Уязимости веб-приложений.png
765.6 KB
"Безопасность веб-приложений" Эльдар Заитов" - Школа информационной безопасности Яндекс 2018.
Первая лекция из серии уроков Яндекса по безопасности. + Авторский бонусный материал в виде майнд-мапы по серверным и клиентским уязвимостям, а также способам защиты
https://www.youtube.com/watch?v=rSp2cpAI4Tc&list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO
#web #code #lecture #dev
Первая лекция из серии уроков Яндекса по безопасности. + Авторский бонусный материал в виде майнд-мапы по серверным и клиентским уязвимостям, а также способам защиты
https://www.youtube.com/watch?v=rSp2cpAI4Tc&list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO
#web #code #lecture #dev
building-web-apps-that-respect-user-privacy-and-security.pdf
17.7 MB
"Building Web Apps
that Respect a User’s
Privacy and Security" Adam D. Scott
- Как работает web tracking, и как вы можете предоставить пользователям более широкие возможности контроля конфиденциальности.
- HTTPS, как использовать этот протокол для шифрования пользовательских соединений.
- Платформы веб-разработки, которые обеспечивают встроенную поддержку безопасности для защиты пользовательских данных.
- Методы для обеспечения аутентификации пользователя, а также для санитайзинга и проверки пользовательского ввода
- Как обеспечить экспорт, который позволит пользователям восстанавливать свои данные при закрытии сервиса
#literature #web #dev #ops
that Respect a User’s
Privacy and Security" Adam D. Scott
- Как работает web tracking, и как вы можете предоставить пользователям более широкие возможности контроля конфиденциальности.
- HTTPS, как использовать этот протокол для шифрования пользовательских соединений.
- Платформы веб-разработки, которые обеспечивают встроенную поддержку безопасности для защиты пользовательских данных.
- Методы для обеспечения аутентификации пользователя, а также для санитайзинга и проверки пользовательского ввода
- Как обеспечить экспорт, который позволит пользователям восстанавливать свои данные при закрытии сервиса
#literature #web #dev #ops
Про стандарты безопасной разработки ФСТЭК
01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки
Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.
Обсуждался проект стандарта "Руководство по безопасной разработке". Стандарт предлагает рекомендации по внедрению требований и процессам ГОСТ 56939.
Пока готова не вся линейка стандартов. Поэтому, чтобы соответствовать требованиям по безопасной разработке, требуется соблюдать описанный процесс, а белые пятна заполнять по своему усмотрению.
Планируемые стандарты :
1. Руководство по безопасной разработке
2. Руководство по оценке безопасности разработки по
3. Руководство по статическому анализу
4. Руководство по динамическому анализу
5. Доверенный компилятор
6. Пересмотр ГОСТ 56939
Доверенный компилятор - рабочее название. Стандарт будет описывать рекомендации по настройке существующих компиляторов, а не выбор или создание какого-то отдельного компилятора.
Система непрерывной интеграции (CI) хоть и не упомянается в ГОСТ 56939, но является его хребтом.
Статический анализ и фаззинг должны быть подключены к CI конвееру
При сертификации лаборатория проверяет соответствие требованиям уровня доверия. Тоесть не полное соответствие ГОСТ
Все материалы с совещания:
https://vk.com/secdevops?w=wall-190263496_16
#law #dev
01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки
Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.
Обсуждался проект стандарта "Руководство по безопасной разработке". Стандарт предлагает рекомендации по внедрению требований и процессам ГОСТ 56939.
Пока готова не вся линейка стандартов. Поэтому, чтобы соответствовать требованиям по безопасной разработке, требуется соблюдать описанный процесс, а белые пятна заполнять по своему усмотрению.
Планируемые стандарты :
1. Руководство по безопасной разработке
2. Руководство по оценке безопасности разработки по
3. Руководство по статическому анализу
4. Руководство по динамическому анализу
5. Доверенный компилятор
6. Пересмотр ГОСТ 56939
Доверенный компилятор - рабочее название. Стандарт будет описывать рекомендации по настройке существующих компиляторов, а не выбор или создание какого-то отдельного компилятора.
Система непрерывной интеграции (CI) хоть и не упомянается в ГОСТ 56939, но является его хребтом.
Статический анализ и фаззинг должны быть подключены к CI конвееру
При сертификации лаборатория проверяет соответствие требованиям уровня доверия. Тоесть не полное соответствие ГОСТ
Все материалы с совещания:
https://vk.com/secdevops?w=wall-190263496_16
#law #dev
VK
DevSecOps / SSDLC - Безопасная разработка. Пост со стены.
