Information Security Management through Reflexive Security.pdf
315.2 KB
"Information Security
Management through
Reflexive Security" by CSA
Документ определяет понятие рефлексивной безопасности (Reflexive Security) как новый подход к управлению ИБ, основанный на принципах Agile и DevOps. Reflexive Security подчеркивает безопасность между организационными ролями, которая реагирует на внешние и внутренние угрозы гибким и динамичным способом. Reflexive Security призван стать новой стратегией управления информационной безопасностью, которая является динамичной, интерактивной, эффективной и целостной по сравнению с традиционными (СУИБ)
#law #report #dev #ops
Management through
Reflexive Security" by CSA
Документ определяет понятие рефлексивной безопасности (Reflexive Security) как новый подход к управлению ИБ, основанный на принципах Agile и DevOps. Reflexive Security подчеркивает безопасность между организационными ролями, которая реагирует на внешние и внутренние угрозы гибким и динамичным способом. Reflexive Security призван стать новой стратегией управления информационной безопасностью, которая является динамичной, интерактивной, эффективной и целостной по сравнению с традиционными (СУИБ)
#law #report #dev #ops
The State of Open Source Secuirty 2020
У WhiteSource вышел ежегодный отчет по уязвимостям, которые можно встретить в открытом исходном коде. Если коротко, то было зафиксировано примерно на 50% больше уязвимостей в 2019 году, чем в 2018. Самые популярные - XSS, некорректная проверка ввода, ошибки, связанные с буффером.
https://goo.su/0nqw
#report #dev
У WhiteSource вышел ежегодный отчет по уязвимостям, которые можно встретить в открытом исходном коде. Если коротко, то было зафиксировано примерно на 50% больше уязвимостей в 2019 году, чем в 2018. Самые популярные - XSS, некорректная проверка ввода, ошибки, связанные с буффером.
https://goo.su/0nqw
#report #dev
sooss_2020_final_v2.pdf
9.7 MB
State of Open Source Security Report 2020
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
Introducing the State of Open Source Terraform Security Report 2020
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
DSO_Community_Survey_2020_ru_.pdf
16.3 MB
DevSecOps Community Survey 2020
Swordfish Security представили перевод ежегодного отчета DevSecOps Community Survey 2020 от Sonatype на русском языке. Основная цель отчета - показать как меняется жизнь компании, в особенности разработчиков, после внедрения практик безопасной разработки.
#report #dev
Swordfish Security представили перевод ежегодного отчета DevSecOps Community Survey 2020 от Sonatype на русском языке. Основная цель отчета - показать как меняется жизнь компании, в особенности разработчиков, после внедрения практик безопасной разработки.
#report #dev
Aqua_Security_Cloud_Native_Security_Threat_Report_2020.pdf
9.8 MB
Evolution of Attacks in the Wild on Container Infrastructure 2020
Только что прилетел на почту первый отчет по Cloud Native угрозам от Aqua Security. В нем можно прочитать про современные атаки, их классификацию, этапы, статистику, описание, примеры использования MITRE Techniques. Хочется отметить, что на первый взгляд материал не является каким-то маркетинговым булшитом (как часто бывает в вендорских отчетах).
#report #ops #k8s #docker #attack
Только что прилетел на почту первый отчет по Cloud Native угрозам от Aqua Security. В нем можно прочитать про современные атаки, их классификацию, этапы, статистику, описание, примеры использования MITRE Techniques. Хочется отметить, что на первый взгляд материал не является каким-то маркетинговым булшитом (как часто бывает в вендорских отчетах).
#report #ops #k8s #docker #attack
State_of_software_security_vol_11.pdf
11.2 MB
State of Software Security
Со временем начинаю все меньше любить вендорские отчеты в виду большого колличетсва воды и минимальной ценности. Тем не менее заинтересовал последний отчет Veracode. Они проанализировали различные уязвимости с точки зрения их покрытия с помощью SAST и DAST - что из них эффективнее и при каких условиях, зависимость эффективности инструментов от частоты сканирования и способе их использования. Также рассматриваются уязвимости по степени их популярности и времени фикса.
Также в отчете отдельно рассматриваются "природные" (nature) и "приобретенные" (narture) факторы команды и то, как они влияют на безопасность приложений. К "природным" относятся масштабы организации и приложений, величины тех. долга безопасности. К "приобретенным" факторам относится все то, на что команда может повлиять, например, на частоту сканирования.
#sast #dast #sca #dev #report
Со временем начинаю все меньше любить вендорские отчеты в виду большого колличетсва воды и минимальной ценности. Тем не менее заинтересовал последний отчет Veracode. Они проанализировали различные уязвимости с точки зрения их покрытия с помощью SAST и DAST - что из них эффективнее и при каких условиях, зависимость эффективности инструментов от частоты сканирования и способе их использования. Также рассматриваются уязвимости по степени их популярности и времени фикса.
