"Статическое тестирование безопасности опенсорсными инструментами"
Александра Сватикова, спикер Heisenbug 2019 Moscow, в своей статье на Хабре рассказывает о принципах работы SAST, приводит пример уязвимостей, объясняет, почему SAST не всегда их находит и как выбрать open-source SAST. Также есть примеры правил на Find Security Bugs.
https://habr.com/ru/company/odnoklassniki/blog/486722/
#sast #tools #dev
Александра Сватикова, спикер Heisenbug 2019 Moscow, в своей статье на Хабре рассказывает о принципах работы SAST, приводит пример уязвимостей, объясняет, почему SAST не всегда их находит и как выбрать open-source SAST. Также есть примеры правил на Find Security Bugs.
https://habr.com/ru/company/odnoklassniki/blog/486722/
#sast #tools #dev
Хабр
Статическое тестирование безопасности опенсорсными инструментами
Уязвимости в своём коде хочется находить как можно быстрее, а значит нужно автоматизировать этот процесс. Как именно автоматизировать поиск уязвимостей? Существует динамическое тестирование...
Какая разница между DevOps и DevSecOps?
"Для того, чтобы стимулировать внедрение DevSecOps, компания Cloud Security Alliance выделила шесть категорий, на которые следует обратить внимание.
1) Коллективная ответственность. Безопасность не является чем-то эфемерным, прогресс и вклад которого невозможно измерить. Каждый сотрудник организации несет ответственность за безопасность и осознает собственный вклад в ее обеспечение.
2) Сотрудничество и интеграция: безопасность может быть достигнута только путем сотрудничества, а не конфронтации.
3) Прагматичная реализация: используя независимую от инфраструктуры модель цифровой безопасности и конфиденциальности, ориентированную на разработку приложений, для обеспечения безопасности, конфиденциальности и доверия в цифровом обществе, организации смогут прагматично подходить к безопасности в DevOps.
4) Обеспечение соответствия стандартам и разработки: ключом к заполнению пробелов между соответствием стандартам и разработкой является преобразование средств управления в соответствующие критерии программного обеспечения, а также определение переломных моментов в жизненном цикле программного обеспечения, где эти средства управления могут быть автоматизированы и измерены.
5) Автоматизация: качество программного обеспечения может быть улучшено за счет более тщательного, своевременного и регулярного тестирования.
Поддающиеся автоматизации процессы нужно автоматизировать, а от неподдающихся следует отказаться.
6) Измерение, мониторинг, протоколирование и действие: для успеха DevSecOps разработка программного обеспечения и его работа после установки на системах должны непрерывно контролироваться уполномоченными лицами в отведенное для этого время."
https://www.viva64.com/ru/b/0710/
#dev #ops
"Для того, чтобы стимулировать внедрение DevSecOps, компания Cloud Security Alliance выделила шесть категорий, на которые следует обратить внимание.
1) Коллективная ответственность. Безопасность не является чем-то эфемерным, прогресс и вклад которого невозможно измерить. Каждый сотрудник организации несет ответственность за безопасность и осознает собственный вклад в ее обеспечение.
2) Сотрудничество и интеграция: безопасность может быть достигнута только путем сотрудничества, а не конфронтации.
3) Прагматичная реализация: используя независимую от инфраструктуры модель цифровой безопасности и конфиденциальности, ориентированную на разработку приложений, для обеспечения безопасности, конфиденциальности и доверия в цифровом обществе, организации смогут прагматично подходить к безопасности в DevOps.
4) Обеспечение соответствия стандартам и разработки: ключом к заполнению пробелов между соответствием стандартам и разработкой является преобразование средств управления в соответствующие критерии программного обеспечения, а также определение переломных моментов в жизненном цикле программного обеспечения, где эти средства управления могут быть автоматизированы и измерены.
5) Автоматизация: качество программного обеспечения может быть улучшено за счет более тщательного, своевременного и регулярного тестирования.
Поддающиеся автоматизации процессы нужно автоматизировать, а от неподдающихся следует отказаться.
