Channel name was changed to «DevSecOps / SSDLC -Безопасная разработка»
Почему стоит задуматься о DevSecOps в 2020 году?
Обзорная статья (ссылка ниже) о текущих проблемах в современной разработке ПО, что такое DevSecOps и как он может повлиять на текущие DevOps процессы
Основные тезисы из статьи о том, как обстоят дела в современной разработке:
1) Выполнение проверок безопасности приложения осуществляется в конце жизненного цикла разработки.
2) Конфигурирование и аудит настроек осуществляется в ручном режиме.
3) Отсутствует регламент процесса разработки, хаотичный процесс тестирования.
4) Процесс проверки на безопасность продукта не интегрирован в CI/CD pipeline.
5) Доступ разработчиков, работающих на аутсорсе, не контролируется. Не контролируется доступ к активам компании, паролям, токенам.
В дальнейшем планируются обзоры современных решений, доклады, новости, отчеты, обучающие видео и все то, что может помочь интегрировать безопасность в процессы разработки
https://vk.com/@secdevops-pochemu-stoit-zadumatsya-o-devsecops-v-2020-godu
#dev #ops
Обзорная статья (ссылка ниже) о текущих проблемах в современной разработке ПО, что такое DevSecOps и как он может повлиять на текущие DevOps процессы
Основные тезисы из статьи о том, как обстоят дела в современной разработке:
1) Выполнение проверок безопасности приложения осуществляется в конце жизненного цикла разработки.
2) Конфигурирование и аудит настроек осуществляется в ручном режиме.
3) Отсутствует регламент процесса разработки, хаотичный процесс тестирования.
4) Процесс проверки на безопасность продукта не интегрирован в CI/CD pipeline.
5) Доступ разработчиков, работающих на аутсорсе, не контролируется. Не контролируется доступ к активам компании, паролям, токенам.
В дальнейшем планируются обзоры современных решений, доклады, новости, отчеты, обучающие видео и все то, что может помочь интегрировать безопасность в процессы разработки
https://vk.com/@secdevops-pochemu-stoit-zadumatsya-o-devsecops-v-2020-godu
#dev #ops
VK
Почему стоит задуматься о DevSecOps в 2020 году?
На дворе конец 2019 года, вот-вот наступит 2020 год. Кто-то из читателей статьи уже планирует бюджет на следующее полугодие, а кто-то фор..
2019-state-of-devops-report-puppet-circleci-splunk_sml.pdf
8.5 MB
Обзор современных безопасных DevOps практик + любопытная разбивка на уровни зрелости DevOps в разрезе безопасности
«State of DevOps Report by Puppet, CircleCI & Splunk» 2019
#dev #ops
«State of DevOps Report by Puppet, CircleCI & Splunk» 2019
#dev #ops
👍1
2019-devsecops-community-survey.pdf
5 MB
Безопасный DevOps - Джульен Вехен.pdf
22.1 MB
Книга " Безопасный DevOps. Эффективная эксплуатация систем" Джульен Вехен.
В этой книге:
- Обеспечение непрерывной безопасности.
- Внедрение безопасности на основе тестирования в DevOps.
- Приемы, помогающие повысить надежность облачных сервисов.
- Отслеживание вторжений и реагирование на инциденты
- Тестирование безопасности и оценка рисков.
Требуется знание Linux и владение стандартными практиками DevOps, такими как CI, CD и модульное тестирование.
#literature #secdevops #dev #ops
В этой книге:
- Обеспечение непрерывной безопасности.
- Внедрение безопасности на основе тестирования в DevOps.
- Приемы, помогающие повысить надежность облачных сервисов.
- Отслеживание вторжений и реагирование на инциденты
- Тестирование безопасности и оценка рисков.
Требуется знание Linux и владение стандартными практиками DevOps, такими как CI, CD и модульное тестирование.
