DevSecOps : What, Why and How
На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.
Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058
#bestpractice #dev #ops
На канал Black Hat дозалили доклады с Black Hat USA 2019, в том числе доклад "DevSecOps : What, Why and How", в котором Anant Shrivastava проходит по всему пайплану DevSecOps, приводя примеры и лучшие практики. Рекомендую.
Доклад:
https://youtu.be/DzX9Vi_UQ8o
Материалы:
https://www.blackhat.com/us-19/briefings/schedule/#devsecops--what-why-and-how-17058
#bestpractice #dev #ops
RSA Conference 2020 - AppSec
Собрал все самое интересное с RSA Conference 2020 по выстраиванию безопасного DevOps. Некоторым тезисам планирую посвятить отдельные посты
The Impact of Software Security Practice Adoption Quantified
- ребята из Comcast написали свой фреймворк Greenhouse для визуалиции лучших практик DevSecOps и оценки степени зрелости команд. В конце презентации они рассказывают, какие практики несут наибольшую пользу для снижения рисков, а что несет только вред
DevSecOps State of the Union - Clint Gibler проанализировал кучу источников, чтобы собрать все лучшие практики в одной презентации. В конце то, от чего стоит отказаться для оптимизации времени на AppSec.
Dude, You’re Getting a Dell: Organizational Culture Shift to SDL Maturity - опыт выстраивания культуры безопасной разработки на примере огромного Dell: используемые фреймворки, выстраивание Security Champion Program и 10 ключевых шагов
Using the Hacker Persona to Build Your DevSecOps Pipeline
- про уязвимые места в DevOps пайплане для нанесения вреда инсайдерами, неосторожными разработчиками и APT, каким образом можно выявить нарушителей зная их поведение, архетипы и мотивации
#bestpractice #dev #ops
Собрал все самое интересное с RSA Conference 2020 по выстраиванию безопасного DevOps. Некоторым тезисам планирую посвятить отдельные посты
The Impact of Software Security Practice Adoption Quantified
- ребята из Comcast написали свой фреймворк Greenhouse для визуалиции лучших практик DevSecOps и оценки степени зрелости команд. В конце презентации они рассказывают, какие практики несут наибольшую пользу для снижения рисков, а что несет только вред
DevSecOps State of the Union - Clint Gibler проанализировал кучу источников, чтобы собрать все лучшие практики в одной презентации. В конце то, от чего стоит отказаться для оптимизации времени на AppSec.
Dude, You’re Getting a Dell: Organizational Culture Shift to SDL Maturity - опыт выстраивания культуры безопасной разработки на примере огромного Dell: используемые фреймворки, выстраивание Security Champion Program и 10 ключевых шагов
Using the Hacker Persona to Build Your DevSecOps Pipeline
- про уязвимые места в DevOps пайплане для нанесения вреда инсайдерами, неосторожными разработчиками и APT, каким образом можно выявить нарушителей зная их поведение, архетипы и мотивации
#bestpractice #dev #ops
YouTube
The Impact of Software Security Practice Adoption Quantified
Larry Maccherone, DevSecOps Transformation, Comcast
This talk will present research quantifying the impact that various software security practices have on security risk outcomes. Comcast has correlated practices like secure coding training, threat modeling…
This talk will present research quantifying the impact that various software security practices have on security risk outcomes. Comcast has correlated practices like secure coding training, threat modeling…
F5Day_devsecops_waf.pdf
2.1 MB
Shift WAF left
F5 Days - конференция, которая проходит под эгидой F5 Networks, на которой наш ведущий инженер Александр Бутенко должен был выступать с докладом по встраиванию F5 в CI/CD на этапах тестов. К сожалению, так получилось, что конференция была отменена из-за небезызвестного вируса. Я решил, что материалу надо дать шанс на ознакомление, поэтому прикладываю его к посту.
