Как автоматизировать безопасность контейнеров в стиле Policy as Code с помощью CRD
Внедрение Kubernetes custom resource definitions (CRDs) позволит решить вопросы с определением политик безопасности как кода на первоначальном этапе сборки и выкатки приложений, автоматизировать их применение при выкатке приложений в продакшен-среду.
CRD можно использовать для внедрения глобальных политик безопасности, которые определяют поведение приложений и настраивают безопасность нескольких используемых кластеров Kubernetes
https://habr.com/ru/company/mailru/blog/490796/
#k8s #article #ops
Внедрение Kubernetes custom resource definitions (CRDs) позволит решить вопросы с определением политик безопасности как кода на первоначальном этапе сборки и выкатки приложений, автоматизировать их применение при выкатке приложений в продакшен-среду.
CRD можно использовать для внедрения глобальных политик безопасности, которые определяют поведение приложений и настраивают безопасность нескольких используемых кластеров Kubernetes
https://habr.com/ru/company/mailru/blog/490796/
#k8s #article #ops
Security along the Container-based SDLC
Большая подборка из 71 open-source инструментов, встраиваемых в Container-based SDLC: SAST, DAST, WAF, IAM, всевозможные сканнеры кофигураций, PKI (даже sandboxing есть). Заслуживает того, чтобы сохранить себе.
https://holisticsecurity.io/2020/02/10/security-along-the-container-based-sdlc
#tools #ops #dev
Большая подборка из 71 open-source инструментов, встраиваемых в Container-based SDLC: SAST, DAST, WAF, IAM, всевозможные сканнеры кофигураций, PKI (даже sandboxing есть). Заслуживает того, чтобы сохранить себе.
https://holisticsecurity.io/2020/02/10/security-along-the-container-based-sdlc
#tools #ops #dev
BSIMM
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.
Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.
В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.
#bsimm #bestpractice #checklist #dev #ops
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.
Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.
В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.
#bsimm #bestpractice #checklist #dev #ops
Стратегия и метрики (BSIMM - Governane, Strategy & Metrics)
Первый блок в Governance посвящен практике «Стратегия и метрики» и включает планирование, распределение ролей и обязанностей, определение целей безопасности программного обеспечения, определение бюджетов, а также определение метрик и гейтов.
Выложил перевод первого блока на Github. У меня не стояла цель сделать максимально дословный перевод. Первостепенно я хотел предоставить возможность быстро ориентировоться во фреймворке, чтобы, в случае чего, оперативно найти нужный тезис в оригинале. По этой причине в репозитории вы можете найти майнд-карту Xmind для удобства использования, и по этой же причине вы не найдете некоторых предложений, которые есть в первоисточнике.
https://github.com/dvyakimov/BSIMM_ru
#bsimm #dev #ops
Первый блок в Governance посвящен практике «Стратегия и метрики» и включает планирование, распределение ролей и обязанностей, определение целей безопасности программного обеспечения, определение бюджетов, а также определение метрик и гейтов.
Выложил перевод первого блока на Github. У меня не стояла цель сделать максимально дословный перевод. Первостепенно я хотел предоставить возможность быстро ориентировоться во фреймворке, чтобы, в случае чего, оперативно найти нужный тезис в оригинале. По этой причине в репозитории вы можете найти майнд-карту Xmind для удобства использования, и по этой же причине вы не найдете некоторых предложений, которые есть в первоисточнике.
https://github.com/dvyakimov/BSIMM_ru
#bsimm #dev #ops
GitHub
GitHub - dvyakimov/BSIMM_ru: Перевод BSIMM (https://www.bsimm.com) на русский язык
Перевод BSIMM (https://www.bsimm.com) на русский язык - dvyakimov/BSIMM_ru
Command and KubeCTL: Real-World Kubernetes Security for Pentesters - Mark Manning (Shmoocon 2020)
Тактика, методы и инструменты для анализа и взлома кластеров Kubernetes, перехват трафика service mesh, обход фильтров системных вызовов во время выполнения, цепные атаки, которые идут от компрометации среды сборки до взлома продуктивных приложений. Здесь же практические советы и рекомендации от NCC Group.
https://youtu.be/cRbHILH4f0A
#k8s #video #ops #attack
Тактика, методы и инструменты для анализа и взлома кластеров Kubernetes, перехват трафика service mesh, обход фильтров системных вызовов во время выполнения, цепные атаки, которые идут от компрометации среды сборки до взлома продуктивных приложений. Здесь же практические советы и рекомендации от NCC Group.