6) Измерение, мониторинг, протоколирование и действие: для успеха DevSecOps разработка программного обеспечения и его работа после установки на системах должны непрерывно контролироваться уполномоченными лицами в отведенное для этого время."
https://www.viva64.com/ru/b/0710/
#dev #ops
PVS-Studio
Какая разница между DevOps и DevSecOps?
DevOps – это методология, нацеленная на взаимодействие программистов и системных администраторов, которые в тесном взаимодействии разрабатывают продукт. DevOps engineer — специалист, который работает...
Forwarded from Технологический Болт Генона
Выложили доклады с AppSec Day 2019
https://www.youtube.com/playlist?list=PLPvxR0i93gjRu5ZWvoqf6-jd__FyFoqmQ
Программа тут
https://appsecday.io/schedule/
https://www.youtube.com/playlist?list=PLPvxR0i93gjRu5ZWvoqf6-jd__FyFoqmQ
Программа тут
https://appsecday.io/schedule/
О продукте Wallarm FAST - коротко
Вчера ребята из Wallarm провели для нас демонстрацию своего продукта FAST, инструмента для автоматической генерации и выполнения тестов безопасности, выявляющих уязвимости в веб-приложениях.
Узел FAST (прокси) разворачивается в виде контейнера Docker на отдельно выделенном хосте или на хосте приложения. Узел связывается с облаком Wallarm с помощью ранее сгенерированного токена в личном кабинете администратора в облаке. Для того, чтобы начать пользоваться FAST администратор задает в личном кабинете политику тестирования, которая будет применяться к приложению, в том числе набор преднастреонных атак, парамеры фазинга, число потоков, insertion points (параметры запросов, исключения на директории). После этого узел FAST задается как прокси в браузере, который осуществляет тестирование веб-приложения на основе тех функциональных тестовов, которые вы выполняете. Также есть возможность выполнять преднастроенные тесты, встроив FAST в CI/CD.
Продукт также предоставляет пользователям предметно-ориентированный язык (domain-specific language, DSL) для описания расширений. Это позволяет писать расширения для обнаружения уязвимостей без каких-либо навыков программирования. Расширения описываются с использованием YAML. Примеры.
Вебинар.
Документация.
Пример интеграции с CI/CD.
Попробовать.
#dast #tools #dev
Вчера ребята из Wallarm провели для нас демонстрацию своего продукта FAST, инструмента для автоматической генерации и выполнения тестов безопасности, выявляющих уязвимости в веб-приложениях.
Узел FAST (прокси) разворачивается в виде контейнера Docker на отдельно выделенном хосте или на хосте приложения. Узел связывается с облаком Wallarm с помощью ранее сгенерированного токена в личном кабинете администратора в облаке. Для того, чтобы начать пользоваться FAST администратор задает в личном кабинете политику тестирования, которая будет применяться к приложению, в том числе набор преднастреонных атак, парамеры фазинга, число потоков, insertion points (параметры запросов, исключения на директории). После этого узел FAST задается как прокси в браузере, который осуществляет тестирование веб-приложения на основе тех функциональных тестовов, которые вы выполняете. Также есть возможность выполнять преднастроенные тесты, встроив FAST в CI/CD.
Продукт также предоставляет пользователям предметно-ориентированный язык (domain-specific language, DSL) для описания расширений. Это позволяет писать расширения для обнаружения уязвимостей без каких-либо навыков программирования. Расширения описываются с использованием YAML. Примеры.
Вебинар.
Документация.
Пример интеграции с CI/CD.
Попробовать.
#dast #tools #dev
Wallarm
Application automated Penetration Testing🆗 | Wallarm FAST
Wallarm FAST enables automated security testing in your CI/CD pipeline. ✔️ Identify vulnerabilities in applications and APIs with dynamic security testing that runs as fast as your DevOps teams.
