"DevOpsSec. Securing Software through Continuous Delivery." Jim Bird

Небольшая вводная книга в безопасный DevOps

Темы:
1) DevOpsSec: Delivering Secure Software through CD
2) Security and Compliance Challenges and Constraints in DevOps
3) Keys to Injecting Security into DevOps
4) Security as Code: Security Tools and Practices in Continuous Delivery
5) Compliance as Code
6) Conclusion: Building a Secure DevOps Capability and Culture

#literature #dev #ops

"DevSecOps Workshop - Secure Software Factory"

Воркшоп от RedHat по построению безопасного конвейера для веб-приложения на Java на базе OpenShift Container Platform. Среди используемых инструментов: Gogs, Nexus, Jenkins, Sonarqube, Che.

Кстати довольно наглядная картинка пайплайна.

http://redhatgov.io/workshops/secure_software_factory/

#openshift #practise #ops

Сканеры Kubernetes (free)

Несколько дней назад стартап Octarine выпустила open source решение kube-scan - инструмент для оценки рабочей нагрузки, который основан на KCCSS и сканирует конфигурации и настройки Kubernetes для выявления и ранжирования потенциальных уязвимостей в приложениях. KCCSS - это структура для оценки рисков безопасности, связанных с неправильной конфигурацией. KCCSS аналогична Common Vulnerability Scoring System (CVSS), отраслевому стандарту для оценки уязвимостей, но вместо этого фокусируется на самих конфигурациях и настройках безопасности.

Kube-scan от Octarine - не единственный open source сканер k8s.

KubiScan от CyberARK. KubiScan помогает администраторам кластера определять разрешения, которые злоумышленники могут использовать для взлома кластеров. Это может быть особенно полезно в больших средах, где есть много разрешений, которые сложно отследить.

Kube-hunter от Aqua Security. Сканер уязвимостей k8s. Базу данных уязвимсотей можно увидеть здесь.

Kube-bench от Aqua Security. Сканер проверяет, безопасно ли развернут k8s.

#k8s #news #tools #ops

Также перечень open source утилит для сканирования K8s можно найти в статье Хакер.

#tools #k8s #ops

Threat Modeling - Подборка статей и курсов

Решил запустить серию постов с подборкой материала по каждому этапу DevSecOps. Начнем с Design/Plan, а именно подборки статей и курсов по Threat Modeling (моделирование угроз) - процессу, ориентированному на выявление угроз, определение атак, анализ сокращения и устранение угроз. Выявляя потенциальные угрозы на протяжении всего жизненного цикла разработки программного обеспечения, безопасность становится приоритетом, а не запоздалой мыслью, экономя время и деньги групп безопасности и разработчиков.

Статьи:
What Is Security Threat Modeling? by Lawrence C. Miller, Peter H. Gregory

Threat-modeling CheatSheet by OWASP

Threat Modeling in the Enterprise, Part
1: Understanding the Basics by Stiliyana Simeonova

Threat Modeling: What, Why, and How? By Adam Shostack

Threat Modeling blog by Security Innovation

Threat Modeling: 6 Mistakes You’re Probably Making by Jeff Petters

How to Create a Threat Model for Cloud Infrastructure Security by Pat Cable

Why You Should Care About Threat Modelling by Suresh Marisetty

Курсы:
Threat Modeling, or Architectural Risk Analysis by Coursera

Threat Modeling Workshop by Robert Hurlbut

#threatmodeling #article #dev #ops

Threat Modeling - Подборка инструментов

Продолжаем говорить о процессе моделирования угроз в DevOps на этапе Design/Plan. На этот раз это подборка инструментов.

Бесплатные:
OWASP Threat Dragon - онлайн-приложение для моделирования угроз, включающее возможность построения диаграмм и механизм правил для автоматической генерации угроз / мер по снижению риска.

Microsoft Threat Modeling Tool - средство, помогающее находить угрозы на этапе разработки программных проектов.

Owasp-threat-dragon-gitlab - Этот проект является вилкой оригинального веб-приложения OWASP Threat Dragon Майка Гудвина с интеграцией Gitlab вместо Github. Вы можете использовать его с Gitlab.com или вашим собственным экземпляром Gitlab.

raindance - проект, призванный сделать «карты атак» частью разработки программного обеспечения за счет сокращения времени, необходимого для их завершения.

threatspec - проект с открытым исходным кодом, который нацелен на устранение разрыва между разработкой и безопасностью путем внедрения моделирования угроз в процесс разработки.