Про стандарты безопасной разработки
01.11.19 прошло совещание во ФСТЭК касательно обсуждения... Смотрите полностью ВКонтакте.
01.11.19 прошло совещание во ФСТЭК касательно обсуждения... Смотрите полностью ВКонтакте.
ГОСТ Р 56939-2016.pdf
3.1 MB
ГОСТ Р 56939—2016 Разработка безопасного ПО
У Kubernetes появилась собственная программа bug bounty
Программа распространяется на основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).
Программа разместилась на платформе HackerOne.
https://xakep.ru/2020/01/16/kubernetes-bug-bounty/
#k8s #news #ops
Программа распространяется на основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).
Программа разместилась на платформе HackerOne.
https://xakep.ru/2020/01/16/kubernetes-bug-bounty/
#k8s #news #ops
XAKEP
У Kubernetes появилась собственная программа bug bounty
Популярнейший оркестратор Kubernetes обзавелся собственной программой вознаграждения за уязвимости. За баги исследователям заплатят до 10 000 долларов США.
Использование машинного обучения в статическом анализе исходного кода программ
Среди инструментов:
- DeepCode
- Infer
- Sapienz
- SapFix
- Embold
- Source{d}
- Clever-Commit
+ Нюансы обучения на большом количестве открытого исходного кода
https://habr.com/ru/company/pvs-studio/blog/484208/
#tools #article #dev
Среди инструментов:
- DeepCode
- Infer
- Sapienz
- SapFix
- Embold
- Source{d}
- Clever-Commit
+ Нюансы обучения на большом количестве открытого исходного кода
https://habr.com/ru/company/pvs-studio/blog/484208/
#tools #article #dev
Хабр
Использование машинного обучения в статическом анализе исходного кода программ
Машинное обучение плотно укоренилось в различных сферах деятельности людей: от распознавания речи до медицинской диагностики. Популярность этого подхода столь велика, что его пытаются использовать...
CSSLP - Certified Secure Software Lifecycle Profession (+ гайд для подготовки)
Экзамен предназначен для профессиональных разработчиков и безопасников, ответственных за SDLC, и призван гарантировать высокий уровень технических навыков проектирования, разработки и внедрения методов обеспечения безопасности на каждом цикле ПО.
Для сдачи экзамена необходимо иметь как минимум 4 года работы как специалиста по жизненному циклу разработки ПО, обладающего знаниями в одной из 8-и областей.
Области (и это же вопросы экзамена):
1) Требования безопасной разработки (14% экзамена)
2) Безопасное проектирования ПО (16% экзамена)
3) Безопасное ннедрение и программирование ПО (16% экзамена)
4) Безопасное тестирование ПО (14% экзамена)
5) Управление жизненным циклом ПО (10% экзамена)
6) Разработка ПО, эксплуатирование и поддержание (9% экзамена)
7) Цепь поставок ПО (8% экзамена)
8) Концепции безопасной разработки (13% экзамена)
175 вопросов, 4 часа, 700/1000 - проходной, Цена 549$, 125$ для членов (ISC)2
Не настолько популярный в России как CISSP, CISA, CISM, но, в силу роста популярности DevSecOps, вопрос времени.
https://www.isc2.org/Certifications/CSSLP
#exam #dev #ops
Экзамен предназначен для профессиональных разработчиков и безопасников, ответственных за SDLC, и призван гарантировать высокий уровень технических навыков проектирования, разработки и внедрения методов обеспечения безопасности на каждом цикле ПО.
Для сдачи экзамена необходимо иметь как минимум 4 года работы как специалиста по жизненному циклу разработки ПО, обладающего знаниями в одной из 8-и областей.
Области (и это же вопросы экзамена):
1) Требования безопасной разработки (14% экзамена)
2) Безопасное проектирования ПО (16% экзамена)
3) Безопасное ннедрение и программирование ПО (16% экзамена)
4) Безопасное тестирование ПО (14% экзамена)
5) Управление жизненным циклом ПО (10% экзамена)
6) Разработка ПО, эксплуатирование и поддержание (9% экзамена)
7) Цепь поставок ПО (8% экзамена)
8) Концепции безопасной разработки (13% экзамена)
175 вопросов, 4 часа, 700/1000 - проходной, Цена 549$, 125$ для членов (ISC)2
Не настолько популярный в России как CISSP, CISA, CISM, но, в силу роста популярности DevSecOps, вопрос времени.
https://www.isc2.org/Certifications/CSSLP
#exam #dev #ops
www.isc2.org
CSSLP Certified Secure Software Lifecycle Professional | ISC2
Secure your cybersecurity career with ISC2’s CSSLP certification and gain expertise in software lifecycle security and secure coding practices.