"Developers are taking over AppSec" by WhiteSource
Компания WhiteSource представила статистику по безопасности приложений на базе опроса около 600 разработчиков
Статистика охватывает следующие вопросы:
- Кто несет ответственность за безопасность приложения
- Как расставляются приоритеты относительно безопасности приложений в компаниях
- На каком этапе SDLC разработчики начинают тестировать безопасность приложения
- Про обучение безопасности разработчиков
- На что ориентируются команды при выборе бесплатных инструментов AppSec
- Какие бесплатные инструменты для AppSec используются
За ссылку спасибо @oleg_log
#report
https://www.whitesourcesoftware.com/developers-security-report/
#dev #sca
Компания WhiteSource представила статистику по безопасности приложений на базе опроса около 600 разработчиков
Статистика охватывает следующие вопросы:
- Кто несет ответственность за безопасность приложения
- Как расставляются приоритеты относительно безопасности приложений в компаниях
- На каком этапе SDLC разработчики начинают тестировать безопасность приложения
- Про обучение безопасности разработчиков
- На что ориентируются команды при выборе бесплатных инструментов AppSec
- Какие бесплатные инструменты для AppSec используются
За ссылку спасибо @oleg_log
#report
https://www.whitesourcesoftware.com/developers-security-report/
#dev #sca
Mend
Developers Security Report - Mend
The survey gathered responses from 650 developers in NA and Europe about how their organizations handle the day-to-day operational responsibility for application security from identification to remediation.
DAST for web - подборка инструментов (free)
Zed Attack Proxy (ZAP) - мощный мультиплаформенный инструмент от OWASP для тестировоания безопасности веб-приложений. Инструмент написан на Java , поддерживает автоматическое сканирование, аутентификацию, Ajax spiders, фаззинг, тестирование веб-сокетов. Под ZAP есть плагин Jenkins. Статья про интеграцию.
Wfuzz - инструмент написан на Python, поддерживает аутентификацию, cookies fazzing, мультипоточность, вывод в html, прокси и SOCK
Wapiti - инструмент для опытных пользователей без GUI и веб-интерфейса, имеет поддержку аутентификации с помощью Kerberos и NTLM, умеет првоерять на XXE inj, слабую конфигурацию .htaccess, искать конфиденциальную информацию в резервных копиях
W3af - один из самых популярных инструментов тестироования на Python, есть GUI, легко разваричивается, имет большую базу уязвимостей, расширяется с помощью плагинов. Полный перечень плагинов.
Vega - инструмент на Java с GUI, имеет возможность проверять настройки безопасности TLS / SSL, SSL MITM, расширяется с помощью API-интерфейса модуля JavaScript
Более широкий перечень DAST можно найтти на странице OWASP здесь
Наверняка забыл еще какие-то интересные фичи. Вспомните - пишите в лс )
#dast #tools #dev
Zed Attack Proxy (ZAP) - мощный мультиплаформенный инструмент от OWASP для тестировоания безопасности веб-приложений. Инструмент написан на Java , поддерживает автоматическое сканирование, аутентификацию, Ajax spiders, фаззинг, тестирование веб-сокетов. Под ZAP есть плагин Jenkins. Статья про интеграцию.
Wfuzz - инструмент написан на Python, поддерживает аутентификацию, cookies fazzing, мультипоточность, вывод в html, прокси и SOCK
Wapiti - инструмент для опытных пользователей без GUI и веб-интерфейса, имеет поддержку аутентификации с помощью Kerberos и NTLM, умеет првоерять на XXE inj, слабую конфигурацию .htaccess, искать конфиденциальную информацию в резервных копиях
W3af - один из самых популярных инструментов тестироования на Python, есть GUI, легко разваричивается, имет большую базу уязвимостей, расширяется с помощью плагинов. Полный перечень плагинов.
Vega - инструмент на Java с GUI, имеет возможность проверять настройки безопасности TLS / SSL, SSL MITM, расширяется с помощью API-интерфейса модуля JavaScript
Более широкий перечень DAST можно найтти на странице OWASP здесь
Наверняка забыл еще какие-то интересные фичи. Вспомните - пишите в лс )
#dast #tools #dev
ZAP
The ZAP Homepage
Welcome to ZAP!
