удачно вписывается в продажи Sysdig ;)
В отчете очень много информации, которая не относится к security вроде числа нод, подов на хост, статистики алертов и тд.
#ops #k8s #docker #report
NCC_Group_Google_GOIST2005_Report_2020-08-06_v1.1 .pdf
849.7 KB
Announcing the results of Istio’s first security assessment
Команда Istio выпустила результаты аудита безопасности их продукта версии 1.6.5, который проводился NCC Group в прошлом году. К отчету идет сопутствующая статья, где поясняется, откуда взялись те или иные Security Best Practices.
#ops #attack #report #k8s
Команда Istio выпустила результаты аудита безопасности их продукта версии 1.6.5, который проводился NCC Group в прошлом году. К отчету идет сопутствующая статья, где поясняется, откуда взялись те или иные Security Best Practices.
#ops #attack #report #k8s