Auerbach_Publications_Official_ISC2.pdf
16.9 MB
CSSLP - Official (ISC)2 GUIDE
"10 Steps Every CISO Should Take to Secure Next-Gen Software" Cindy Blake
Те самые 10 шагов:
1) Инвестиция в сканирование зависимостей, безопасности контейнеров и облачной инфраструктуры. SAST, DAST к каждому новому участку кода
2) Пересмотр безопасности. Выравнивание метрик и управление рисками. Исправление текущих уязвимостей важнее обнаружения новых
3) Инструменты и процессы обязательно должны идти рука об руку. Начните с процесса, а затем примените инструменты, которые помогут вам достичь желаемого результата.
4) Идти вширь, а не вглубь. Проверять каждом изменение на наличие распространненных уязвимостей, а не на наличие наиболее "критических"
5) Объедините рабочий процесс, применяя непрерывное сканирование безопасности с итеративной разработкой
6) Проверка на наличие уязвимостей в момент коммита, чтобы разбить работу на более мелкие и эффективные циклы сканирования
7) Автоматизация, позволяющая безопасности сосредоточиться на исключениях.
8) Примите открытый исходный код. Согласуйте цели с разработчиками. Совместите тестирование безопасности с рабочим процессом разработчика. Стандартизируйте конвейеры, код и многое другое для получения согласованных, предсказуемых результатов.
9) Применять принципы Zero-Trust к приложениям и их инфраструктуре.
10) Защитите целостность процесса разработки и доставки программного обеспечения, обеспечив надлежащий контроль аудита и бесперебойную работу по всему SDLC.
Подробности в файле следующим сообщением.
#report #checklist #dev #ops
Те самые 10 шагов:
1) Инвестиция в сканирование зависимостей, безопасности контейнеров и облачной инфраструктуры. SAST, DAST к каждому новому участку кода
2) Пересмотр безопасности. Выравнивание метрик и управление рисками. Исправление текущих уязвимостей важнее обнаружения новых
3) Инструменты и процессы обязательно должны идти рука об руку. Начните с процесса, а затем примените инструменты, которые помогут вам достичь желаемого результата.
4) Идти вширь, а не вглубь. Проверять каждом изменение на наличие распространненных уязвимостей, а не на наличие наиболее "критических"
5) Объедините рабочий процесс, применяя непрерывное сканирование безопасности с итеративной разработкой
6) Проверка на наличие уязвимостей в момент коммита, чтобы разбить работу на более мелкие и эффективные циклы сканирования
7) Автоматизация, позволяющая безопасности сосредоточиться на исключениях.
8) Примите открытый исходный код. Согласуйте цели с разработчиками. Совместите тестирование безопасности с рабочим процессом разработчика. Стандартизируйте конвейеры, код и многое другое для получения согласованных, предсказуемых результатов.
9) Применять принципы Zero-Trust к приложениям и их инфраструктуре.
10) Защитите целостность процесса разработки и доставки программного обеспечения, обеспечив надлежащий контроль аудита и бесперебойную работу по всему SDLC.
Подробности в файле следующим сообщением.
#report #checklist #dev #ops
10-steps-ciso-secure-next-gen-software.pdf
21.6 MB
"10 Steps Every CISO Should Take to Secure Next-Gen Software" Cindy Blake
ZN2019_AWS.pdf
3.2 MB
Облачная безопасность: AWS
Думаю в первую очередь стоит поделиться презентацией с Zeronights Web Village 2019 о AWS секьюрити. Особено рекомендуется заглянуть в конец презентации в секцию ссылок на полезные материалы.
Также достойно вниманию презентация с Derbycon 2019 "API Keys Now What". Jim Shaver разбирает базовые принципы AWS и даже проводит некую параллель между AWS и Azure AD, после чего переходит к рассказу о инструментах и разных техниках.
Топ 11 постов AWS Security Blog за 2019 год:
https://aws.amazon.com/blogs/security/top-11-posts-during-2019/
Курсы от Linux Academy по AWS Security:
AWS Security Essentials
AWS Certified Security – Specialty Certification
Доклады предоставлены Денисом Рыбиным: канал
#AWS #ops
Думаю в первую очередь стоит поделиться презентацией с Zeronights Web Village 2019 о AWS секьюрити. Особено рекомендуется заглянуть в конец презентации в секцию ссылок на полезные материалы.
Также достойно вниманию презентация с Derbycon 2019 "API Keys Now What". Jim Shaver разбирает базовые принципы AWS и даже проводит некую параллель между AWS и Azure AD, после чего переходит к рассказу о инструментах и разных техниках.