Enterpise:
Irius risk - инструмент моделирования угроз с адаптивной анкетой, управляемой экспертной системой, которая направляет пользователя через простые вопросы о технической архитектуре, планируемых функциях и контексте безопасности приложения.

SD elements - автоматизируйте моделирование угроз с помощью элементов SD

Foreseeti - SecuriCAD Vanguard - это сервис SaaS для моделирования атак и автоматического моделирования угроз, который позволяет автоматически моделировать атаки на виртуальную модель среды AWS.

#threatmodeling #tools #dev #ops

"DevSecOps Reference Architectures 2019" by Sonatype

Отличная подборка по DevSecOps: более 30 различных моделей и пайплайнов DevSecOps, степень автоматизации проверок на разных этапах встраивания в цикл разработки. Все с ссылками на источники.

#report #dev #ops

SAST - Статический анализ кода - подборка материала

Статический анализ кода - это метод анализа исходного кода на наличие уязвимостей без его запуска. Это позволяет решить ряд сложностей на этапе Test и Develop в жизненном цикле ПО:

1) Трата времени на ожидание проверки кода старшим разработчиком на наличие уязвимостей
2) Пропуск уязвимостей во время code review, недостаточное уделение внимания вопросам ИБ
3) Выявлять уязвимости на более поздних этапах жизненного цикла обходится дороговато - дополнительные трудозатраты на переписывание кода в случае обнаружения уязвимостей

Видео:
Application Security Testing by Semi Yulianto

Static Analysis for Dynamic Assessments by Greg Patton

SAST, борьба с потенциальными уязвимостями - Андрей Карпов

Внедрение SAST: теория vs практика - Ярослав Александров

Статьи:
How to integrate SAST into the DevSecOps pipeline in 5 simple steps by Meera Rao

What is Static Analysis Within CI/CD Pipelines? by Logan Raki

Ищем уязвимости в коде: теория, практика и перспективы SAST - Владимир Кочетков

«Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости - Maxim Tyukov

#sast #article #video #dev

"Agile Application Security. Enabling Security in a CD pipeline" by Laure Bell, Michael Brunton-Spall, Rich Smith & Jim Bird

Авторы книги обещают объяснить:
1) Как добавить методы обеспечения безопасности на каждом этапе существующего жизненного цикла разработки
2) Как совместить безопасность с планированием, требованиями, дизайном на уровне кода
3) Как добавить тестирование безопасности как часть усилий вашей команды по доставке работающего программного обеспечения в каждый релиз
4) Как внедрить нормативные требования в гибкой среде или среде DevOps
5) Как создать эффективную программу безопасности через культуру сопереживания, открытости, прозрачности и сотрудничества

#literature #dev #ops

О методологиях Test-Driven Security (TDS), Behavior-driven development (BDD) + BDD-security framework

Test-Driven Security (TDS) - методология по аналогии с Test-Driven Development, согласно которой сначала необходимо писать тесты на безопасность, применять их на код и инфраструктуру, проваливать, исправлять и проходить, после чего регулярно повторять тесты. Через данную идею пронизана вся книга "Securing DevOps". В книге реализация этого процесса осуществляется через baseline OWASP ZAP и вызов shell-скриптов с выделенного компонента deployer, на котором реализована большая часть тестов по безопасности.

Behavior-driven development (BDD) - Идеей этой методологии является совмещение технических интересов и интересов бизнеса, позволяя общаться менеджмерам и разработчикам c помощью легко-читаемых сценариев.

BDD-Security - бесплатный фреймворк, задействующий Selenium, OWASP ZAP, SSLyze и Tennable's Nessus scanner, благоадря которому можно реализовать методологию BDD и TDS. Пример, как это работает

#tools

#literature #dev #ops

Epic Failures in DevSecOps. Volume 1.

SAST - Статический анализ кода. Подборка инструментов (free & enterprise)

Продолжим разбирать этапы безпоасного DevOps. Разберемся в существующих инструментах SAST. Что это такое было ранее.

Бесплатные решения:
Перечислить все open source проекты в одном посте невозможно в силу заточенности под тот или иной синтаксис языка, поэтому приведу, на мой взгляд, наиболее полные подборки:

Awesome Static Analysis

SAST tools by OWASP

Enterprise-решения:
Отечественные:

PT Application Inspector - комплексное решение, включающее в себя SAST,DAST, IAST. Из интересного - автоматическая генерация эксплойтов для проверки найденных уязвимостей и проверка на соответствие требованиям российских регулирующих организаций: Банк России, ФСТЭК.

