Forwarded from Технологический Болт Генона
Epic Failures - Volume 1.pdf
8.1 MB
Epic Failures in DevSecOps. Volume 1.
Forwarded from SecurityLab.ru
11 февраля в Москве пройдет бизнес-ужин Dev+Sec+Ops – мероприятие для IT-директоров с возможностью обсудить с экспертами Red Hat и Palo Alto Networks практические вопросы безопасной разработки контейнерных приложений, «вживую» увидеть рабочую связку DevOps + DevSecOps.
Бизнес-ужин Dev+Sec+Ops: безопасная разработка корпоративных приложений
Бизнес-ужин Dev+Sec+Ops: безопасная разработка корпоративных приложений
SecurityLab.ru
Бизнес-ужин Dev+Sec+Ops: безопасная разработка корпоративных приложений
11 февраля в Москве пройдет мероприятие для IT-директоров с возможностью обсудить с экспертами практические вопросы безопасной разработки контейнерных приложений.
SAST - Статический анализ кода. Подборка инструментов (free & enterprise)
Продолжим разбирать этапы безпоасного DevOps. Разберемся в существующих инструментах SAST. Что это такое было ранее.
Бесплатные решения:
Перечислить все open source проекты в одном посте невозможно в силу заточенности под тот или иной синтаксис языка, поэтому приведу, на мой взгляд, наиболее полные подборки:
Awesome Static Analysis
SAST tools by OWASP
Enterprise-решения:
Отечественные:
PT Application Inspector - комплексное решение, включающее в себя SAST,DAST, IAST. Из интересного - автоматическая генерация эксплойтов для проверки найденных уязвимостей и проверка на соответствие требованиям российских регулирующих организаций: Банк России, ФСТЭК.
PVS-Studio - SAST, заточенный под C, C++,C# and Java. Есть интеграция c Visual Studio для проверки кода еще до коммита, а также интеграция с SonarQube. Возможность контролировать масштабируемость, указав число задействующих ядер, а также отслеживать компиляцию на Linux. А еще у них есть свой канал.
Зарубежные:
CxSAST by CheckMarx - один из лидеров Gartner 2019. SAST поддерживает более 20 языков, инкрементальное сканирование для оптимизации работы, язык запросов для сокращения FP, построение графов зависимостей для того, чтобы наиболее эффективно устранить уязвимости.
Fortify by Micro Focus - также является одним из лидеров рынка с поддержкой 25+ языков, удобный веб интерфейс Software Security Center, использование ML для сокращения FP. Может существовать как Cloud, так и on-prem.
Coverity by Synopsys - лидер Garner 2019. Настраиваемые представления в Coverity Policy Manager позволяют выбирать метрики и пороги разработки, соответствующие конкретным целям. Чтобы осознать число возможных интеграций, предлагаю глянуть в их datasheet.
Разумеется список не исчерпывающий, как по продуктам, так и по функционалу. Отвечаю на вопросы, в том числе по Enterprise и возможности проведения пилотов, в лс.
#sast #tools #dev
Продолжим разбирать этапы безпоасного DevOps. Разберемся в существующих инструментах SAST. Что это такое было ранее.
Бесплатные решения:
Перечислить все open source проекты в одном посте невозможно в силу заточенности под тот или иной синтаксис языка, поэтому приведу, на мой взгляд, наиболее полные подборки:
Awesome Static Analysis
SAST tools by OWASP
Enterprise-решения:
Отечественные:
PT Application Inspector - комплексное решение, включающее в себя SAST,DAST, IAST. Из интересного - автоматическая генерация эксплойтов для проверки найденных уязвимостей и проверка на соответствие требованиям российских регулирующих организаций: Банк России, ФСТЭК.
PVS-Studio - SAST, заточенный под C, C++,C# and Java. Есть интеграция c Visual Studio для проверки кода еще до коммита, а также интеграция с SonarQube. Возможность контролировать масштабируемость, указав число задействующих ядер, а также отслеживать компиляцию на Linux. А еще у них есть свой канал.
Зарубежные:
CxSAST by CheckMarx - один из лидеров Gartner 2019. SAST поддерживает более 20 языков, инкрементальное сканирование для оптимизации работы, язык запросов для сокращения FP, построение графов зависимостей для того, чтобы наиболее эффективно устранить уязвимости.
Fortify by Micro Focus - также является одним из лидеров рынка с поддержкой 25+ языков, удобный веб интерфейс Software Security Center, использование ML для сокращения FP. Может существовать как Cloud, так и on-prem.