Топ 11 постов AWS Security Blog за 2019 год:
https://aws.amazon.com/blogs/security/top-11-posts-during-2019/
Курсы от Linux Academy по AWS Security:
AWS Security Essentials
AWS Certified Security – Specialty Certification
Доклады предоставлены Денисом Рыбиным: канал
#AWS #ops
Forwarded from Технологический Болт Генона
The DevSecOps Security Checklist от sqreen (https://www.sqreen.com/).
Каждый раздел содержит ссылки на соответствующую тематику.
Каждый раздел содержит ссылки на соответствующую тематику.
devopssec.pdf
3.4 MB
"DevOpsSec. Securing Software through Continuous Delivery." Jim Bird
Небольшая вводная книга в безопасный DevOps
Темы:
1) DevOpsSec: Delivering Secure Software through CD
2) Security and Compliance Challenges and Constraints in DevOps
3) Keys to Injecting Security into DevOps
4) Security as Code: Security Tools and Practices in Continuous Delivery
5) Compliance as Code
6) Conclusion: Building a Secure DevOps Capability and Culture
#literature #dev #ops
Небольшая вводная книга в безопасный DevOps
Темы:
1) DevOpsSec: Delivering Secure Software through CD
2) Security and Compliance Challenges and Constraints in DevOps
3) Keys to Injecting Security into DevOps
4) Security as Code: Security Tools and Practices in Continuous Delivery
5) Compliance as Code
6) Conclusion: Building a Secure DevOps Capability and Culture
#literature #dev #ops
"DevSecOps Workshop - Secure Software Factory"
Воркшоп от RedHat по построению безопасного конвейера для веб-приложения на Java на базе OpenShift Container Platform. Среди используемых инструментов: Gogs, Nexus, Jenkins, Sonarqube, Che.
Кстати довольно наглядная картинка пайплайна.
http://redhatgov.io/workshops/secure_software_factory/
#openshift #practise #ops
Воркшоп от RedHat по построению безопасного конвейера для веб-приложения на Java на базе OpenShift Container Platform. Среди используемых инструментов: Gogs, Nexus, Jenkins, Sonarqube, Che.
Кстати довольно наглядная картинка пайплайна.
http://redhatgov.io/workshops/secure_software_factory/
#openshift #practise #ops
Сканеры Kubernetes (free)
Несколько дней назад стартап Octarine выпустила open source решение kube-scan - инструмент для оценки рабочей нагрузки, который основан на KCCSS и сканирует конфигурации и настройки Kubernetes для выявления и ранжирования потенциальных уязвимостей в приложениях. KCCSS - это структура для оценки рисков безопасности, связанных с неправильной конфигурацией. KCCSS аналогична Common Vulnerability Scoring System (CVSS), отраслевому стандарту для оценки уязвимостей, но вместо этого фокусируется на самих конфигурациях и настройках безопасности.
Kube-scan от Octarine - не единственный open source сканер k8s.
KubiScan от CyberARK. KubiScan помогает администраторам кластера определять разрешения, которые злоумышленники могут использовать для взлома кластеров. Это может быть особенно полезно в больших средах, где есть много разрешений, которые сложно отследить.
Kube-hunter от Aqua Security. Сканер уязвимостей k8s. Базу данных уязвимсотей можно увидеть здесь.
Kube-bench от Aqua Security. Сканер проверяет, безопасно ли развернут k8s.
#k8s #news #tools #ops
Несколько дней назад стартап Octarine выпустила open source решение kube-scan - инструмент для оценки рабочей нагрузки, который основан на KCCSS и сканирует конфигурации и настройки Kubernetes для выявления и ранжирования потенциальных уязвимостей в приложениях. KCCSS - это структура для оценки рисков безопасности, связанных с неправильной конфигурацией. KCCSS аналогична Common Vulnerability Scoring System (CVSS), отраслевому стандарту для оценки уязвимостей, но вместо этого фокусируется на самих конфигурациях и настройках безопасности.
Kube-scan от Octarine - не единственный open source сканер k8s.
KubiScan от CyberARK. KubiScan помогает администраторам кластера определять разрешения, которые злоумышленники могут использовать для взлома кластеров. Это может быть особенно полезно в больших средах, где есть много разрешений, которые сложно отследить.
Kube-hunter от Aqua Security. Сканер уязвимостей k8s. Базу данных уязвимсотей можно увидеть здесь.
Kube-bench от Aqua Security. Сканер проверяет, безопасно ли развернут k8s.
#k8s #news #tools #ops
VMware
VMware Security Solutions
Deliver security that’s built-in & distributed with your control points of users, devices, workloads & network, with fewer tools & silos, & better context.