PVS-Studio - SAST, заточенный под C, C++,C# and Java. Есть интеграция c Visual Studio для проверки кода еще до коммита, а также интеграция с SonarQube. Возможность контролировать масштабируемость, указав число задействующих ядер, а также отслеживать компиляцию на Linux. А еще у них есть свой канал.

Зарубежные:
CxSAST by CheckMarx - один из лидеров Gartner 2019. SAST поддерживает более 20 языков, инкрементальное сканирование для оптимизации работы, язык запросов для сокращения FP, построение графов зависимостей для того, чтобы наиболее эффективно устранить уязвимости.

Fortify by Micro Focus - также является одним из лидеров рынка с поддержкой 25+ языков, удобный веб интерфейс Software Security Center, использование ML для сокращения FP. Может существовать как Cloud, так и on-prem.

Coverity by Synopsys - лидер Garner 2019. Настраиваемые представления в Coverity Policy Manager позволяют выбирать метрики и пороги разработки, соответствующие конкретным целям. Чтобы осознать число возможных интеграций, предлагаю глянуть в их datasheet.

Разумеется список не исчерпывающий, как по продуктам, так и по функционалу. Отвечаю на вопросы, в том числе по Enterprise и возможности проведения пилотов, в лс.

#sast #tools #dev

"Отображение разработчикам статуса контроля качества исходного кода в SonarQube"

В силу активного использованя Sonar Qube как Quality Assurance и наличия интеграции с огромным числом интрументов безопасности (SAST), предлагаю ознакомиться с полезной статьей Максима Игнатьенко.

Задача: Показывать разработчикам статус контроля качества исходного кода в SonarQube.

Как итог: можно в readme проекта отображать количество багов, уязвимостей, code smell, duplicate.

https://habr.com/ru/post/486904/

#tools #dev

"Статическое тестирование безопасности опенсорсными инструментами"

Александра Сватикова, спикер Heisenbug 2019 Moscow, в своей статье на Хабре рассказывает о принципах работы SAST, приводит пример уязвимостей, объясняет, почему SAST не всегда их находит и как выбрать open-source SAST. Также есть примеры правил на Find Security Bugs.

https://habr.com/ru/company/odnoklassniki/blog/486722/

#sast #tools #dev

Какая разница между DevOps и DevSecOps?

"Для того, чтобы стимулировать внедрение DevSecOps, компания Cloud Security Alliance выделила шесть категорий, на которые следует обратить внимание.

1) Коллективная ответственность. Безопасность не является чем-то эфемерным, прогресс и вклад которого невозможно измерить. Каждый сотрудник организации несет ответственность за безопасность и осознает собственный вклад в ее обеспечение.

2) Сотрудничество и интеграция: безопасность может быть достигнута только путем сотрудничества, а не конфронтации.

3) Прагматичная реализация: используя независимую от инфраструктуры модель цифровой безопасности и конфиденциальности, ориентированную на разработку приложений, для обеспечения безопасности, конфиденциальности и доверия в цифровом обществе, организации смогут прагматично подходить к безопасности в DevOps.

4) Обеспечение соответствия стандартам и разработки: ключом к заполнению пробелов между соответствием стандартам и разработкой является преобразование средств управления в соответствующие критерии программного обеспечения, а также определение переломных моментов в жизненном цикле программного обеспечения, где эти средства управления могут быть автоматизированы и измерены.

5) Автоматизация: качество программного обеспечения может быть улучшено за счет более тщательного, своевременного и регулярного тестирования.
Поддающиеся автоматизации процессы нужно автоматизировать, а от неподдающихся следует отказаться.

6) Измерение, мониторинг, протоколирование и действие: для успеха DevSecOps разработка программного обеспечения и его работа после установки на системах должны непрерывно контролироваться уполномоченными лицами в отведенное для этого время."

https://www.viva64.com/ru/b/0710/

#dev #ops

Выложили доклады с AppSec Day 2019
https://www.youtube.com/playlist?list=PLPvxR0i93gjRu5ZWvoqf6-jd__FyFoqmQ

Программа тут
https://appsecday.io/schedule/