Coverity by Synopsys - лидер Garner 2019. Настраиваемые представления в Coverity Policy Manager позволяют выбирать метрики и пороги разработки, соответствующие конкретным целям. Чтобы осознать число возможных интеграций, предлагаю глянуть в их datasheet.
Разумеется список не исчерпывающий, как по продуктам, так и по функционалу. Отвечаю на вопросы, в том числе по Enterprise и возможности проведения пилотов, в лс.
#sast #tools #dev
Telegram
DevSecOps Wine
SAST - Статический анализ кода - подборка материала
Статический анализ кода - это метод анализа исходного кода на наличие уязвимостей без его запуска. Это позволяет решить ряд сложностей на этапе Test и Develop в жизненном цикле ПО:
1) Трата времени на…
Статический анализ кода - это метод анализа исходного кода на наличие уязвимостей без его запуска. Это позволяет решить ряд сложностей на этапе Test и Develop в жизненном цикле ПО:
1) Трата времени на…
"Отображение разработчикам статуса контроля качества исходного кода в SonarQube"
В силу активного использованя Sonar Qube как Quality Assurance и наличия интеграции с огромным числом интрументов безопасности (SAST), предлагаю ознакомиться с полезной статьей Максима Игнатьенко.
Задача: Показывать разработчикам статус контроля качества исходного кода в SonarQube.
Как итог: можно в readme проекта отображать количество багов, уязвимостей, code smell, duplicate.
https://habr.com/ru/post/486904/
#tools #dev
В силу активного использованя Sonar Qube как Quality Assurance и наличия интеграции с огромным числом интрументов безопасности (SAST), предлагаю ознакомиться с полезной статьей Максима Игнатьенко.
Задача: Показывать разработчикам статус контроля качества исходного кода в SonarQube.
Как итог: можно в readme проекта отображать количество багов, уязвимостей, code smell, duplicate.
https://habr.com/ru/post/486904/
#tools #dev
Хабр
Отображение разработчикам статуса контроля качества исходного кода в SonarQube
SonarQube — это открытая платформа для обеспечения непрерывного контроля качества исходного кода, поддерживающая большое количество языков программирования и поз...
"Статическое тестирование безопасности опенсорсными инструментами"
Александра Сватикова, спикер Heisenbug 2019 Moscow, в своей статье на Хабре рассказывает о принципах работы SAST, приводит пример уязвимостей, объясняет, почему SAST не всегда их находит и как выбрать open-source SAST. Также есть примеры правил на Find Security Bugs.
https://habr.com/ru/company/odnoklassniki/blog/486722/
#sast #tools #dev
Александра Сватикова, спикер Heisenbug 2019 Moscow, в своей статье на Хабре рассказывает о принципах работы SAST, приводит пример уязвимостей, объясняет, почему SAST не всегда их находит и как выбрать open-source SAST. Также есть примеры правил на Find Security Bugs.
https://habr.com/ru/company/odnoklassniki/blog/486722/
#sast #tools #dev
Хабр
Статическое тестирование безопасности опенсорсными инструментами
Уязвимости в своём коде хочется находить как можно быстрее, а значит нужно автоматизировать этот процесс. Как именно автоматизировать поиск уязвимостей? Существует динамическое тестирование...
Какая разница между DevOps и DevSecOps?
"Для того, чтобы стимулировать внедрение DevSecOps, компания Cloud Security Alliance выделила шесть категорий, на которые следует обратить внимание.
1) Коллективная ответственность. Безопасность не является чем-то эфемерным, прогресс и вклад которого невозможно измерить. Каждый сотрудник организации несет ответственность за безопасность и осознает собственный вклад в ее обеспечение.
2) Сотрудничество и интеграция: безопасность может быть достигнута только путем сотрудничества, а не конфронтации.
3) Прагматичная реализация: используя независимую от инфраструктуры модель цифровой безопасности и конфиденциальности, ориентированную на разработку приложений, для обеспечения безопасности, конфиденциальности и доверия в цифровом обществе, организации смогут прагматично подходить к безопасности в DevOps.
4) Обеспечение соответствия стандартам и разработки: ключом к заполнению пробелов между соответствием стандартам и разработкой является преобразование средств управления в соответствующие критерии программного обеспечения, а также определение переломных моментов в жизненном цикле программного обеспечения, где эти средства управления могут быть автоматизированы и измерены.
5) Автоматизация: качество программного обеспечения может быть улучшено за счет более тщательного, своевременного и регулярного тестирования.
Поддающиеся автоматизации процессы нужно автоматизировать, а от неподдающихся следует отказаться.
