"DevSecOps Reference Architectures 2019" by Sonatype

Отличная подборка по DevSecOps: более 30 различных моделей и пайплайнов DevSecOps, степень автоматизации проверок на разных этапах встраивания в цикл разработки. Все с ссылками на источники.

#report #dev #ops

SAST - Статический анализ кода - подборка материала

Статический анализ кода - это метод анализа исходного кода на наличие уязвимостей без его запуска. Это позволяет решить ряд сложностей на этапе Test и Develop в жизненном цикле ПО:

1) Трата времени на ожидание проверки кода старшим разработчиком на наличие уязвимостей
2) Пропуск уязвимостей во время code review, недостаточное уделение внимания вопросам ИБ
3) Выявлять уязвимости на более поздних этапах жизненного цикла обходится дороговато - дополнительные трудозатраты на переписывание кода в случае обнаружения уязвимостей

Видео:
Application Security Testing by Semi Yulianto

Static Analysis for Dynamic Assessments by Greg Patton

SAST, борьба с потенциальными уязвимостями - Андрей Карпов

Внедрение SAST: теория vs практика - Ярослав Александров

Статьи:
How to integrate SAST into the DevSecOps pipeline in 5 simple steps by Meera Rao

What is Static Analysis Within CI/CD Pipelines? by Logan Raki

Ищем уязвимости в коде: теория, практика и перспективы SAST - Владимир Кочетков

«Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости - Maxim Tyukov

#sast #article #video #dev

"Agile Application Security. Enabling Security in a CD pipeline" by Laure Bell, Michael Brunton-Spall, Rich Smith & Jim Bird

Авторы книги обещают объяснить:
1) Как добавить методы обеспечения безопасности на каждом этапе существующего жизненного цикла разработки
2) Как совместить безопасность с планированием, требованиями, дизайном на уровне кода
3) Как добавить тестирование безопасности как часть усилий вашей команды по доставке работающего программного обеспечения в каждый релиз
4) Как внедрить нормативные требования в гибкой среде или среде DevOps
5) Как создать эффективную программу безопасности через культуру сопереживания, открытости, прозрачности и сотрудничества

#literature #dev #ops

О методологиях Test-Driven Security (TDS), Behavior-driven development (BDD) + BDD-security framework

Test-Driven Security (TDS) - методология по аналогии с Test-Driven Development, согласно которой сначала необходимо писать тесты на безопасность, применять их на код и инфраструктуру, проваливать, исправлять и проходить, после чего регулярно повторять тесты. Через данную идею пронизана вся книга "Securing DevOps". В книге реализация этого процесса осуществляется через baseline OWASP ZAP и вызов shell-скриптов с выделенного компонента deployer, на котором реализована большая часть тестов по безопасности.

Behavior-driven development (BDD) - Идеей этой методологии является совмещение технических интересов и интересов бизнеса, позволяя общаться менеджмерам и разработчикам c помощью легко-читаемых сценариев.

BDD-Security - бесплатный фреймворк, задействующий Selenium, OWASP ZAP, SSLyze и Tennable's Nessus scanner, благоадря которому можно реализовать методологию BDD и TDS. Пример, как это работает

#tools

#literature #dev #ops

Epic Failures in DevSecOps. Volume 1.

SAST - Статический анализ кода. Подборка инструментов (free & enterprise)

Продолжим разбирать этапы безпоасного DevOps. Разберемся в существующих инструментах SAST. Что это такое было ранее.

Бесплатные решения:
Перечислить все open source проекты в одном посте невозможно в силу заточенности под тот или иной синтаксис языка, поэтому приведу, на мой взгляд, наиболее полные подборки:

Awesome Static Analysis

SAST tools by OWASP

Enterprise-решения:
Отечественные:

PT Application Inspector - комплексное решение, включающее в себя SAST,DAST, IAST. Из интересного - автоматическая генерация эксплойтов для проверки найденных уязвимостей и проверка на соответствие требованиям российских регулирующих организаций: Банк России, ФСТЭК.

PVS-Studio - SAST, заточенный под C, C++,C# and Java. Есть интеграция c Visual Studio для проверки кода еще до коммита, а также интеграция с SonarQube. Возможность контролировать масштабируемость, указав число задействующих ядер, а также отслеживать компиляцию на Linux. А еще у них есть свой канал.