https://youtu.be/cRbHILH4f0A
#k8s #video #ops #attack
YouTube
Command and KubeCTL: Real-World Kubernetes Security for Pentesters - Mark Manning (Shmoocon 2020)
Kubernetes is a security challenge that many organizations need to take on, and we as pentesters, developers, security practitioners, and the technically curious need to adapt to these challenges. In this talk we will look at tactics, techniques, and tools…
HashiTalks 2020
Shifting Terraform Configuration Security Left - про безопасную конфигурацию, проблемы статического анализа Terraform, инструменты с открытым исходным кодом, которые могут помочь в тестировании
Vault Response Wrapping Makes The "Secret Zero" Challenge A Piece Of Cake - что такое "Secret Zero" в разрезе Vault, о методе Vault AppRole и как настроить и использовать функцию переноса wrapped-токенов
Moving Security and Sanity Left by Testing Terraform with InSpec - как проверить корректность деплоя с помощью InSpec, как не испортить нервишки и добавить тесты в уже существующую инфраструктуру
Securing AWS Accounts With HashiCorp Vault - как создавать разрешения с помощью AWS и использовать HashiCorp Vault вместе с динамическими секретами для генерации доступа и секретных ключей
Using an Image Release Process for Security Wins - создание защищенных образов машин Amazon с помощью HashiCorp Packer.
Полная программа следующим постом (лучше поздно, чем никогда)
#talks #aws #vault #ops
Shifting Terraform Configuration Security Left - про безопасную конфигурацию, проблемы статического анализа Terraform, инструменты с открытым исходным кодом, которые могут помочь в тестировании
Vault Response Wrapping Makes The "Secret Zero" Challenge A Piece Of Cake - что такое "Secret Zero" в разрезе Vault, о методе Vault AppRole и как настроить и использовать функцию переноса wrapped-токенов
Moving Security and Sanity Left by Testing Terraform with InSpec - как проверить корректность деплоя с помощью InSpec, как не испортить нервишки и добавить тесты в уже существующую инфраструктуру
Securing AWS Accounts With HashiCorp Vault - как создавать разрешения с помощью AWS и использовать HashiCorp Vault вместе с динамическими секретами для генерации доступа и секретных ключей
Using an Image Release Process for Security Wins - создание защищенных образов машин Amazon с помощью HashiCorp Packer.
Полная программа следующим постом (лучше поздно, чем никогда)
#talks #aws #vault #ops
HashiCorp
Shifting Terraform Configuration Security Left
How do you know if the HCL you're writing will result in secure infrastructure? How can you write tests to catch common problems?
Forwarded from Технологический Болт Генона
Выложены доклады с HashiTalks 2020
https://www.youtube.com/playlist?list=PL81sUbsFNc5bf0uoD1DwDh8O5K6DZurhT
Программа тут
https://events.hashicorp.com/hashitalks2020
https://www.youtube.com/playlist?list=PL81sUbsFNc5bf0uoD1DwDh8O5K6DZurhT
Программа тут
https://events.hashicorp.com/hashitalks2020
Forwarded from AWS Notes
S3 и защита от копирования (обнаружение утечки данных)
Когда в приватном бакете находятся важные данные и вам нужно максимально быстро узнать, если кто-то вдруг получил к ним доступ - такая задача решается с помощью CloudTrail + Events (CloudWatch Events или EventsBridge):
https://darkbit.io/blog/2020/02/18/simple-dlp-for-amazon-s3
Включаем CloudTrail, создаём SNS топик, запускаем в него эвенты на
Предотвратить копирование так не получится, однако смысл в том, что мы можем контролировать и если кто-то поломает какую-то часть нашей системы, попытавшись скопировать в легальное место (например, какой-то "нормальный", но поломанный аккаунт организации) - мы об этом сможем узнать и принять какие-то действия.
