Про стандарты безопасной разработки ФСТЭК
01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки
Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.
Обсуждался проект стандарта "Руководство по безопасной разработке". Стандарт предлагает рекомендации по внедрению требований и процессам ГОСТ 56939.
Пока готова не вся линейка стандартов. Поэтому, чтобы соответствовать требованиям по безопасной разработке, требуется соблюдать описанный процесс, а белые пятна заполнять по своему усмотрению.
Планируемые стандарты :
1. Руководство по безопасной разработке
2. Руководство по оценке безопасности разработки по
3. Руководство по статическому анализу
4. Руководство по динамическому анализу
5. Доверенный компилятор
6. Пересмотр ГОСТ 56939
Доверенный компилятор - рабочее название. Стандарт будет описывать рекомендации по настройке существующих компиляторов, а не выбор или создание какого-то отдельного компилятора.
Система непрерывной интеграции (CI) хоть и не упомянается в ГОСТ 56939, но является его хребтом.
Статический анализ и фаззинг должны быть подключены к CI конвееру
При сертификации лаборатория проверяет соответствие требованиям уровня доверия. Тоесть не полное соответствие ГОСТ
Все материалы с совещания:
https://vk.com/secdevops?w=wall-190263496_16
#law #dev
01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки
Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.
Обсуждался проект стандарта "Руководство по безопасной разработке". Стандарт предлагает рекомендации по внедрению требований и процессам ГОСТ 56939.
Пока готова не вся линейка стандартов. Поэтому, чтобы соответствовать требованиям по безопасной разработке, требуется соблюдать описанный процесс, а белые пятна заполнять по своему усмотрению.
Планируемые стандарты :
1. Руководство по безопасной разработке
2. Руководство по оценке безопасности разработки по
3. Руководство по статическому анализу
4. Руководство по динамическому анализу
5. Доверенный компилятор
6. Пересмотр ГОСТ 56939
Доверенный компилятор - рабочее название. Стандарт будет описывать рекомендации по настройке существующих компиляторов, а не выбор или создание какого-то отдельного компилятора.
Система непрерывной интеграции (CI) хоть и не упомянается в ГОСТ 56939, но является его хребтом.
Статический анализ и фаззинг должны быть подключены к CI конвееру
При сертификации лаборатория проверяет соответствие требованиям уровня доверия. Тоесть не полное соответствие ГОСТ
Все материалы с совещания:
https://vk.com/secdevops?w=wall-190263496_16
#law #dev
VK
DevSecOps / SSDLC - Безопасная разработка. Пост со стены.
Про стандарты безопасной разработки
01.11.19 прошло совещание во ФСТЭК касательно обсуждения... Смотрите полностью ВКонтакте.
01.11.19 прошло совещание во ФСТЭК касательно обсуждения... Смотрите полностью ВКонтакте.
ГОСТ Р 56939-2016.pdf
3.1 MB
ГОСТ Р 56939—2016 Разработка безопасного ПО
У Kubernetes появилась собственная программа bug bounty
Программа распространяется на основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).
Программа разместилась на платформе HackerOne.
https://xakep.ru/2020/01/16/kubernetes-bug-bounty/
#k8s #news #ops
Программа распространяется на основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).
Программа разместилась на платформе HackerOne.
https://xakep.ru/2020/01/16/kubernetes-bug-bounty/
#k8s #news #ops
XAKEP
У Kubernetes появилась собственная программа bug bounty
Популярнейший оркестратор Kubernetes обзавелся собственной программой вознаграждения за уязвимости. За баги исследователям заплатят до 10 000 долларов США.
Использование машинного обучения в статическом анализе исходного кода программ
Среди инструментов:
- DeepCode
- Infer
- Sapienz
- SapFix
- Embold
- Source{d}
- Clever-Commit
+ Нюансы обучения на большом количестве открытого исходного кода
https://habr.com/ru/company/pvs-studio/blog/484208/
#tools #article #dev
Среди инструментов:
- DeepCode
- Infer
- Sapienz
- SapFix
- Embold
- Source{d}
- Clever-Commit
+ Нюансы обучения на большом количестве открытого исходного кода
https://habr.com/ru/company/pvs-studio/blog/484208/
#tools #article #dev
Хабр
Использование машинного обучения в статическом анализе исходного кода программ
Машинное обучение плотно укоренилось в различных сферах деятельности людей: от распознавания речи до медицинской диагностики. Популярность этого подхода столь велика, что его пытаются использовать...