6) Измерение, мониторинг, протоколирование и действие: для успеха DevSecOps разработка программного обеспечения и его работа после установки на системах должны непрерывно контролироваться уполномоченными лицами в отведенное для этого время."
https://www.viva64.com/ru/b/0710/
#dev #ops
"Для того, чтобы стимулировать внедрение DevSecOps, компания Cloud Security Alliance выделила шесть категорий, на которые следует обратить внимание.
1) Коллективная ответственность. Безопасность не является чем-то эфемерным, прогресс и вклад которого невозможно измерить. Каждый сотрудник организации несет ответственность за безопасность и осознает собственный вклад в ее обеспечение.
2) Сотрудничество и интеграция: безопасность может быть достигнута только путем сотрудничества, а не конфронтации.
3) Прагматичная реализация: используя независимую от инфраструктуры модель цифровой безопасности и конфиденциальности, ориентированную на разработку приложений, для обеспечения безопасности, конфиденциальности и доверия в цифровом обществе, организации смогут прагматично подходить к безопасности в DevOps.
4) Обеспечение соответствия стандартам и разработки: ключом к заполнению пробелов между соответствием стандартам и разработкой является преобразование средств управления в соответствующие критерии программного обеспечения, а также определение переломных моментов в жизненном цикле программного обеспечения, где эти средства управления могут быть автоматизированы и измерены.
5) Автоматизация: качество программного обеспечения может быть улучшено за счет более тщательного, своевременного и регулярного тестирования.
Поддающиеся автоматизации процессы нужно автоматизировать, а от неподдающихся следует отказаться.
6) Измерение, мониторинг, протоколирование и действие: для успеха DevSecOps разработка программного обеспечения и его работа после установки на системах должны непрерывно контролироваться уполномоченными лицами в отведенное для этого время."
https://www.viva64.com/ru/b/0710/
#dev #ops
PVS-Studio
Какая разница между DevOps и DevSecOps?
DevOps – это методология, нацеленная на взаимодействие программистов и системных администраторов, которые в тесном взаимодействии разрабатывают продукт. DevOps engineer — специалист, который работает...
Forwarded from Технологический Болт Генона
Выложили доклады с AppSec Day 2019
https://www.youtube.com/playlist?list=PLPvxR0i93gjRu5ZWvoqf6-jd__FyFoqmQ
Программа тут
https://appsecday.io/schedule/
https://www.youtube.com/playlist?list=PLPvxR0i93gjRu5ZWvoqf6-jd__FyFoqmQ
Программа тут
https://appsecday.io/schedule/
О продукте Wallarm FAST - коротко
Вчера ребята из Wallarm провели для нас демонстрацию своего продукта FAST, инструмента для автоматической генерации и выполнения тестов безопасности, выявляющих уязвимости в веб-приложениях.
Узел FAST (прокси) разворачивается в виде контейнера Docker на отдельно выделенном хосте или на хосте приложения. Узел связывается с облаком Wallarm с помощью ранее сгенерированного токена в личном кабинете администратора в облаке. Для того, чтобы начать пользоваться FAST администратор задает в личном кабинете политику тестирования, которая будет применяться к приложению, в том числе набор преднастреонных атак, парамеры фазинга, число потоков, insertion points (параметры запросов, исключения на директории). После этого узел FAST задается как прокси в браузере, который осуществляет тестирование веб-приложения на основе тех функциональных тестовов, которые вы выполняете. Также есть возможность выполнять преднастроенные тесты, встроив FAST в CI/CD.
Продукт также предоставляет пользователям предметно-ориентированный язык (domain-specific language, DSL) для описания расширений. Это позволяет писать расширения для обнаружения уязвимостей без каких-либо навыков программирования. Расширения описываются с использованием YAML. Примеры.
Вебинар.
Документация.
Пример интеграции с CI/CD.
Попробовать.
#dast #tools #dev
Вчера ребята из Wallarm провели для нас демонстрацию своего продукта FAST, инструмента для автоматической генерации и выполнения тестов безопасности, выявляющих уязвимости в веб-приложениях.
Узел FAST (прокси) разворачивается в виде контейнера Docker на отдельно выделенном хосте или на хосте приложения. Узел связывается с облаком Wallarm с помощью ранее сгенерированного токена в личном кабинете администратора в облаке. Для того, чтобы начать пользоваться FAST администратор задает в личном кабинете политику тестирования, которая будет применяться к приложению, в том числе набор преднастреонных атак, парамеры фазинга, число потоков, insertion points (параметры запросов, исключения на директории). После этого узел FAST задается как прокси в браузере, который осуществляет тестирование веб-приложения на основе тех функциональных тестовов, которые вы выполняете. Также есть возможность выполнять преднастроенные тесты, встроив FAST в CI/CD.