p.s. DLP = Data Loss Prevention
#security #s3 #EventsBridge #DLP
Когда в приватном бакете находятся важные данные и вам нужно максимально быстро узнать, если кто-то вдруг получил к ним доступ - такая задача решается с помощью CloudTrail + Events (CloudWatch Events или EventsBridge):
https://darkbit.io/blog/2020/02/18/simple-dlp-for-amazon-s3
Включаем CloudTrail, создаём SNS топик, запускаем в него эвенты на
CopyObject с помощью EventsBridge, и прикручиваем лямбду, чтобы слала алерты сразу в Slack.Предотвратить копирование так не получится, однако смысл в том, что мы можем контролировать и если кто-то поломает какую-то часть нашей системы, попытавшись скопировать в легальное место (например, какой-то "нормальный", но поломанный аккаунт организации) - мы об этом сможем узнать и принять какие-то действия.
p.s. DLP = Data Loss Prevention
#security #s3 #EventsBridge #DLP
Epic list of AWS security tools
Не так давно я выкладывал пост с большой подборкой бесплатных инструментов, встраиваемых в Сontainer-based SDLC. Так вот я нашел еще более мощную подборку. На этот раз это список инструментов по AWS Security: hardening, assessment, inventory, audit, forensics, incident responce.
https://github.com/toniblyx/my-arsenal-of-aws-security-tools
#tools #aws #ops #attack
Не так давно я выкладывал пост с большой подборкой бесплатных инструментов, встраиваемых в Сontainer-based SDLC. Так вот я нашел еще более мощную подборку. На этот раз это список инструментов по AWS Security: hardening, assessment, inventory, audit, forensics, incident responce.
https://github.com/toniblyx/my-arsenal-of-aws-security-tools
#tools #aws #ops #attack
GitOps Security with k8s-security-configwatch
k8s-security-configwatch - это Github Action, который позволяет контролировать изменения в конфигурационный файлах Kubernetes и выделять то, что может нанести вред безопасности кластера.
Список атрибутов, отслеживаемых утилитой:
- privileged
- HostPID
- HostIPC
- HostNetwork
- capabilities
- ReadOnlyRootFileSystem
- RunAsUser (root/non-root)
- RunAsGroup (root/non-root)
- volume types
Для каждого атрибута K8s-security-configwatch выдает, было ли изменение и появился ли пробел в безопасности.
Статья от Sysdig про то, что такое GitOps, GitHub Actions и примеры работы k8s-security-configwatch:
https://sysdig.com/blog/gitops-k8s-security-configwatch/
#tools #k8s #ops
k8s-security-configwatch - это Github Action, который позволяет контролировать изменения в конфигурационный файлах Kubernetes и выделять то, что может нанести вред безопасности кластера.
Список атрибутов, отслеживаемых утилитой:
- privileged
- HostPID
- HostIPC
- HostNetwork
- capabilities
- ReadOnlyRootFileSystem
- RunAsUser (root/non-root)
- RunAsGroup (root/non-root)
- volume types
Для каждого атрибута K8s-security-configwatch выдает, было ли изменение и появился ли пробел в безопасности.
Статья от Sysdig про то, что такое GitOps, GitHub Actions и примеры работы k8s-security-configwatch:
https://sysdig.com/blog/gitops-k8s-security-configwatch/
#tools #k8s #ops
GitHub
GitHub - sysdiglabs/k8s-security-configwatch: Git action to generate security lint report for Kubernetes workload YAML files on…
Git action to generate security lint report for Kubernetes workload YAML files on PR - GitHub - sysdiglabs/k8s-security-configwatch: Git action to generate security lint report for Kubernetes workl...
Forwarded from AWS Notes
AWS Security Monitoring, Logging, and Alerting
Если нужно серьёзно разобраться с безопасностью всей вашей разнообразной AWS инфраструктуры, то есть немало Security & Compliance сервисов:
GuardDuty
Inspector
Amazon Macie
Security Hub
Detective
А также тех, что работают с логами, конфигурациями, событиями:
CloudWatch
CloudTrail
Config
Возникает справедливый вопрос — как разобраться в этом зоопарке сервисов, какие связки, для чего и какие использовать?
Очень рекомендую начать разбираться в теме AWS security с этой статьи:
https://disruptops.com/what-you-need-to-know-about-aws-security-monitoring-logging-and-alerting/
Расписаны различные пути получения security данных, разбитых по типу на slow path и fast path мониторинг и почему это важно. Также все сервисы и источники данных разбиты по полезности с рекомендациями по применению для прод-непрод окружений.
В общем, детальная и глубокая статья, без воды от известного профи в безопасности.
p.s. Замечу, что статья лета прошлого года и в ней ещё нет свежедобавленного сервиса по безопасности Amazon Detective (что не меняет сути).
