Полная обновляемая подборка материалов по безопасной разработке, DevSecOps и SSDLC на русском языке.
- От Threat Modeling до безопасности AWS - 50+ open-source инструментов для выстраивания безопасности DevOps, Денис Якимов, Swordfish Security
- DevSecOps: принципы работы и сравнение SCA. Часть первая, Денис Якимов, Swordfish Security
- Практические ответы на нетривиальные вопросы, или Как внедрять DevSecOps в организации со сложным IT-ландшафтом, ВТБ
- Страх и ненависть DevSecOps, доклад Юрия Шабалин, перевод в текст Александра Титова
- DevOps vs DevSecOps: как это выглядело в одном банке, Техносерв
- Строим безопасную разработку в ритейлере. Опыт одного большого проекта, Иван Старосельский, Solar Security
- DevSecOps: организация фаззинга исходного кода, Дмитрий Евдокимов, Никита Кныжов,Павел Князев, Digital Security
- Безопасность npm пакетов, Слава Фомин, ДомКлик,2,3
- Используем Zap Baseline Scan для непрерывного сканирования сайта на уязвимости, Александр Тютин
- Использование сканера уязвимостей в используемых библиотеках Dependency-Check в GitlabCI, Пацев Антон
- «Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости, Maxim Tyukov, DINS
- Ищем уязвимости в коде: теория, практика и перспективы SAST, Владимир Кочетков, PT
- Статическое тестирование безопасности опенсорсными инструментами, Александра Сватикова, Одноклассники,доклад
- Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM, OZON
- Об анализе исходного кода и автоматической генерации эксплоитов, Владимир Кочетков, PT
- Как внедрить Secure Development Lifecycle и не поседеть. Рассказ Яндекса на ZeroNights 2017, Яндекс
- Проблемы безопасности Docker, Перевод от Игоря Олемского, Southbridge
- Безопасность Docker, Павел Канн, Swordfish Security
- Обзор утилит безопасности Docker, Павел Канн, Swordfish Security
- Способы и примеры внедрения утилит для проверки безопасности Docker, Павел Канн, Swordfish Security
- Контейнеры и безопасность: seccomp, Андрей Емельянов, Selectel
- Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала,перевод Paulo Gomes, Flant
- 9 лучших практик по обеспечению безопасности в Kubernetes, Андрей Сидоров, Flant
- Шпаргалки по безопасности: Docker Acribia
- Контейнеры для приложений: риски безопасности и ключевые решения по защите, Денис Якимов, КРОК
- Азбука безопасности в Kubernetes: аутентификация, авторизация, аудит, Олег Вознесенский, Flant
- 33+ инструмента для безопасности Kubernetes, перевод статьи Mateo Burillo, Flant
- 11 способов (не) стать жертвой взлома в Kubernetes, перевод статьи Andrew Martin, Flant
- Безопасность Helm, доклад Александра Хаерова, Chainstack,доклад
- Страх и ненависть DevSecOps, Юрий Шабалин, Swordfish Security, DevOps Moscow meetup, слайды
- Security Compliance & DevOps, Степан Носов, IPONWEB, DevOps Moscow meetup, слайды
- AppSec как код, Антон Башарин и Юрий Шабалин, Swordfish Security
- DevSecOps или как встроить проверки информационной безопасности в микросервисы, Антон Башарин, Swrodfish Security
- DevSec. Встраивание ИБ в конвейер разработки,Александр Садыков,Станислав Косарев,Антон Гаврилов, «Инфосистемы Джет»
- DevSecOps. Общее погружение, Антон Гаврилов,Александр Краснов, «Инфосистемы Джет»
- DevOps-Secонос, Анатолий Карпенко
- SAST, борьба с потенциальными уязвимостями, Андрей Карпов, PVS-Studio
- Внедрение SAST: теория vs практика, Ярослав Александров, Ростелеком-Solar
- DevSecOps. Чего нам не хватает. Сергей Белов, Acronis
- Мы начинаем DevSecOps, Юрий Шабалин, Swordfish Security
- DevSecOps: tips and tricks, Юрий Шабалин, Swordfish Security