Продукт также предоставляет пользователям предметно-ориентированный язык (domain-specific language, DSL) для описания расширений. Это позволяет писать расширения для обнаружения уязвимостей без каких-либо навыков программирования. Расширения описываются с использованием YAML. Примеры.
Вебинар.
Документация.
Пример интеграции с CI/CD.
Попробовать.
#dast #tools #dev
Wallarm
Application automated Penetration Testing🆗 | Wallarm FAST
Wallarm FAST enables automated security testing in your CI/CD pipeline. ✔️ Identify vulnerabilities in applications and APIs with dynamic security testing that runs as fast as your DevOps teams.
"Developers are taking over AppSec" by WhiteSource
Компания WhiteSource представила статистику по безопасности приложений на базе опроса около 600 разработчиков
Статистика охватывает следующие вопросы:
- Кто несет ответственность за безопасность приложения
- Как расставляются приоритеты относительно безопасности приложений в компаниях
- На каком этапе SDLC разработчики начинают тестировать безопасность приложения
- Про обучение безопасности разработчиков
- На что ориентируются команды при выборе бесплатных инструментов AppSec
- Какие бесплатные инструменты для AppSec используются
За ссылку спасибо @oleg_log
#report
https://www.whitesourcesoftware.com/developers-security-report/
#dev #sca
Компания WhiteSource представила статистику по безопасности приложений на базе опроса около 600 разработчиков
Статистика охватывает следующие вопросы:
- Кто несет ответственность за безопасность приложения
- Как расставляются приоритеты относительно безопасности приложений в компаниях
- На каком этапе SDLC разработчики начинают тестировать безопасность приложения
- Про обучение безопасности разработчиков
- На что ориентируются команды при выборе бесплатных инструментов AppSec
- Какие бесплатные инструменты для AppSec используются
За ссылку спасибо @oleg_log
#report
https://www.whitesourcesoftware.com/developers-security-report/
#dev #sca
Mend
Developers Security Report - Mend
The survey gathered responses from 650 developers in NA and Europe about how their organizations handle the day-to-day operational responsibility for application security from identification to remediation.
DAST for web - подборка инструментов (free)
Zed Attack Proxy (ZAP) - мощный мультиплаформенный инструмент от OWASP для тестировоания безопасности веб-приложений. Инструмент написан на Java , поддерживает автоматическое сканирование, аутентификацию, Ajax spiders, фаззинг, тестирование веб-сокетов. Под ZAP есть плагин Jenkins. Статья про интеграцию.
Wfuzz - инструмент написан на Python, поддерживает аутентификацию, cookies fazzing, мультипоточность, вывод в html, прокси и SOCK
Wapiti - инструмент для опытных пользователей без GUI и веб-интерфейса, имеет поддержку аутентификации с помощью Kerberos и NTLM, умеет првоерять на XXE inj, слабую конфигурацию .htaccess, искать конфиденциальную информацию в резервных копиях
W3af - один из самых популярных инструментов тестироования на Python, есть GUI, легко разваричивается, имет большую базу уязвимостей, расширяется с помощью плагинов. Полный перечень плагинов.
Vega - инструмент на Java с GUI, имеет возможность проверять настройки безопасности TLS / SSL, SSL MITM, расширяется с помощью API-интерфейса модуля JavaScript
Более широкий перечень DAST можно найтти на странице OWASP здесь
Наверняка забыл еще какие-то интересные фичи. Вспомните - пишите в лс )
#dast #tools #dev
Zed Attack Proxy (ZAP) - мощный мультиплаформенный инструмент от OWASP для тестировоания безопасности веб-приложений. Инструмент написан на Java , поддерживает автоматическое сканирование, аутентификацию, Ajax spiders, фаззинг, тестирование веб-сокетов. Под ZAP есть плагин Jenkins. Статья про интеграцию.
Wfuzz - инструмент написан на Python, поддерживает аутентификацию, cookies fazzing, мультипоточность, вывод в html, прокси и SOCK
Wapiti - инструмент для опытных пользователей без GUI и веб-интерфейса, имеет поддержку аутентификации с помощью Kerberos и NTLM, умеет првоерять на XXE inj, слабую конфигурацию .htaccess, искать конфиденциальную информацию в резервных копиях
W3af - один из самых популярных инструментов тестироования на Python, есть GUI, легко разваричивается, имет большую базу уязвимостей, расширяется с помощью плагинов. Полный перечень плагинов.