#literature #secdevops #dev #ops
hacker-245-36.pdf
1.4 MB
"Непробиваемый
DevOps-кластер - Настраиваем и усиливаем безопасность Kubernetes, Иван Пискунов"
- Обзор основных векторов атак
- Проблемы безопасности K8s
- Примеры багов
- Усиливаем безопасность Kubernetes
- Утилиты для аудита безопасности (open source и enterprise)
Журнал: Xakep
Номер: 245
Год: 2019
#k8s #article #ops
DevOps-кластер - Настраиваем и усиливаем безопасность Kubernetes, Иван Пискунов"
- Обзор основных векторов атак
- Проблемы безопасности K8s
- Примеры багов
- Усиливаем безопасность Kubernetes
- Утилиты для аудита безопасности (open source и enterprise)
Журнал: Xakep
Номер: 245
Год: 2019
#k8s #article #ops
"Обороняем порт. Как защитить инфраструктуру на Docker минимальными силами" Иван Пискунов
https://xakep.ru/2019/07/05/docker-security/
#article #Docker #ops
https://xakep.ru/2019/07/05/docker-security/
#article #Docker #ops
xakep.ru
Обороняем порт. Как защитить инфраструктуру на Docker минимальными силами
Docker — прекрасная вещь, которая может экономить массу сил и времени. В этой статье мы поговорим о том, как использовать Docker максимально безопасно и отлавливать потенциальные угрозы заранее. Также ты найдешь здесь готовые рекомендации, команды и инструменты…
"Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала" Перевод статьи Paulo Gomes
https://habr.com/ru/company/flant/blog/481114/
Seccomp - механизм безопасности ядра Linux, который позволяет ограничить набор доступных системных вызовов для приложений, в частсности для работы контейнеров.
#k8s #article #ops
https://habr.com/ru/company/flant/blog/481114/
Seccomp - механизм безопасности ядра Linux, который позволяет ограничить набор доступных системных вызовов для приложений, в частсности для работы контейнеров.
#k8s #article #ops
Хабр
Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала
Прим. перев.: Представляем вниманию перевод статьи старшего инженера по безопасности приложений британской компании ASOS.com. С ней он начинает цикл публикаций,...
Уязимости веб-приложений.png
765.6 KB
"Безопасность веб-приложений" Эльдар Заитов" - Школа информационной безопасности Яндекс 2018.
Первая лекция из серии уроков Яндекса по безопасности. + Авторский бонусный материал в виде майнд-мапы по серверным и клиентским уязвимостям, а также способам защиты
https://www.youtube.com/watch?v=rSp2cpAI4Tc&list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO
#web #code #lecture #dev
Первая лекция из серии уроков Яндекса по безопасности. + Авторский бонусный материал в виде майнд-мапы по серверным и клиентским уязвимостям, а также способам защиты
https://www.youtube.com/watch?v=rSp2cpAI4Tc&list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO
#web #code #lecture #dev
building-web-apps-that-respect-user-privacy-and-security.pdf
17.7 MB
"Building Web Apps
that Respect a User’s
Privacy and Security" Adam D. Scott
- Как работает web tracking, и как вы можете предоставить пользователям более широкие возможности контроля конфиденциальности.
- HTTPS, как использовать этот протокол для шифрования пользовательских соединений.
- Платформы веб-разработки, которые обеспечивают встроенную поддержку безопасности для защиты пользовательских данных.
- Методы для обеспечения аутентификации пользователя, а также для санитайзинга и проверки пользовательского ввода
- Как обеспечить экспорт, который позволит пользователям восстанавливать свои данные при закрытии сервиса
#literature #web #dev #ops
that Respect a User’s
Privacy and Security" Adam D. Scott
- Как работает web tracking, и как вы можете предоставить пользователям более широкие возможности контроля конфиденциальности.
- HTTPS, как использовать этот протокол для шифрования пользовательских соединений.