CSSLP - Certified Secure Software Lifecycle Profession (+ гайд для подготовки)
Экзамен предназначен для профессиональных разработчиков и безопасников, ответственных за SDLC, и призван гарантировать высокий уровень технических навыков проектирования, разработки и внедрения методов обеспечения безопасности на каждом цикле ПО.
Для сдачи экзамена необходимо иметь как минимум 4 года работы как специалиста по жизненному циклу разработки ПО, обладающего знаниями в одной из 8-и областей.
Области (и это же вопросы экзамена):
1) Требования безопасной разработки (14% экзамена)
2) Безопасное проектирования ПО (16% экзамена)
3) Безопасное ннедрение и программирование ПО (16% экзамена)
4) Безопасное тестирование ПО (14% экзамена)
5) Управление жизненным циклом ПО (10% экзамена)
6) Разработка ПО, эксплуатирование и поддержание (9% экзамена)
7) Цепь поставок ПО (8% экзамена)
8) Концепции безопасной разработки (13% экзамена)
175 вопросов, 4 часа, 700/1000 - проходной, Цена 549$, 125$ для членов (ISC)2
Не настолько популярный в России как CISSP, CISA, CISM, но, в силу роста популярности DevSecOps, вопрос времени.
https://www.isc2.org/Certifications/CSSLP
#exam #dev #ops
Экзамен предназначен для профессиональных разработчиков и безопасников, ответственных за SDLC, и призван гарантировать высокий уровень технических навыков проектирования, разработки и внедрения методов обеспечения безопасности на каждом цикле ПО.
Для сдачи экзамена необходимо иметь как минимум 4 года работы как специалиста по жизненному циклу разработки ПО, обладающего знаниями в одной из 8-и областей.
Области (и это же вопросы экзамена):
1) Требования безопасной разработки (14% экзамена)
2) Безопасное проектирования ПО (16% экзамена)
3) Безопасное ннедрение и программирование ПО (16% экзамена)
4) Безопасное тестирование ПО (14% экзамена)
5) Управление жизненным циклом ПО (10% экзамена)
6) Разработка ПО, эксплуатирование и поддержание (9% экзамена)
7) Цепь поставок ПО (8% экзамена)
8) Концепции безопасной разработки (13% экзамена)
175 вопросов, 4 часа, 700/1000 - проходной, Цена 549$, 125$ для членов (ISC)2
Не настолько популярный в России как CISSP, CISA, CISM, но, в силу роста популярности DevSecOps, вопрос времени.
https://www.isc2.org/Certifications/CSSLP
#exam #dev #ops
www.isc2.org
CSSLP Certified Secure Software Lifecycle Professional | ISC2
Secure your cybersecurity career with ISC2’s CSSLP certification and gain expertise in software lifecycle security and secure coding practices.
Auerbach_Publications_Official_ISC2.pdf
16.9 MB
CSSLP - Official (ISC)2 GUIDE
"10 Steps Every CISO Should Take to Secure Next-Gen Software" Cindy Blake
Те самые 10 шагов:
1) Инвестиция в сканирование зависимостей, безопасности контейнеров и облачной инфраструктуры. SAST, DAST к каждому новому участку кода
2) Пересмотр безопасности. Выравнивание метрик и управление рисками. Исправление текущих уязвимостей важнее обнаружения новых
3) Инструменты и процессы обязательно должны идти рука об руку. Начните с процесса, а затем примените инструменты, которые помогут вам достичь желаемого результата.
4) Идти вширь, а не вглубь. Проверять каждом изменение на наличие распространненных уязвимостей, а не на наличие наиболее "критических"
5) Объедините рабочий процесс, применяя непрерывное сканирование безопасности с итеративной разработкой
6) Проверка на наличие уязвимостей в момент коммита, чтобы разбить работу на более мелкие и эффективные циклы сканирования
7) Автоматизация, позволяющая безопасности сосредоточиться на исключениях.
8) Примите открытый исходный код. Согласуйте цели с разработчиками. Совместите тестирование безопасности с рабочим процессом разработчика. Стандартизируйте конвейеры, код и многое другое для получения согласованных, предсказуемых результатов.
9) Применять принципы Zero-Trust к приложениям и их инфраструктуре.
10) Защитите целостность процесса разработки и доставки программного обеспечения, обеспечив надлежащий контроль аудита и бесперебойную работу по всему SDLC.
Подробности в файле следующим сообщением.