Hands_On_Security_in_DevOps_Ensure.pdf
8.1 MB
"Hands-On Security in DevOps: Ensure continuous security, deployment, and delivery with DevSecOps Kindle Edition"
Содержание
1) DevSecOps Драйверы и проблемы
2) Цель безопасности и метрики
3) Программа и организация обеспечения безопасности
4) Требования безопасности и соответствие
5) Пример из практики: Программа обеспечения безопасности
6) Архитектура безопасности, структура общих модулей, принципы проектирования
7) Практика моделирования угроз и безопасный дизайн
8) Безопасный код, базовый уровень, инструменты и лучшие практики
9) Пример: непрерывные выпуски с безопасностью по умолчанию
10) План тестирования безопасности и кейсы
11) Советы по тестированию WhiteBox
12) Инструменты тестирования безопасности
#literature #dev #ops
Содержание
1) DevSecOps Драйверы и проблемы
2) Цель безопасности и метрики
3) Программа и организация обеспечения безопасности
4) Требования безопасности и соответствие
5) Пример из практики: Программа обеспечения безопасности
6) Архитектура безопасности, структура общих модулей, принципы проектирования
7) Практика моделирования угроз и безопасный дизайн
8) Безопасный код, базовый уровень, инструменты и лучшие практики
9) Пример: непрерывные выпуски с безопасностью по умолчанию
10) План тестирования безопасности и кейсы
11) Советы по тестированию WhiteBox
12) Инструменты тестирования безопасности
#literature #dev #ops
Compliance as Code - tools (free)
Небольшая подборка инструментов по "Compliance left" и обеспечение соответствия как непрерывный процесс
Chef InSpec - это бесплатный фреймворк с открытым исходным кодом для тестирования и аудита приложений и инфраструктуры. Вебинар про возможности InSpec
Compliance Masonry - позволяет пользователям создавать сертификационную документацию с использованием схемы OpenControl. Полезно, если вы собираетесь проходить PCI DSS, например.
OpenSCAP - проект при поддержке Red Hat. Инструменты OpenSCAP совместно с Scap Security Guide можно использовать для автоматического аудита системы и проверки соответствия. Вот как это работает на примере с HIPPA
#tools #compliance #dev #ops
Небольшая подборка инструментов по "Compliance left" и обеспечение соответствия как непрерывный процесс
Chef InSpec - это бесплатный фреймворк с открытым исходным кодом для тестирования и аудита приложений и инфраструктуры. Вебинар про возможности InSpec
Compliance Masonry - позволяет пользователям создавать сертификационную документацию с использованием схемы OpenControl. Полезно, если вы собираетесь проходить PCI DSS, например.
OpenSCAP - проект при поддержке Red Hat. Инструменты OpenSCAP совместно с Scap Security Guide можно использовать для автоматического аудита системы и проверки соответствия. Вот как это работает на примере с HIPPA
#tools #compliance #dev #ops
Прямо сейчас идет вебинар "Web Application Firewall - Friend of your DevOps pipeline?"
Обещают показать, как интегрировать WAF (modsecurity) в CI-пайплайн
https://www.youtube.com/watch?v=YhfGeV9XWlo
#dev #ops #talks
Обещают показать, как интегрировать WAF (modsecurity) в CI-пайплайн
https://www.youtube.com/watch?v=YhfGeV9XWlo
#dev #ops #talks
YouTube
Web Application Firewall - Friend of your DevOps pipeline?
Web Application Firewalls (WAF) often raise concern about false positives, latency and other potential production problems. In addition, it is often said, that DevOps and WAF do not fit together. That is a pity, since the WAF helps to protect us from web…
Forwarded from Технологический Болт Генона
Записи докладов с CNCF Minsk #5
https://www.youtube.com/playlist?list=PLwjWMHa5_FX88yf3fapksH9M1OIGM1aNi
First part: Cloud Security Posture Management - Aleksandr Slobodanyuk, Senior Security Systems Engineer.