Зарубежные:
CxSAST by CheckMarx - один из лидеров Gartner 2019. SAST поддерживает более 20 языков, инкрементальное сканирование для оптимизации работы, язык запросов для сокращения FP, построение графов зависимостей для того, чтобы наиболее эффективно устранить уязвимости.

Fortify by Micro Focus - также является одним из лидеров рынка с поддержкой 25+ языков, удобный веб интерфейс Software Security Center, использование ML для сокращения FP. Может существовать как Cloud, так и on-prem.

Coverity by Synopsys - лидер Garner 2019. Настраиваемые представления в Coverity Policy Manager позволяют выбирать метрики и пороги разработки, соответствующие конкретным целям. Чтобы осознать число возможных интеграций, предлагаю глянуть в их datasheet.

Разумеется список не исчерпывающий, как по продуктам, так и по функционалу. Отвечаю на вопросы, в том числе по Enterprise и возможности проведения пилотов, в лс.

#sast #tools #dev

"Отображение разработчикам статуса контроля качества исходного кода в SonarQube"

В силу активного использованя Sonar Qube как Quality Assurance и наличия интеграции с огромным числом интрументов безопасности (SAST), предлагаю ознакомиться с полезной статьей Максима Игнатьенко.

Задача: Показывать разработчикам статус контроля качества исходного кода в SonarQube.

Как итог: можно в readme проекта отображать количество багов, уязвимостей, code smell, duplicate.

https://habr.com/ru/post/486904/

#tools #dev

"Статическое тестирование безопасности опенсорсными инструментами"

Александра Сватикова, спикер Heisenbug 2019 Moscow, в своей статье на Хабре рассказывает о принципах работы SAST, приводит пример уязвимостей, объясняет, почему SAST не всегда их находит и как выбрать open-source SAST. Также есть примеры правил на Find Security Bugs.

https://habr.com/ru/company/odnoklassniki/blog/486722/

#sast #tools #dev

Какая разница между DevOps и DevSecOps?

"Для того, чтобы стимулировать внедрение DevSecOps, компания Cloud Security Alliance выделила шесть категорий, на которые следует обратить внимание.

1) Коллективная ответственность. Безопасность не является чем-то эфемерным, прогресс и вклад которого невозможно измерить. Каждый сотрудник организации несет ответственность за безопасность и осознает собственный вклад в ее обеспечение.

2) Сотрудничество и интеграция: безопасность может быть достигнута только путем сотрудничества, а не конфронтации.

3) Прагматичная реализация: используя независимую от инфраструктуры модель цифровой безопасности и конфиденциальности, ориентированную на разработку приложений, для обеспечения безопасности, конфиденциальности и доверия в цифровом обществе, организации смогут прагматично подходить к безопасности в DevOps.

4) Обеспечение соответствия стандартам и разработки: ключом к заполнению пробелов между соответствием стандартам и разработкой является преобразование средств управления в соответствующие критерии программного обеспечения, а также определение переломных моментов в жизненном цикле программного обеспечения, где эти средства управления могут быть автоматизированы и измерены.

5) Автоматизация: качество программного обеспечения может быть улучшено за счет более тщательного, своевременного и регулярного тестирования.
Поддающиеся автоматизации процессы нужно автоматизировать, а от неподдающихся следует отказаться.

6) Измерение, мониторинг, протоколирование и действие: для успеха DevSecOps разработка программного обеспечения и его работа после установки на системах должны непрерывно контролироваться уполномоченными лицами в отведенное для этого время."

https://www.viva64.com/ru/b/0710/

#dev #ops

Выложили доклады с AppSec Day 2019
https://www.youtube.com/playlist?list=PLPvxR0i93gjRu5ZWvoqf6-jd__FyFoqmQ

Программа тут
https://appsecday.io/schedule/

О продукте Wallarm FAST - коротко

Вчера ребята из Wallarm провели для нас демонстрацию своего продукта FAST, инструмента для автоматической генерации и выполнения тестов безопасности, выявляющих уязвимости в веб-приложениях.

Узел FAST (прокси) разворачивается в виде контейнера Docker на отдельно выделенном хосте или на хосте приложения. Узел связывается с облаком Wallarm с помощью ранее сгенерированного токена в личном кабинете администратора в облаке. Для того, чтобы начать пользоваться FAST администратор задает в личном кабинете политику тестирования, которая будет применяться к приложению, в том числе набор преднастреонных атак, парамеры фазинга, число потоков, insertion points (параметры запросов, исключения на директории). После этого узел FAST задается как прокси в браузере, который осуществляет тестирование веб-приложения на основе тех функциональных тестовов, которые вы выполняете. Также есть возможность выполнять преднастроенные тесты, встроив FAST в CI/CD.