#security
Если нужно серьёзно разобраться с безопасностью всей вашей разнообразной AWS инфраструктуры, то есть немало Security & Compliance сервисов:
GuardDuty
Inspector
Amazon Macie
Security Hub
Detective
А также тех, что работают с логами, конфигурациями, событиями:
CloudWatch
CloudTrail
Config
Возникает справедливый вопрос — как разобраться в этом зоопарке сервисов, какие связки, для чего и какие использовать?
Очень рекомендую начать разбираться в теме AWS security с этой статьи:
https://disruptops.com/what-you-need-to-know-about-aws-security-monitoring-logging-and-alerting/
Расписаны различные пути получения security данных, разбитых по типу на slow path и fast path мониторинг и почему это важно. Также все сервисы и источники данных разбиты по полезности с рекомендациями по применению для прод-непрод окружений.
В общем, детальная и глубокая статья, без воды от известного профи в безопасности.
p.s. Замечу, что статья лета прошлого года и в ней ещё нет свежедобавленного сервиса по безопасности Amazon Detective (что не меняет сути).
#security
Forwarded from Sysadmin Tools 🇺🇦
Securing Vault with HSM on Kubernetes
https://banzaicloud.com/blog/vault-hsm/
#kubernetes #k8s #vault
https://banzaicloud.com/blog/vault-hsm/
#kubernetes #k8s #vault
Banzaicloud
Securing Vault with HSM on Kubernetes
From the beginning, Bank-Vaults has been one of the core building blocks of Pipeline - Banzai Cloud’s container management platform for hybrid clouds. Today we are happy to announce the release of Bank-Vaults 1.0, and the official launch of Bank-Vaults as…
Cloud WAF Comparison Using Real-World Attacks
https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e
#waf #aws #azure #ops
https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e
#waf #aws #azure #ops
Forwarded from AWS Notes
Как на Elastic Beanstalk задать самые строгие правила по шифрованию TLS:
https://aws.amazon.com/blogs/security/how-to-control-tls-ciphers-in-your-aws-elastic-beanstalk-application-by-using-aws-cloudformation/
SSL security policy для ELB:
https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html
SSL security policy для ALB:
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html
#Beanstalk #CloudFormation #security
https://aws.amazon.com/blogs/security/how-to-control-tls-ciphers-in-your-aws-elastic-beanstalk-application-by-using-aws-cloudformation/
SSL security policy для ELB:
https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html
- Namespace: aws:elb:policies:TLSHighPolicy
OptionName: SSLReferencePolicy
Value: ELBSecurityPolicy-TLS-1-2-2017-01
SSL security policy для ALB:
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html
- Namespace: aws:elbv2:listener:443
OptionName: SSLPolicy
Value: ELBSecurityPolicy-FS-1-2-Res-2019-08
#Beanstalk #CloudFormation #security
Amazon
How to Control TLS Ciphers in Your AWS Elastic Beanstalk Application by Using AWS CloudFormation | Amazon Web Services
Securing data in transit is critical to the integrity of transactions on the Internet. Whether you log in to an account with your user name and password or give your credit card details to a retailer, you want your data protected as it travels across the…
CyberRange
CyberRange - большая open-source лаборатория, позволяющая начинающим и опытным специалистам погрузиться в безопсность разработки. Для инсталяции необходимо заполнить форму, указав номер аккаунта AWS, после чего для вас станут доступны инстансы, включающие ряд уязвимых приложений, среду для атаки и аудита защищенности. Инициализация проекта осуществляется через Terraform.
Видео:
https://youtu.be/Ed1ujM3xWNg
#practice #ops #attack
CyberRange - большая open-source лаборатория, позволяющая начинающим и опытным специалистам погрузиться в безопсность разработки. Для инсталяции необходимо заполнить форму, указав номер аккаунта AWS, после чего для вас станут доступны инстансы, включающие ряд уязвимых приложений, среду для атаки и аудита защищенности. Инициализация проекта осуществляется через Terraform.
Видео:
https://youtu.be/Ed1ujM3xWNg
#practice #ops #attack
Forwarded from Технологический Болт Генона
Выложены доклады с BSidesSF 2020 (San Francisco)
BSides это множество глобальных некоммерческих конференций по безопасности
http://www.securitybsides.com/w/browse/#view=ViewAllObjects
Так как конференции делаются "камунити для камунити", то и тематика, и уровень сильно варьируются, но это позволяет многим найти то, что интересно.