#report #checklist #dev #ops
Те самые 10 шагов:
1) Инвестиция в сканирование зависимостей, безопасности контейнеров и облачной инфраструктуры. SAST, DAST к каждому новому участку кода
2) Пересмотр безопасности. Выравнивание метрик и управление рисками. Исправление текущих уязвимостей важнее обнаружения новых
3) Инструменты и процессы обязательно должны идти рука об руку. Начните с процесса, а затем примените инструменты, которые помогут вам достичь желаемого результата.
4) Идти вширь, а не вглубь. Проверять каждом изменение на наличие распространненных уязвимостей, а не на наличие наиболее "критических"
5) Объедините рабочий процесс, применяя непрерывное сканирование безопасности с итеративной разработкой
6) Проверка на наличие уязвимостей в момент коммита, чтобы разбить работу на более мелкие и эффективные циклы сканирования
7) Автоматизация, позволяющая безопасности сосредоточиться на исключениях.
8) Примите открытый исходный код. Согласуйте цели с разработчиками. Совместите тестирование безопасности с рабочим процессом разработчика. Стандартизируйте конвейеры, код и многое другое для получения согласованных, предсказуемых результатов.
9) Применять принципы Zero-Trust к приложениям и их инфраструктуре.
10) Защитите целостность процесса разработки и доставки программного обеспечения, обеспечив надлежащий контроль аудита и бесперебойную работу по всему SDLC.
Подробности в файле следующим сообщением.
#report #checklist #dev #ops
10-steps-ciso-secure-next-gen-software.pdf
21.6 MB
"10 Steps Every CISO Should Take to Secure Next-Gen Software" Cindy Blake
ZN2019_AWS.pdf
3.2 MB
Облачная безопасность: AWS
Думаю в первую очередь стоит поделиться презентацией с Zeronights Web Village 2019 о AWS секьюрити. Особено рекомендуется заглянуть в конец презентации в секцию ссылок на полезные материалы.
Также достойно вниманию презентация с Derbycon 2019 "API Keys Now What". Jim Shaver разбирает базовые принципы AWS и даже проводит некую параллель между AWS и Azure AD, после чего переходит к рассказу о инструментах и разных техниках.
Топ 11 постов AWS Security Blog за 2019 год:
https://aws.amazon.com/blogs/security/top-11-posts-during-2019/
Курсы от Linux Academy по AWS Security:
AWS Security Essentials
AWS Certified Security – Specialty Certification
Доклады предоставлены Денисом Рыбиным: канал
#AWS #ops
Думаю в первую очередь стоит поделиться презентацией с Zeronights Web Village 2019 о AWS секьюрити. Особено рекомендуется заглянуть в конец презентации в секцию ссылок на полезные материалы.
Также достойно вниманию презентация с Derbycon 2019 "API Keys Now What". Jim Shaver разбирает базовые принципы AWS и даже проводит некую параллель между AWS и Azure AD, после чего переходит к рассказу о инструментах и разных техниках.
Топ 11 постов AWS Security Blog за 2019 год:
https://aws.amazon.com/blogs/security/top-11-posts-during-2019/
Курсы от Linux Academy по AWS Security:
AWS Security Essentials
AWS Certified Security – Specialty Certification
Доклады предоставлены Денисом Рыбиным: канал
#AWS #ops
Forwarded from Технологический Болт Генона
The DevSecOps Security Checklist от sqreen (https://www.sqreen.com/).
Каждый раздел содержит ссылки на соответствующую тематику.
Каждый раздел содержит ссылки на соответствующую тематику.
devopssec.pdf
3.4 MB
"DevOpsSec. Securing Software through Continuous Delivery." Jim Bird
Небольшая вводная книга в безопасный DevOps
Темы:
1) DevOpsSec: Delivering Secure Software through CD
2) Security and Compliance Challenges and Constraints in DevOps
3) Keys to Injecting Security into DevOps
4) Security as Code: Security Tools and Practices in Continuous Delivery
5) Compliance as Code
6) Conclusion: Building a Secure DevOps Capability and Culture
#literature #dev #ops
Небольшая вводная книга в безопасный DevOps
Темы:
1) DevOpsSec: Delivering Secure Software through CD
2) Security and Compliance Challenges and Constraints in DevOps
3) Keys to Injecting Security into DevOps
4) Security as Code: Security Tools and Practices in Continuous Delivery
5) Compliance as Code
6) Conclusion: Building a Secure DevOps Capability and Culture
#literature #dev #ops
"DevSecOps Workshop - Secure Software Factory"
Воркшоп от RedHat по построению безопасного конвейера для веб-приложения на Java на базе OpenShift Container Platform. Среди используемых инструментов: Gogs, Nexus, Jenkins, Sonarqube, Che.