• CSPM - general overview
• Overview of commercial and opensource tools
• How does it work?
Second part: Infrastructure as Code Security - Michael Yudin, Senior Security Systems Engineer & German Babenko, Senior Security Systems Engineer.
• Infrastructure as Code intro
• Security in IaC
• IaC security tools: AWS demo, GCP demo
• Verifying of Terraform code for AWS Cloud with integration of security code scanning tools in IaC pipeline.
https://www.youtube.com/playlist?list=PLwjWMHa5_FX88yf3fapksH9M1OIGM1aNi
Cisco Tetration - коротко
Продукт позиционируется для защиты ЦОДов в гетерогенной среде, например, у вас есть k8s, aws, vmware, hyper-v, некий кампус и центральный DataCenter, который со всем взаимодействует.
Чтобы разобраться во всем этом многообразии политик (Network Security group в Azure, Port Groups в vmware и т.д.) и компонентов управления, Cisco выпустила агент, который ставится на все, куда только можно дотянутся. С этих агентов собирается телеметрия, анализируется взаимодействие, после чего в консоли можно увидеть подробности о портах и сервисах. Далее Tetration на основе этого взаимодействия автоматически генерирует единую enforcement-политику, которую можно экспортировать в yaml или json, либо сразу применить на хостах. Как пример - изменить iptables на linux-хостах или закрыть порт во всей гетерогенной среде. После этого Tetration постоянно анализирует поведение и конфигурацию всей системы на наличие отклонений.
Отдельным модулем идет блок Security, который представляет из себя в основном EDR. Есть возможность строить граф взаимодействия процессов и инцидентов на таймлайне, искать уязимости и сететевые аномалии.
Это конечно не про CI/CD пайплайн и к разработке имеет посредственное отношение, но с точки зрения большого интерпрайза (с большим бюджетом), где мониторинг и раскатка политик становится настоящей проблемой, решение предлагает комплексное централизованное и вроде как удобное управление.
Из общедоступных наглядных видео:
Cisco Tetration Policy Enforcement Overview
Cisco Tetration Security Dashboard and Forensics
#enterprise #ops
Продукт позиционируется для защиты ЦОДов в гетерогенной среде, например, у вас есть k8s, aws, vmware, hyper-v, некий кампус и центральный DataCenter, который со всем взаимодействует.
Чтобы разобраться во всем этом многообразии политик (Network Security group в Azure, Port Groups в vmware и т.д.) и компонентов управления, Cisco выпустила агент, который ставится на все, куда только можно дотянутся. С этих агентов собирается телеметрия, анализируется взаимодействие, после чего в консоли можно увидеть подробности о портах и сервисах. Далее Tetration на основе этого взаимодействия автоматически генерирует единую enforcement-политику, которую можно экспортировать в yaml или json, либо сразу применить на хостах. Как пример - изменить iptables на linux-хостах или закрыть порт во всей гетерогенной среде. После этого Tetration постоянно анализирует поведение и конфигурацию всей системы на наличие отклонений.
Отдельным модулем идет блок Security, который представляет из себя в основном EDR. Есть возможность строить граф взаимодействия процессов и инцидентов на таймлайне, искать уязимости и сететевые аномалии.
Это конечно не про CI/CD пайплайн и к разработке имеет посредственное отношение, но с точки зрения большого интерпрайза (с большим бюджетом), где мониторинг и раскатка политик становится настоящей проблемой, решение предлагает комплексное централизованное и вроде как удобное управление.
Из общедоступных наглядных видео:
Cisco Tetration Policy Enforcement Overview
Cisco Tetration Security Dashboard and Forensics
#enterprise #ops
YouTube
Cisco Tetration Policy Enforcement Overview
Learn how to enforce policy utilizing foundational elements of policy lifecycle, Application Dependency Map (ADM), and analysis/testing.
