"10 Steps Every CISO Should Take to Secure Next-Gen Software" Cindy Blake

Те самые 10 шагов:
1) Инвестиция в сканирование зависимостей, безопасности контейнеров и облачной инфраструктуры. SAST, DAST к каждому новому участку кода
2) Пересмотр безопасности. Выравнивание метрик и управление рисками. Исправление текущих уязвимостей важнее обнаружения новых
3) Инструменты и процессы обязательно должны идти рука об руку. Начните с процесса, а затем примените инструменты, которые помогут вам достичь желаемого результата.
4) Идти вширь, а не вглубь. Проверять каждом изменение на наличие распространненных уязвимостей, а не на наличие наиболее "критических"
5) Объедините рабочий процесс, применяя непрерывное сканирование безопасности с итеративной разработкой
6) Проверка на наличие уязвимостей в момент коммита, чтобы разбить работу на более мелкие и эффективные циклы сканирования
7) Автоматизация, позволяющая безопасности сосредоточиться на исключениях.
8) Примите открытый исходный код. Согласуйте цели с разработчиками. Совместите тестирование безопасности с рабочим процессом разработчика. Стандартизируйте конвейеры, код и многое другое для получения согласованных, предсказуемых результатов.
9) Применять принципы Zero-Trust к приложениям и их инфраструктуре.
10) Защитите целостность процесса разработки и доставки программного обеспечения, обеспечив надлежащий контроль аудита и бесперебойную работу по всему SDLC.

Подробности в файле следующим сообщением.

#report #checklist #dev #ops

"10 Steps Every CISO Should Take to Secure Next-Gen Software" Cindy Blake

Облачная безопасность: AWS

Думаю в первую очередь стоит поделиться презентацией с Zeronights Web Village 2019 о AWS секьюрити. Особено рекомендуется заглянуть в конец презентации в секцию ссылок на полезные материалы.

Также достойно вниманию презентация с Derbycon 2019 "API Keys Now What". Jim Shaver разбирает базовые принципы AWS и даже проводит некую параллель между AWS и Azure AD, после чего переходит к рассказу о инструментах и разных техниках.

Топ 11 постов AWS Security Blog за 2019 год:
https://aws.amazon.com/blogs/security/top-11-posts-during-2019/

Курсы от Linux Academy по AWS Security:
AWS Security Essentials
AWS Certified Security – Specialty Certification

Доклады предоставлены Денисом Рыбиным: канал

#AWS #ops

"Secure DevOps Appsec Cheat Sheet" SANS AppSec

#tools #checklist #dev #ops

Чеклистов много не бывает

#checklist #dev #ops

The DevSecOps Security Checklist от sqreen (https://www.sqreen.com/).

Каждый раздел содержит ссылки на соответствующую тематику.

"DevOpsSec. Securing Software through Continuous Delivery." Jim Bird

Небольшая вводная книга в безопасный DevOps

Темы:
1) DevOpsSec: Delivering Secure Software through CD
2) Security and Compliance Challenges and Constraints in DevOps
3) Keys to Injecting Security into DevOps
4) Security as Code: Security Tools and Practices in Continuous Delivery
5) Compliance as Code
6) Conclusion: Building a Secure DevOps Capability and Culture

#literature #dev #ops

"DevSecOps Workshop - Secure Software Factory"

Воркшоп от RedHat по построению безопасного конвейера для веб-приложения на Java на базе OpenShift Container Platform. Среди используемых инструментов: Gogs, Nexus, Jenkins, Sonarqube, Che.

Кстати довольно наглядная картинка пайплайна.

http://redhatgov.io/workshops/secure_software_factory/

#openshift #practise #ops

Сканеры Kubernetes (free)

Несколько дней назад стартап Octarine выпустила open source решение kube-scan - инструмент для оценки рабочей нагрузки, который основан на KCCSS и сканирует конфигурации и настройки Kubernetes для выявления и ранжирования потенциальных уязвимостей в приложениях. KCCSS - это структура для оценки рисков безопасности, связанных с неправильной конфигурацией. KCCSS аналогична Common Vulnerability Scoring System (CVSS), отраслевому стандарту для оценки уязвимостей, но вместо этого фокусируется на самих конфигурациях и настройках безопасности.

Kube-scan от Octarine - не единственный open source сканер k8s.

KubiScan от CyberARK. KubiScan помогает администраторам кластера определять разрешения, которые злоумышленники могут использовать для взлома кластеров. Это может быть особенно полезно в больших средах, где есть много разрешений, которые сложно отследить.

Kube-hunter от Aqua Security. Сканер уязвимостей k8s. Базу данных уязвимсотей можно увидеть здесь.

Kube-bench от Aqua Security. Сканер проверяет, безопасно ли развернут k8s.

#k8s #news #tools #ops

Также перечень open source утилит для сканирования K8s можно найти в статье Хакер.

#tools #k8s #ops

Threat Modeling - Подборка статей и курсов

Решил запустить серию постов с подборкой материала по каждому этапу DevSecOps. Начнем с Design/Plan, а именно подборки статей и курсов по Threat Modeling (моделирование угроз) - процессу, ориентированному на выявление угроз, определение атак, анализ сокращения и устранение угроз. Выявляя потенциальные угрозы на протяжении всего жизненного цикла разработки программного обеспечения, безопасность становится приоритетом, а не запоздалой мыслью, экономя время и деньги групп безопасности и разработчиков.