- Платформы веб-разработки, которые обеспечивают встроенную поддержку безопасности для защиты пользовательских данных.
- Методы для обеспечения аутентификации пользователя, а также для санитайзинга и проверки пользовательского ввода
- Как обеспечить экспорт, который позволит пользователям восстанавливать свои данные при закрытии сервиса
#literature #web #dev #ops
Про стандарты безопасной разработки ФСТЭК
01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки
Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.
Обсуждался проект стандарта "Руководство по безопасной разработке". Стандарт предлагает рекомендации по внедрению требований и процессам ГОСТ 56939.
Пока готова не вся линейка стандартов. Поэтому, чтобы соответствовать требованиям по безопасной разработке, требуется соблюдать описанный процесс, а белые пятна заполнять по своему усмотрению.
Планируемые стандарты :
1. Руководство по безопасной разработке
2. Руководство по оценке безопасности разработки по
3. Руководство по статическому анализу
4. Руководство по динамическому анализу
5. Доверенный компилятор
6. Пересмотр ГОСТ 56939
Доверенный компилятор - рабочее название. Стандарт будет описывать рекомендации по настройке существующих компиляторов, а не выбор или создание какого-то отдельного компилятора.
Система непрерывной интеграции (CI) хоть и не упомянается в ГОСТ 56939, но является его хребтом.
Статический анализ и фаззинг должны быть подключены к CI конвееру
При сертификации лаборатория проверяет соответствие требованиям уровня доверия. Тоесть не полное соответствие ГОСТ
Все материалы с совещания:
https://vk.com/secdevops?w=wall-190263496_16
#law #dev
01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки
Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.
Обсуждался проект стандарта "Руководство по безопасной разработке". Стандарт предлагает рекомендации по внедрению требований и процессам ГОСТ 56939.
Пока готова не вся линейка стандартов. Поэтому, чтобы соответствовать требованиям по безопасной разработке, требуется соблюдать описанный процесс, а белые пятна заполнять по своему усмотрению.
Планируемые стандарты :
1. Руководство по безопасной разработке
2. Руководство по оценке безопасности разработки по
3. Руководство по статическому анализу
4. Руководство по динамическому анализу
5. Доверенный компилятор
6. Пересмотр ГОСТ 56939
Доверенный компилятор - рабочее название. Стандарт будет описывать рекомендации по настройке существующих компиляторов, а не выбор или создание какого-то отдельного компилятора.
Система непрерывной интеграции (CI) хоть и не упомянается в ГОСТ 56939, но является его хребтом.
Статический анализ и фаззинг должны быть подключены к CI конвееру
При сертификации лаборатория проверяет соответствие требованиям уровня доверия. Тоесть не полное соответствие ГОСТ
Все материалы с совещания:
https://vk.com/secdevops?w=wall-190263496_16
#law #dev
VK
DevSecOps / SSDLC - Безопасная разработка. Пост со стены.
Про стандарты безопасной разработки
01.11.19 прошло совещание во ФСТЭК касательно обсуждения... Смотрите полностью ВКонтакте.
01.11.19 прошло совещание во ФСТЭК касательно обсуждения... Смотрите полностью ВКонтакте.
ГОСТ Р 56939-2016.pdf
3.1 MB
ГОСТ Р 56939—2016 Разработка безопасного ПО
У Kubernetes появилась собственная программа bug bounty
Программа распространяется на основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).
Программа разместилась на платформе HackerOne.
https://xakep.ru/2020/01/16/kubernetes-bug-bounty/
#k8s #news #ops
Программа распространяется на основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).
Программа разместилась на платформе HackerOne.
https://xakep.ru/2020/01/16/kubernetes-bug-bounty/
#k8s #news #ops
XAKEP
У Kubernetes появилась собственная программа bug bounty
Популярнейший оркестратор Kubernetes обзавелся собственной программой вознаграждения за уязвимости. За баги исследователям заплатят до 10 000 долларов США.