Find out more at https://www.cisco.com/go/tetration
Find out more at https://www.cisco.com/go/tetration
cfn-nag
Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.
Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)
https://github.com/stelligent/cfn_nag
#tools #aws #ops
Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.
Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)
https://github.com/stelligent/cfn_nag
#tools #aws #ops
GitHub
GitHub - stelligent/cfn_nag: Linting tool for CloudFormation templates
Linting tool for CloudFormation templates. Contribute to stelligent/cfn_nag development by creating an account on GitHub.
Security in IaC (Terraform)
В предыдущем посте упомянал тулзу cfn-nag для сканирования шаблонов CloudFormation. Сегодня рассмотрим утилиты для сканирования шаблонов Terraform
Checkov - это инструмент статического анализа кода для infrastructure-as-code. Он сканирует облачную инфраструктуру, предоставляемую с помощью Terraform, и обнаруживает неправильные конфигурации безопасности.
Terrascan - набор инструментов для статического анализа terraform шаблнов используя terraform_validate.
tfsec - аналогичная предыдущим тулза для проверки terraform шаблонов. В отличие от Terrascan проверяет шаблоны для Azure и Google
#tools #terraform #ops
В предыдущем посте упомянал тулзу cfn-nag для сканирования шаблонов CloudFormation. Сегодня рассмотрим утилиты для сканирования шаблонов Terraform
Checkov - это инструмент статического анализа кода для infrastructure-as-code. Он сканирует облачную инфраструктуру, предоставляемую с помощью Terraform, и обнаруживает неправильные конфигурации безопасности.
Terrascan - набор инструментов для статического анализа terraform шаблнов используя terraform_validate.
tfsec - аналогичная предыдущим тулза для проверки terraform шаблонов. В отличие от Terrascan проверяет шаблоны для Azure и Google
#tools #terraform #ops
Container Sec. КРОК.pdf
2.6 MB
Container Security - сравнение
Наши ребята подготовили сравнение решений по защите контейнеров из категории Enterprise.
Среди сравниваемых параметров:
1) Возможность сканирования образов
2) Возможность проверки на соответствие лучшим практикам
3) Защита среды выполнения
4) Обеспечение сетевой безопасности
5) Форензика
6) Аудит настроек
Также отдельная таблица по способу взаимодействия с контейнерами (Internet, agent, proxy) а также возможностям интеграции и поддерживаемым платформам
Сохраняем себе.
#tools #enterprise #docker #k8s #ops
Наши ребята подготовили сравнение решений по защите контейнеров из категории Enterprise.
Среди сравниваемых параметров:
1) Возможность сканирования образов
2) Возможность проверки на соответствие лучшим практикам
3) Защита среды выполнения
4) Обеспечение сетевой безопасности
5) Форензика
6) Аудит настроек
Также отдельная таблица по способу взаимодействия с контейнерами (Internet, agent, proxy) а также возможностям интеграции и поддерживаемым платформам
Сохраняем себе.
#tools #enterprise #docker #k8s #ops
Из секции, касающейся безопасной разработки, XII Уральский форум "Информационная безопасность финансовой сферы"
Дмитрий Гадарь, CISO Тинькофф Банк:
- В Тинькофф не ограничивают разработчиков по выбранной методолоогии (Agile или Waterfall).
- В качестве фреймворка мы применяем OWASP SAMM в своей практике
- Чтобы избежать false positive SAST, мы берем на выходе то, что выходит из Application Scanner, и применяем на основе этого поиск в SAST (???)