Статьи:
What Is Security Threat Modeling? by Lawrence C. Miller, Peter H. Gregory

Threat-modeling CheatSheet by OWASP

Threat Modeling in the Enterprise, Part
1: Understanding the Basics by Stiliyana Simeonova

Threat Modeling: What, Why, and How? By Adam Shostack

Threat Modeling blog by Security Innovation

Threat Modeling: 6 Mistakes You’re Probably Making by Jeff Petters

How to Create a Threat Model for Cloud Infrastructure Security by Pat Cable

Why You Should Care About Threat Modelling by Suresh Marisetty

Курсы:
Threat Modeling, or Architectural Risk Analysis by Coursera

Threat Modeling Workshop by Robert Hurlbut

#threatmodeling #article #dev #ops

Threat Modeling - Подборка инструментов

Продолжаем говорить о процессе моделирования угроз в DevOps на этапе Design/Plan. На этот раз это подборка инструментов.

Бесплатные:
OWASP Threat Dragon - онлайн-приложение для моделирования угроз, включающее возможность построения диаграмм и механизм правил для автоматической генерации угроз / мер по снижению риска.

Microsoft Threat Modeling Tool - средство, помогающее находить угрозы на этапе разработки программных проектов.

Owasp-threat-dragon-gitlab - Этот проект является вилкой оригинального веб-приложения OWASP Threat Dragon Майка Гудвина с интеграцией Gitlab вместо Github. Вы можете использовать его с Gitlab.com или вашим собственным экземпляром Gitlab.

raindance - проект, призванный сделать «карты атак» частью разработки программного обеспечения за счет сокращения времени, необходимого для их завершения.

threatspec - проект с открытым исходным кодом, который нацелен на устранение разрыва между разработкой и безопасностью путем внедрения моделирования угроз в процесс разработки.

Enterpise:
Irius risk - инструмент моделирования угроз с адаптивной анкетой, управляемой экспертной системой, которая направляет пользователя через простые вопросы о технической архитектуре, планируемых функциях и контексте безопасности приложения.

SD elements - автоматизируйте моделирование угроз с помощью элементов SD

Foreseeti - SecuriCAD Vanguard - это сервис SaaS для моделирования атак и автоматического моделирования угроз, который позволяет автоматически моделировать атаки на виртуальную модель среды AWS.

#threatmodeling #tools #dev #ops

"DevSecOps Reference Architectures 2019" by Sonatype

Отличная подборка по DevSecOps: более 30 различных моделей и пайплайнов DevSecOps, степень автоматизации проверок на разных этапах встраивания в цикл разработки. Все с ссылками на источники.

#report #dev #ops

SAST - Статический анализ кода - подборка материала

Статический анализ кода - это метод анализа исходного кода на наличие уязвимостей без его запуска. Это позволяет решить ряд сложностей на этапе Test и Develop в жизненном цикле ПО:

1) Трата времени на ожидание проверки кода старшим разработчиком на наличие уязвимостей
2) Пропуск уязвимостей во время code review, недостаточное уделение внимания вопросам ИБ
3) Выявлять уязвимости на более поздних этапах жизненного цикла обходится дороговато - дополнительные трудозатраты на переписывание кода в случае обнаружения уязвимостей

Видео:
Application Security Testing by Semi Yulianto

Static Analysis for Dynamic Assessments by Greg Patton

SAST, борьба с потенциальными уязвимостями - Андрей Карпов

Внедрение SAST: теория vs практика - Ярослав Александров

Статьи:
How to integrate SAST into the DevSecOps pipeline in 5 simple steps by Meera Rao

What is Static Analysis Within CI/CD Pipelines? by Logan Raki

Ищем уязвимости в коде: теория, практика и перспективы SAST - Владимир Кочетков

«Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости - Maxim Tyukov

#sast #article #video #dev

"Agile Application Security. Enabling Security in a CD pipeline" by Laure Bell, Michael Brunton-Spall, Rich Smith & Jim Bird

Авторы книги обещают объяснить:
1) Как добавить методы обеспечения безопасности на каждом этапе существующего жизненного цикла разработки
2) Как совместить безопасность с планированием, требованиями, дизайном на уровне кода
3) Как добавить тестирование безопасности как часть усилий вашей команды по доставке работающего программного обеспечения в каждый релиз
4) Как внедрить нормативные требования в гибкой среде или среде DevOps
5) Как создать эффективную программу безопасности через культуру сопереживания, открытости, прозрачности и сотрудничества

#literature #dev #ops

О методологиях Test-Driven Security (TDS), Behavior-driven development (BDD) + BDD-security framework

Test-Driven Security (TDS) - методология по аналогии с Test-Driven Development, согласно которой сначала необходимо писать тесты на безопасность, применять их на код и инфраструктуру, проваливать, исправлять и проходить, после чего регулярно повторять тесты. Через данную идею пронизана вся книга "Securing DevOps". В книге реализация этого процесса осуществляется через baseline OWASP ZAP и вызов shell-скриптов с выделенного компонента deployer, на котором реализована большая часть тестов по безопасности.

Behavior-driven development (BDD) - Идеей этой методологии является совмещение технических интересов и интересов бизнеса, позволяя общаться менеджмерам и разработчикам c помощью легко-читаемых сценариев.

BDD-Security - бесплатный фреймворк, задействующий Selenium, OWASP ZAP, SSLyze и Tennable's Nessus scanner, благоадря которому можно реализовать методологию BDD и TDS. Пример, как это работает

#tools

#literature #dev #ops

Epic Failures in DevSecOps. Volume 1.