Также в отчете отдельно рассматриваются "природные" (nature) и "приобретенные" (narture) факторы команды и то, как они влияют на безопасность приложений. К "природным" относятся масштабы организации и приложений, величины тех. долга безопасности. К "приобретенным" факторам относится все то, на что команда может повлиять, например, на частоту сканирования.
#sast #dast #sca #dev #report
rep-opensource-devsecops-survey-2020.pdf
792.6 KB
DevSecOps Practices And Open Source Managent in 2020
Отчет от Synopsys по результатам опроса 1500 специалистов касательно DevSecOps и проверки open-source компонентов.
Коротко:
- 66% опрошенных внедрили практики DevSecOps, но только половина из них считает, что они достаточно зрелы и распространены на всю организацию
- 42% считают, что за DevSecOps ответственна команда ИБ, 29% - разработка, 9% - эксплуатация, 18% - ответственность распределенная
- Самые популярные средства защиты - WAF, SCA, DAST
- 72% имеют политику использования open-source
- У 51% опрошенных фикс критической уязвимости с момента ее обнаружения занимает 2-3 недели, 24% - месяц
И некоторая другая статистика в pdf.
Ну и не обошлось конечно же без рекламы Synopsys и заезженной истории про Equifax. Хотя, если верить их опросу, то 33% опрошенных стали использовать коммерческий SCA после соответствующей публикации в СМИ.
За ссылку спасибо @Mr_R1p
#dev #ops #report
Отчет от Synopsys по результатам опроса 1500 специалистов касательно DevSecOps и проверки open-source компонентов.
Коротко:
- 66% опрошенных внедрили практики DevSecOps, но только половина из них считает, что они достаточно зрелы и распространены на всю организацию
- 42% считают, что за DevSecOps ответственна команда ИБ, 29% - разработка, 9% - эксплуатация, 18% - ответственность распределенная
- Самые популярные средства защиты - WAF, SCA, DAST
- 72% имеют политику использования open-source
- У 51% опрошенных фикс критической уязвимости с момента ее обнаружения занимает 2-3 недели, 24% - месяц
И некоторая другая статистика в pdf.
Ну и не обошлось конечно же без рекламы Synopsys и заезженной истории про Equifax. Хотя, если верить их опросу, то 33% опрошенных стали использовать коммерческий SCA после соответствующей публикации в СМИ.
За ссылку спасибо @Mr_R1p
#dev #ops #report
pf-2021-container-security-and-usage-report.pdf
1.3 MB
Sysdig 2021 container security and usage report
Sysdig выпустила большой отчет об использовании контейнерных технологий и обеспечении их безопасности. Отчет формировался на базе информации от клиентов Sysdig.
Статью со сводной информацией можно прочитать здесь.
Коротко:
- 49% контейнеров живут меньше 5 минут, 21% менее 10 секунд
- 74% клиентов сканируют образы в CI/CD, при этом 58% контейнеров запускаются от рута
- Рост использования containerd и CRI-O в 2 раза за 2020 год
- 53% уязвимостей программных компонентов (библиотеки PIP, Ruby и тд) обладают высоким уровнем критичности. Для ОС-компонентов только 4% из всех уязвимостей обладают высоким уровнем критичности.
- Рост использования Falco в 3 раза за 2020 год. Рост использования Prometheus на 16% за 2020 год. И то и то очень удачно вписывается в продажи Sysdig ;)
В отчете очень много информации, которая не относится к security вроде числа нод, подов на хост, статистики алертов и тд.
#ops #k8s #docker #report
Sysdig выпустила большой отчет об использовании контейнерных технологий и обеспечении их безопасности. Отчет формировался на базе информации от клиентов Sysdig.
Статью со сводной информацией можно прочитать здесь.
Коротко:
- 49% контейнеров живут меньше 5 минут, 21% менее 10 секунд
- 74% клиентов сканируют образы в CI/CD, при этом 58% контейнеров запускаются от рута
- Рост использования containerd и CRI-O в 2 раза за 2020 год
- 53% уязвимостей программных компонентов (библиотеки PIP, Ruby и тд) обладают высоким уровнем критичности. Для ОС-компонентов только 4% из всех уязвимостей обладают высоким уровнем критичности.
- Рост использования Falco в 3 раза за 2020 год. Рост использования Prometheus на 16% за 2020 год. И то и то очень удачно вписывается в продажи Sysdig ;)
В отчете очень много информации, которая не относится к security вроде числа нод, подов на хост, статистики алертов и тд.
#ops #k8s #docker #report
NCC_Group_Google_GOIST2005_Report_2020-08-06_v1.1 .pdf
849.7 KB
Announcing the results of Istio’s first security assessment
Команда Istio выпустила результаты аудита безопасности их продукта версии 1.6.5, который проводился NCC Group в прошлом году. К отчету идет сопутствующая статья, где поясняется, откуда взялись те или иные Security Best Practices.
#ops #attack #report #k8s
Команда Istio выпустила результаты аудита безопасности их продукта версии 1.6.5, который проводился NCC Group в прошлом году. К отчету идет сопутствующая статья, где поясняется, откуда взялись те или иные Security Best Practices.
#ops #attack #report #k8s