- SAST и Application Security: как бороться с уязвимостями в коде, Сергей Хренов, PVS-Studio
- Как построить безопасность SDLC без SDLC, Иван Афанасьев, BI.Zone
- Заделываем дыры в кластере Kubernetes",Павел Селиванов,Southbridge
- "Обеспечение безопасности микросервисной архитектуры в Kubernetes", Олег Маслеников, ЦИАН
- Безопасность в Kubernetes. Проект Kaniko. Лаборатория ПИТ
- Управление секретами при помощи Hashicorp Vault в Авито, Сергей Носков, Авито
- “Проникновение в Docker с примерами”, Дмитрий Столяров, Flant
- "Безопасность в Kubernetes",Дмитрий Лазаренко, Mail.Ru Cloud Solutions
- Хайлоад и безопасность в мире DevOps: совместимы ли?, Юрий Колесов, security-gu.ru
- "У вас есть кластер Kubernetes, но нет майнера на подах? Тогда мы идем к вам!", Антон Булавин, Semrush
- SecOps. Защита кластера. Юрий Семенюков, Анастасия Дитенкова, Виктор Пучков, «Инфосистемы Джет»
- Облачный пентест: Методики тестирования Amazon AWS, Вадим Шелест, Digital Security
- Использование seccomp для защиты облачной инфраструктуры, Антон Жаболенко, Яндекс.Облако
- Мониторинг безопасности сайтов, Григорий Земсков, Ревизиум
- Про DevSecOps с Барухом Садогурским, Барухом Садогурский, JFrog
- Мобильный SSDLC, Юрий Шабалин, Swordfish Security
- SDCast #96, Юрий Шабалин, Swordfish Security
Моделирование угроз в контексте Secure Development Lifecycle представляет из себя процесс анализа архитектуры ПО на предмет наличия в ней потенциальных уязвимостей и небезопасных технологий. Чтобы сократить расходы на добавление дополнительного функционала с точки зрения безопасности, решением может являться внедрение процесса проверок ИБ еще на этапе проектирования архитектуры. На этом же этапе формируются требования со стороны специалистов по безопасности приложений, которые в дальнейшем пойдут в backlog.
- OWASP Threat Dragon
- Pytm
- Materialize threats tool
- Threatspec
- Raindance
- Microsoft Threat Modeling Tool
- Theagile
Статический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на исходные коды приложения.
Динамический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на ответы сервера по заданным запросам.
Инструмент для поиска чувствительной информации.
Анализатор сторонних компонентов - инструмент, который осуществляет поиск уязвимостей в сторонних open-source компонентах, подключенных к проекту.
Фреймворк, позволяющий описывать проверки по методологии BDD.
Инструменты, направленные на поиск уязвимостей в образах контейнеров.
Инструмент для проверки хоста/dockerd/сборки на соответствии (CIS/PCI DSS и другие).
Инструмент для проверки безопасности Kubernetes.
Инструмент для отслеживания поведения контейнеров в Runtime.
- Aqua CSP
- Aqua CSPM
- Prisma Cloud Compute
- NeuVector
- Sysdig
- Tenable.io Container Security
- McAfee Container Security
- TrendMicro CloudOne
- Qualys Container Security
Инструмент для проверки веб-приложений в режиме runtime
Инструмент, совмещающий практики SAST и DAST.
Практика тестирования приложения, при которой на вход программе подаются данные, которые могут привести к неопределенному поведению.
Инструмент, собирающий и агрегирующий результаты проверки сторонних инструментов.
Практика представления требований безопасности через декларативное описание в виде кода с целью дальнейшей непрерывной оценки на соответствие.
Практика тестирования декларативного описания инфраструктуры через конфигурационные файлы на соответствие требования безопасности.
Инструменты для проверки безопасности AWS.
Инструменты для проверки безопасности GCP.