Продукт также предоставляет пользователям предметно-ориентированный язык (domain-specific language, DSL) для описания расширений. Это позволяет писать расширения для обнаружения уязвимостей без каких-либо навыков программирования. Расширения описываются с использованием YAML. Примеры.

Вебинар.
Документация.
Пример интеграции с CI/CD.
Попробовать.

#dast #tools #dev

"Epic Failures in DevSecOps. Volume 2"

Ссылка на Volume 1
#literature #dev #ops

"Developers are taking over AppSec" by WhiteSource

Компания WhiteSource представила статистику по безопасности приложений на базе опроса около 600 разработчиков

Статистика охватывает следующие вопросы:
- Кто несет ответственность за безопасность приложения
- Как расставляются приоритеты относительно безопасности приложений в компаниях
- На каком этапе SDLC разработчики начинают тестировать безопасность приложения
- Про обучение безопасности разработчиков
- На что ориентируются команды при выборе бесплатных инструментов AppSec
- Какие бесплатные инструменты для AppSec используются

За ссылку спасибо @oleg_log

#report

https://www.whitesourcesoftware.com/developers-security-report/

#dev #sca

DAST for web - подборка инструментов (free)

Zed Attack Proxy (ZAP) - мощный мультиплаформенный инструмент от OWASP для тестировоания безопасности веб-приложений. Инструмент написан на Java , поддерживает автоматическое сканирование, аутентификацию, Ajax spiders, фаззинг, тестирование веб-сокетов. Под ZAP есть плагин Jenkins. Статья про интеграцию.

Wfuzz - инструмент написан на Python, поддерживает аутентификацию, cookies fazzing, мультипоточность, вывод в html, прокси и SOCK

Wapiti - инструмент для опытных пользователей без GUI и веб-интерфейса, имеет поддержку аутентификации с помощью Kerberos и NTLM, умеет првоерять на XXE inj, слабую конфигурацию .htaccess, искать конфиденциальную информацию в резервных копиях

W3af - один из самых популярных инструментов тестироования на Python, есть GUI, легко разваричивается, имет большую базу уязвимостей, расширяется с помощью плагинов. Полный перечень плагинов.

Vega - инструмент на Java с GUI, имеет возможность проверять настройки безопасности TLS / SSL, SSL MITM, расширяется с помощью API-интерфейса модуля JavaScript

Более широкий перечень DAST можно найтти на странице OWASP здесь

Наверняка забыл еще какие-то интересные фичи. Вспомните - пишите в лс )

#dast #tools #dev

"Hands-On Security in DevOps: Ensure continuous security, deployment, and delivery with DevSecOps Kindle Edition"

Содержание
1) DevSecOps Драйверы и проблемы
2) Цель безопасности и метрики
3) Программа и организация обеспечения безопасности
4) Требования безопасности и соответствие
5) Пример из практики: Программа обеспечения безопасности
6) Архитектура безопасности, структура общих модулей, принципы проектирования
7) Практика моделирования угроз и безопасный дизайн
8) Безопасный код, базовый уровень, инструменты и лучшие практики
9) Пример: непрерывные выпуски с безопасностью по умолчанию
10) План тестирования безопасности и кейсы
11) Советы по тестированию WhiteBox
12) Инструменты тестирования безопасности

#literature #dev #ops

Compliance as Code - tools (free)

Небольшая подборка инструментов по "Compliance left" и обеспечение соответствия как непрерывный процесс

Chef InSpec - это бесплатный фреймворк с открытым исходным кодом для тестирования и аудита приложений и инфраструктуры. Вебинар про возможности InSpec

Compliance Masonry - позволяет пользователям создавать сертификационную документацию с использованием схемы OpenControl. Полезно, если вы собираетесь проходить PCI DSS, например.

OpenSCAP - проект при поддержке Red Hat. Инструменты OpenSCAP совместно с Scap Security Guide можно использовать для автоматического аудита системы и проверки соответствия. Вот как это работает на примере с HIPPA

#tools #compliance #dev #ops

Прямо сейчас идет вебинар "Web Application Firewall - Friend of your DevOps pipeline?"

Обещают показать, как интегрировать WAF (modsecurity) в CI-пайплайн

https://www.youtube.com/watch?v=YhfGeV9XWlo

#dev #ops #talks