Основные тезисы:
- прорабатываем и публикуем политики защиты WAF на этапах test фокус-группами или специалистами ИБ
- формируем эффективные политики за счет усечения фокус-группами веб-запросов, генерируемых dev-тестами + обучение WAF
#WAF #bestpractice #dev #ops
F5 Days - конференция, которая проходит под эгидой F5 Networks, на которой наш ведущий инженер Александр Бутенко должен был выступать с докладом по встраиванию F5 в CI/CD на этапах тестов. К сожалению, так получилось, что конференция была отменена из-за небезызвестного вируса. Я решил, что материалу надо дать шанс на ознакомление, поэтому прикладываю его к посту.
Основные тезисы:
- прорабатываем и публикуем политики защиты WAF на этапах test фокус-группами или специалистами ИБ
- формируем эффективные политики за счет усечения фокус-группами веб-запросов, генерируемых dev-тестами + обучение WAF
#WAF #bestpractice #dev #ops
SAMM v2
Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?
Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.
Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео
#bestpractice #checklist #dev #ops
Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?
Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.
Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео
#bestpractice #checklist #dev #ops
owaspsamm.org
OWASP SAMM version 2 - public release
After three years of preparation, our SAMM project team has delivered version 2 of SAMM! OWASP SAMM (Software Assurance Maturity Model) is the OWASP framework to help organizations assess, formulate, and implement, through our self-assessment model, a strategy…
BSIMM
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.
Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.
В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.
#bsimm #bestpractice #checklist #dev #ops
Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.
Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.
В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.
#bsimm #bestpractice #checklist #dev #ops
Политики безопасности AppSec и отслеживание метрик.
В продолжении к переводу о ведении политики безопасности приложений. Стивен Гейтс из Checkmarx пишет о том, что должна включать политика безопасности.
https://securityboulevard.com/2020/03/discussing-appsec-policies-within-devsecops/
В частности он упоминает важность формализации того, как необходимо управлять и отслеживать показатели эффективности (KPI). Частью KPI является знание того, какие области нуждаются в улучшении, а какие нет. Это позволяет организациям определить, соблюдается ли политика AppSec.
Вспомнил доклад Юрия Шабалина и Антона Башарина с OFFZONE 2018 про безопасность как код. Там, в частности, они довольно наглядно рассказывают про метрики безопасности, о том какие инструменты могут помочь команде разработке и как их эффективно использовать.
https://youtu.be/wfHJyqhTW1o
#bestpractice #ops
В продолжении к переводу о ведении политики безопасности приложений. Стивен Гейтс из Checkmarx пишет о том, что должна включать политика безопасности.
https://securityboulevard.com/2020/03/discussing-appsec-policies-within-devsecops/
В частности он упоминает важность формализации того, как необходимо управлять и отслеживать показатели эффективности (KPI). Частью KPI является знание того, какие области нуждаются в улучшении, а какие нет. Это позволяет организациям определить, соблюдается ли политика AppSec.
Вспомнил доклад Юрия Шабалина и Антона Башарина с OFFZONE 2018 про безопасность как код. Там, в частности, они довольно наглядно рассказывают про метрики безопасности, о том какие инструменты могут помочь команде разработке и как их эффективно использовать.
https://youtu.be/wfHJyqhTW1o
#bestpractice #ops
Telegram
DevSecOps Wine
Обеспечение соответствия и ведение политик (BSIMM - Governance, Compliance & Policy)
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо…
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо…
ebook_An_Integrated_Approach_to_Embedding_Security_into_DevOps_A.pdf
1.3 MB
An Integrated Approach to Embedding Security into DevOps
А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.
#bestpractice #dev
А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.
#bestpractice #dev
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
GitGuardian Blog - Take Control of Your Secrets Security
How to Avoid Security Risks After Leaking Credentials and API Keys on GitHub
If you have discovered that you have just exposed a sensitive file or secrets to a public git repository, there are some very important steps to follow.
Bug Bounty - how to
Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.
Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов
How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.
#bestpractice #dev #ops #attack
Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.
Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов
How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.
#bestpractice #dev #ops #attack
The GitHub Blog
Six years of the GitHub Security Bug Bounty program
Learn more about the Bug Bounty program, including a recap of 2019’s bugs, our expanded scope, new features, and more.
Top 10 security items to improve in your AWS account
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice #ops
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice #ops