Я для себя отметил
Fantastic AWS Attacks and Where to Find Them
https://www.youtube.com/watch?v=IOyV8ww-lKM
How to Kill an AWS Access Key
https://www.youtube.com/watch?v=aZ7fsHaKASw
k-rail: A Tool to Manage K8s Securely at Speed
https://www.youtube.com/watch?v=WqZhbx0_zOc
Real Time Vulnerability Alerting
https://www.youtube.com/watch?v=cQMnUH1oBDA
Все доклады доступны тут
https://www.youtube.com/playlist?list=PLbZzXF2qC3RvlcHIxrqrsN1XhwHX8SQ-g
Программа
https://bsidessf.org/schedule.html
BSides это множество глобальных некоммерческих конференций по безопасности
http://www.securitybsides.com/w/browse/#view=ViewAllObjects
Так как конференции делаются "камунити для камунити", то и тематика, и уровень сильно варьируются, но это позволяет многим найти то, что интересно.
Я для себя отметил
Fantastic AWS Attacks and Where to Find Them
https://www.youtube.com/watch?v=IOyV8ww-lKM
How to Kill an AWS Access Key
https://www.youtube.com/watch?v=aZ7fsHaKASw
k-rail: A Tool to Manage K8s Securely at Speed
https://www.youtube.com/watch?v=WqZhbx0_zOc
Real Time Vulnerability Alerting
https://www.youtube.com/watch?v=cQMnUH1oBDA
Все доклады доступны тут
https://www.youtube.com/playlist?list=PLbZzXF2qC3RvlcHIxrqrsN1XhwHX8SQ-g
Программа
https://bsidessf.org/schedule.html
YouTube
BSidesSF 2020 - Fantastic AWS Attacks and Where to Find Them (Georgios Kapoglis)
Georgios Kapoglis - Fantastic AWS Attacks and Where to Find Them
Building better detections on our Cloud infrastructures and knowing our enemies is a necessity for survival. I want to help the community by sharing our work on AWS and by utilizing ATT&CK…
Building better detections on our Cloud infrastructures and knowing our enemies is a necessity for survival. I want to help the community by sharing our work on AWS and by utilizing ATT&CK…
Обеспечение соответствия и ведение политик (BSIMM - Governance, Compliance & Policy)
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо внутренние требования заказчика - о том, что из себя представляет политика безопасности, об уровне обслуживания (SLA) подрядчиков и важности постоянного изменения политики на основе фидбека из SDLC.
Друзья, пишите мне в личку, насколько вам интересно и полезно читать такой перевод, стоит ли идти по переводу последовательно, либо отбирать самое интересное (например то, что касается анализа архитектуры, code review, тестирования).
https://github.com/dvyakimov/BSIMM_ru
#bsimm #compliance #dev #ops
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо внутренние требования заказчика - о том, что из себя представляет политика безопасности, об уровне обслуживания (SLA) подрядчиков и важности постоянного изменения политики на основе фидбека из SDLC.
Друзья, пишите мне в личку, насколько вам интересно и полезно читать такой перевод, стоит ли идти по переводу последовательно, либо отбирать самое интересное (например то, что касается анализа архитектуры, code review, тестирования).
https://github.com/dvyakimov/BSIMM_ru
#bsimm #compliance #dev #ops
GitHub
GitHub - dvyakimov/BSIMM_ru: Перевод BSIMM (https://www.bsimm.com) на русский язык
Перевод BSIMM (https://www.bsimm.com) на русский язык - dvyakimov/BSIMM_ru
Политики безопасности AppSec и отслеживание метрик.
В продолжении к переводу о ведении политики безопасности приложений. Стивен Гейтс из Checkmarx пишет о том, что должна включать политика безопасности.
https://securityboulevard.com/2020/03/discussing-appsec-policies-within-devsecops/
В частности он упоминает важность формализации того, как необходимо управлять и отслеживать показатели эффективности (KPI). Частью KPI является знание того, какие области нуждаются в улучшении, а какие нет. Это позволяет организациям определить, соблюдается ли политика AppSec.