- Не допускам того, чтобы инструменты DevSecOps служили только для генерации горы отчетов
- Пристальное внимание в практике AppSec нужно уделить управлению зависимостями и внешними библиотеками
- Необходимо регулярно пересматривать видение рисков, осущесвлять их приоритизацию
Сергей Демидов, директор департамента операционных рисков и ИБ в Московской бирже:
- Все наши эксперименты с Secure CI/CD не показывают должного показателя надежности
- ИБ должен выступать мостом в диалоге между отделами ИТ
- Мы придерживаемся Waterfall, действуя по схеме "1 день в проде, 5 дней тестов", берем от DevSecOps отдельные элементы, например, анализ кода, встраиваемый по сервисной модели
Андрей Иванов, руководитель направления по развитию облачных сервисов безопасности в Яндекс.Облако:
5 элементов культуры безпоасной разработки:
- Поддержка высшего руководства
- Наличие понятных регламентов для разработчиков ( при каких условиях разработчикам требуется обращаться к ИБ)
- Обучение безопасной разработке
- Наличие опыта Application Security у безопасников как обязательное требование
- Распределение ответственности за безопасность продуктов между team-лидами.
Общие выводы:
- Security Champions имеют высокую эффективность для безопасности продукта
- Необходимо создавать обезличенные тестовые контуры с репликацией прода с автоматической раскаткой обновлений
- Password Vault (на сессии это называли секретницей) как must have
#talks #dev #ops
Дмитрий Гадарь, CISO Тинькофф Банк:
- В Тинькофф не ограничивают разработчиков по выбранной методолоогии (Agile или Waterfall).
- В качестве фреймворка мы применяем OWASP SAMM в своей практике
- Чтобы избежать false positive SAST, мы берем на выходе то, что выходит из Application Scanner, и применяем на основе этого поиск в SAST (???)
- Не допускам того, чтобы инструменты DevSecOps служили только для генерации горы отчетов
- Пристальное внимание в практике AppSec нужно уделить управлению зависимостями и внешними библиотеками
- Необходимо регулярно пересматривать видение рисков, осущесвлять их приоритизацию
Сергей Демидов, директор департамента операционных рисков и ИБ в Московской бирже:
- Все наши эксперименты с Secure CI/CD не показывают должного показателя надежности
- ИБ должен выступать мостом в диалоге между отделами ИТ
- Мы придерживаемся Waterfall, действуя по схеме "1 день в проде, 5 дней тестов", берем от DevSecOps отдельные элементы, например, анализ кода, встраиваемый по сервисной модели
Андрей Иванов, руководитель направления по развитию облачных сервисов безопасности в Яндекс.Облако:
5 элементов культуры безпоасной разработки:
- Поддержка высшего руководства
- Наличие понятных регламентов для разработчиков ( при каких условиях разработчикам требуется обращаться к ИБ)
- Обучение безопасной разработке
- Наличие опыта Application Security у безопасников как обязательное требование
- Распределение ответственности за безопасность продуктов между team-лидами.
Общие выводы:
- Security Champions имеют высокую эффективность для безопасности продукта
- Необходимо создавать обезличенные тестовые контуры с репликацией прода с автоматической раскаткой обновлений
- Password Vault (на сессии это называли секретницей) как must have
#talks #dev #ops
Безопасная разработка.КРОК.pdf
25 MB
Презентация по безопасной разработке с Уральского форума
Не знаю, как скоро презентация появится в архивах, поэтому решил опубликовать сюда.
Цель презентации была следующая - начать погружать безопасников в мир DevOps и показать способы интеграции ИБ в процесс разработки. Опыт показывает, что у многих наших заказчиков имеется слабое понимание того, что из себя представляет разработка в их экосистеме, и как безопасность может встроиться в их процессы, однако вся история с цифровизацией требует каких-то движений в этом направлении.
Презентация охватывает только enterprise, но, разумеется, все эти процессы можно выстроить с помощью open-source.
#dev #ops #talks
Не знаю, как скоро презентация появится в архивах, поэтому решил опубликовать сюда.
Цель презентации была следующая - начать погружать безопасников в мир DevOps и показать способы интеграции ИБ в процесс разработки. Опыт показывает, что у многих наших заказчиков имеется слабое понимание того, что из себя представляет разработка в их экосистеме, и как безопасность может встроиться в их процессы, однако вся история с цифровизацией требует каких-то движений в этом направлении.
Презентация охватывает только enterprise, но, разумеется, все эти процессы можно выстроить с помощью open-source.
#dev #ops #talks