Кстати довольно наглядная картинка пайплайна.
http://redhatgov.io/workshops/secure_software_factory/
#openshift #practise #ops
Воркшоп от RedHat по построению безопасного конвейера для веб-приложения на Java на базе OpenShift Container Platform. Среди используемых инструментов: Gogs, Nexus, Jenkins, Sonarqube, Che.
Кстати довольно наглядная картинка пайплайна.
http://redhatgov.io/workshops/secure_software_factory/
#openshift #practise #ops
Сканеры Kubernetes (free)
Несколько дней назад стартап Octarine выпустила open source решение kube-scan - инструмент для оценки рабочей нагрузки, который основан на KCCSS и сканирует конфигурации и настройки Kubernetes для выявления и ранжирования потенциальных уязвимостей в приложениях. KCCSS - это структура для оценки рисков безопасности, связанных с неправильной конфигурацией. KCCSS аналогична Common Vulnerability Scoring System (CVSS), отраслевому стандарту для оценки уязвимостей, но вместо этого фокусируется на самих конфигурациях и настройках безопасности.
Kube-scan от Octarine - не единственный open source сканер k8s.
KubiScan от CyberARK. KubiScan помогает администраторам кластера определять разрешения, которые злоумышленники могут использовать для взлома кластеров. Это может быть особенно полезно в больших средах, где есть много разрешений, которые сложно отследить.
Kube-hunter от Aqua Security. Сканер уязвимостей k8s. Базу данных уязвимсотей можно увидеть здесь.
Kube-bench от Aqua Security. Сканер проверяет, безопасно ли развернут k8s.
#k8s #news #tools #ops
Несколько дней назад стартап Octarine выпустила open source решение kube-scan - инструмент для оценки рабочей нагрузки, который основан на KCCSS и сканирует конфигурации и настройки Kubernetes для выявления и ранжирования потенциальных уязвимостей в приложениях. KCCSS - это структура для оценки рисков безопасности, связанных с неправильной конфигурацией. KCCSS аналогична Common Vulnerability Scoring System (CVSS), отраслевому стандарту для оценки уязвимостей, но вместо этого фокусируется на самих конфигурациях и настройках безопасности.
Kube-scan от Octarine - не единственный open source сканер k8s.
KubiScan от CyberARK. KubiScan помогает администраторам кластера определять разрешения, которые злоумышленники могут использовать для взлома кластеров. Это может быть особенно полезно в больших средах, где есть много разрешений, которые сложно отследить.
Kube-hunter от Aqua Security. Сканер уязвимостей k8s. Базу данных уязвимсотей можно увидеть здесь.
Kube-bench от Aqua Security. Сканер проверяет, безопасно ли развернут k8s.
#k8s #news #tools #ops
VMware
VMware Security Solutions
Deliver security that’s built-in & distributed with your control points of users, devices, workloads & network, with fewer tools & silos, & better context.
Threat Modeling - Подборка статей и курсов
Решил запустить серию постов с подборкой материала по каждому этапу DevSecOps. Начнем с Design/Plan, а именно подборки статей и курсов по Threat Modeling (моделирование угроз) - процессу, ориентированному на выявление угроз, определение атак, анализ сокращения и устранение угроз. Выявляя потенциальные угрозы на протяжении всего жизненного цикла разработки программного обеспечения, безопасность становится приоритетом, а не запоздалой мыслью, экономя время и деньги групп безопасности и разработчиков.
Статьи:
What Is Security Threat Modeling? by Lawrence C. Miller, Peter H. Gregory
Threat-modeling CheatSheet by OWASP
Threat Modeling in the Enterprise, Part
1: Understanding the Basics by Stiliyana Simeonova
Threat Modeling: What, Why, and How? By Adam Shostack
Threat Modeling blog by Security Innovation
Threat Modeling: 6 Mistakes You’re Probably Making by Jeff Petters
How to Create a Threat Model for Cloud Infrastructure Security by Pat Cable
Why You Should Care About Threat Modelling by Suresh Marisetty
Курсы:
Threat Modeling, or Architectural Risk Analysis by Coursera
Threat Modeling Workshop by Robert Hurlbut
#threatmodeling #article #dev #ops
Решил запустить серию постов с подборкой материала по каждому этапу DevSecOps. Начнем с Design/Plan, а именно подборки статей и курсов по Threat Modeling (моделирование угроз) - процессу, ориентированному на выявление угроз, определение атак, анализ сокращения и устранение угроз. Выявляя потенциальные угрозы на протяжении всего жизненного цикла разработки программного обеспечения, безопасность становится приоритетом, а не запоздалой мыслью, экономя время и деньги групп безопасности и разработчиков.