Вспомнил доклад Юрия Шабалина и Антона Башарина с OFFZONE 2018 про безопасность как код. Там, в частности, они довольно наглядно рассказывают про метрики безопасности, о том какие инструменты могут помочь команде разработке и как их эффективно использовать.
https://youtu.be/wfHJyqhTW1o
#bestpractice #ops
В продолжении к переводу о ведении политики безопасности приложений. Стивен Гейтс из Checkmarx пишет о том, что должна включать политика безопасности.
https://securityboulevard.com/2020/03/discussing-appsec-policies-within-devsecops/
В частности он упоминает важность формализации того, как необходимо управлять и отслеживать показатели эффективности (KPI). Частью KPI является знание того, какие области нуждаются в улучшении, а какие нет. Это позволяет организациям определить, соблюдается ли политика AppSec.
Вспомнил доклад Юрия Шабалина и Антона Башарина с OFFZONE 2018 про безопасность как код. Там, в частности, они довольно наглядно рассказывают про метрики безопасности, о том какие инструменты могут помочь команде разработке и как их эффективно использовать.
https://youtu.be/wfHJyqhTW1o
#bestpractice #ops
Telegram
DevSecOps Wine
Обеспечение соответствия и ведение политик (BSIMM - Governance, Compliance & Policy)
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо…
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо…
ebook_An_Integrated_Approach_to_Embedding_Security_into_DevOps_A.pdf
1.3 MB
An Integrated Approach to Embedding Security into DevOps
А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.
#bestpractice #dev
А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.
#bestpractice #dev
Application Security Engineer - вопросы на собеседовании
Не так давно в одном из тематических чатов поднимали вопрос того, что спрашивают при приеме на AppSec. Я изначально устраивался на инженера по сетевой безопасности, поэтому поделиться чисто своим опытом не смогу, но я нашел для вас две полезные для подготовки ссылки (полезные и для самооценки).
- Большая подборка вопросов по AppSec с ссылками для объяснения.
- Вопросы по Web AppSec от Synopsys
Я считаю, что, спрашивая алгоритм сжатия файлов, можно спугнуть действительно рукастого инженера, и гораздо эффективнее задавать верхнеуровневые вопросы (про SDLC например), давать домашние задания и более внимательно наблюдать за работой специалиста в течение всего испытательного срока. Как бы очевидно это не звучало - определить качество работы специалиста можно только в процессе его работы.
#start #dev #ops
Не так давно в одном из тематических чатов поднимали вопрос того, что спрашивают при приеме на AppSec. Я изначально устраивался на инженера по сетевой безопасности, поэтому поделиться чисто своим опытом не смогу, но я нашел для вас две полезные для подготовки ссылки (полезные и для самооценки).
- Большая подборка вопросов по AppSec с ссылками для объяснения.
- Вопросы по Web AppSec от Synopsys
Я считаю, что, спрашивая алгоритм сжатия файлов, можно спугнуть действительно рукастого инженера, и гораздо эффективнее задавать верхнеуровневые вопросы (про SDLC например), давать домашние задания и более внимательно наблюдать за работой специалиста в течение всего испытательного срока. Как бы очевидно это не звучало - определить качество работы специалиста можно только в процессе его работы.
#start #dev #ops
GitHub
GitHub - security-prince/Application-Security-Engineer-Interview-Questions: Some of the questions which i was asked when i was…
Some of the questions which i was asked when i was giving interviews for Application/Product Security roles. I am sure this is not an exhaustive list but i felt these questions were important to be...
MobSF
Mobile Security Framework (MobSF) - это мобильное приложение (Android / iOS / Windows) для проведения тестирования, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ. MobSF поддерживает двоичные файлы мобильных приложений (APK, IPA и APPX), исходный код и предоставляет REST API для интеграции с вашим CI / CD.
Недавно вышла неплохая статью про опыт анализа iOS с помощью MobSF:
https://www.netguru.com/codestories/ios-security-analysis-with-mobsf
#mobile #sast #dast #dev
Mobile Security Framework (MobSF) - это мобильное приложение (Android / iOS / Windows) для проведения тестирования, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ. MobSF поддерживает двоичные файлы мобильных приложений (APK, IPA и APPX), исходный код и предоставляет REST API для интеграции с вашим CI / CD.
Недавно вышла неплохая статью про опыт анализа iOS с помощью MobSF:
https://www.netguru.com/codestories/ios-security-analysis-with-mobsf
#mobile #sast #dast #dev