Статьи:
What Is Security Threat Modeling? by Lawrence C. Miller, Peter H. Gregory
Threat-modeling CheatSheet by OWASP
Threat Modeling in the Enterprise, Part
1: Understanding the Basics by Stiliyana Simeonova
Threat Modeling: What, Why, and How? By Adam Shostack
Threat Modeling blog by Security Innovation
Threat Modeling: 6 Mistakes You’re Probably Making by Jeff Petters
How to Create a Threat Model for Cloud Infrastructure Security by Pat Cable
Why You Should Care About Threat Modelling by Suresh Marisetty
Курсы:
Threat Modeling, or Architectural Risk Analysis by Coursera
Threat Modeling Workshop by Robert Hurlbut
#threatmodeling #article #dev #ops
dummies
What Is Security Threat Modeling? - dummies
Threat modeling is a type of risk analysis used to identify security defects in the design phase of an information system. Threat modeling is most often applied
Threat Modeling - Подборка инструментов
Продолжаем говорить о процессе моделирования угроз в DevOps на этапе Design/Plan. На этот раз это подборка инструментов.
Бесплатные:
OWASP Threat Dragon - онлайн-приложение для моделирования угроз, включающее возможность построения диаграмм и механизм правил для автоматической генерации угроз / мер по снижению риска.
Microsoft Threat Modeling Tool - средство, помогающее находить угрозы на этапе разработки программных проектов.
Owasp-threat-dragon-gitlab - Этот проект является вилкой оригинального веб-приложения OWASP Threat Dragon Майка Гудвина с интеграцией Gitlab вместо Github. Вы можете использовать его с Gitlab.com или вашим собственным экземпляром Gitlab.
raindance - проект, призванный сделать «карты атак» частью разработки программного обеспечения за счет сокращения времени, необходимого для их завершения.
threatspec - проект с открытым исходным кодом, который нацелен на устранение разрыва между разработкой и безопасностью путем внедрения моделирования угроз в процесс разработки.
Enterpise:
Irius risk - инструмент моделирования угроз с адаптивной анкетой, управляемой экспертной системой, которая направляет пользователя через простые вопросы о технической архитектуре, планируемых функциях и контексте безопасности приложения.
SD elements - автоматизируйте моделирование угроз с помощью элементов SD
Foreseeti - SecuriCAD Vanguard - это сервис SaaS для моделирования атак и автоматического моделирования угроз, который позволяет автоматически моделировать атаки на виртуальную модель среды AWS.
#threatmodeling #tools #dev #ops
Продолжаем говорить о процессе моделирования угроз в DevOps на этапе Design/Plan. На этот раз это подборка инструментов.
Бесплатные:
OWASP Threat Dragon - онлайн-приложение для моделирования угроз, включающее возможность построения диаграмм и механизм правил для автоматической генерации угроз / мер по снижению риска.
Microsoft Threat Modeling Tool - средство, помогающее находить угрозы на этапе разработки программных проектов.
Owasp-threat-dragon-gitlab - Этот проект является вилкой оригинального веб-приложения OWASP Threat Dragon Майка Гудвина с интеграцией Gitlab вместо Github. Вы можете использовать его с Gitlab.com или вашим собственным экземпляром Gitlab.
raindance - проект, призванный сделать «карты атак» частью разработки программного обеспечения за счет сокращения времени, необходимого для их завершения.
threatspec - проект с открытым исходным кодом, который нацелен на устранение разрыва между разработкой и безопасностью путем внедрения моделирования угроз в процесс разработки.
Enterpise:
Irius risk - инструмент моделирования угроз с адаптивной анкетой, управляемой экспертной системой, которая направляет пользователя через простые вопросы о технической архитектуре, планируемых функциях и контексте безопасности приложения.
SD elements - автоматизируйте моделирование угроз с помощью элементов SD
Foreseeti - SecuriCAD Vanguard - это сервис SaaS для моделирования атак и автоматического моделирования угроз, который позволяет автоматически моделировать атаки на виртуальную модель среды AWS.
#threatmodeling #tools #dev #ops
Docs
Microsoft Threat Modeling Tool overview - Azure
Overview of the Microsoft Threat Modeling Tool, containing information on getting started with the tool, including the Threat Modeling process.