Vega - инструмент на Java с GUI, имеет возможность проверять настройки безопасности TLS / SSL, SSL MITM, расширяется с помощью API-интерфейса модуля JavaScript
Более широкий перечень DAST можно найтти на странице OWASP здесь
Наверняка забыл еще какие-то интересные фичи. Вспомните - пишите в лс )
#dast #tools #dev
ZAP
The ZAP Homepage
Welcome to ZAP!
Hands_On_Security_in_DevOps_Ensure.pdf
8.1 MB
"Hands-On Security in DevOps: Ensure continuous security, deployment, and delivery with DevSecOps Kindle Edition"
Содержание
1) DevSecOps Драйверы и проблемы
2) Цель безопасности и метрики
3) Программа и организация обеспечения безопасности
4) Требования безопасности и соответствие
5) Пример из практики: Программа обеспечения безопасности
6) Архитектура безопасности, структура общих модулей, принципы проектирования
7) Практика моделирования угроз и безопасный дизайн
8) Безопасный код, базовый уровень, инструменты и лучшие практики
9) Пример: непрерывные выпуски с безопасностью по умолчанию
10) План тестирования безопасности и кейсы
11) Советы по тестированию WhiteBox
12) Инструменты тестирования безопасности
#literature #dev #ops
Содержание
1) DevSecOps Драйверы и проблемы
2) Цель безопасности и метрики
3) Программа и организация обеспечения безопасности
4) Требования безопасности и соответствие
5) Пример из практики: Программа обеспечения безопасности
6) Архитектура безопасности, структура общих модулей, принципы проектирования
7) Практика моделирования угроз и безопасный дизайн
8) Безопасный код, базовый уровень, инструменты и лучшие практики
9) Пример: непрерывные выпуски с безопасностью по умолчанию
10) План тестирования безопасности и кейсы
11) Советы по тестированию WhiteBox
12) Инструменты тестирования безопасности
#literature #dev #ops
Compliance as Code - tools (free)
Небольшая подборка инструментов по "Compliance left" и обеспечение соответствия как непрерывный процесс
Chef InSpec - это бесплатный фреймворк с открытым исходным кодом для тестирования и аудита приложений и инфраструктуры. Вебинар про возможности InSpec
Compliance Masonry - позволяет пользователям создавать сертификационную документацию с использованием схемы OpenControl. Полезно, если вы собираетесь проходить PCI DSS, например.
OpenSCAP - проект при поддержке Red Hat. Инструменты OpenSCAP совместно с Scap Security Guide можно использовать для автоматического аудита системы и проверки соответствия. Вот как это работает на примере с HIPPA
#tools #compliance #dev #ops
Небольшая подборка инструментов по "Compliance left" и обеспечение соответствия как непрерывный процесс
Chef InSpec - это бесплатный фреймворк с открытым исходным кодом для тестирования и аудита приложений и инфраструктуры. Вебинар про возможности InSpec
Compliance Masonry - позволяет пользователям создавать сертификационную документацию с использованием схемы OpenControl. Полезно, если вы собираетесь проходить PCI DSS, например.
OpenSCAP - проект при поддержке Red Hat. Инструменты OpenSCAP совместно с Scap Security Guide можно использовать для автоматического аудита системы и проверки соответствия. Вот как это работает на примере с HIPPA
#tools #compliance #dev #ops
Прямо сейчас идет вебинар "Web Application Firewall - Friend of your DevOps pipeline?"
Обещают показать, как интегрировать WAF (modsecurity) в CI-пайплайн
https://www.youtube.com/watch?v=YhfGeV9XWlo
#dev #ops #talks
Обещают показать, как интегрировать WAF (modsecurity) в CI-пайплайн
https://www.youtube.com/watch?v=YhfGeV9XWlo
#dev #ops #talks
YouTube
Web Application Firewall - Friend of your DevOps pipeline?
Web Application Firewalls (WAF) often raise concern about false positives, latency and other potential production problems. In addition, it is often said, that DevOps and WAF do not fit together. That is a pity, since the WAF helps to protect us from web…
Forwarded from Технологический Болт Генона
Записи докладов с CNCF Minsk #5
https://www.youtube.com/playlist?list=PLwjWMHa5_FX88yf3fapksH9M1OIGM1aNi
First part: Cloud Security Posture Management - Aleksandr Slobodanyuk, Senior Security Systems Engineer.
• CSPM - general overview
• Overview of commercial and opensource tools
• How does it work?
Second part: Infrastructure as Code Security - Michael Yudin, Senior Security Systems Engineer & German Babenko, Senior Security Systems Engineer.
• Infrastructure as Code intro
• Security in IaC
• IaC security tools: AWS demo, GCP demo
• Verifying of Terraform code for AWS Cloud with integration of security code scanning tools in IaC pipeline.
https://www.youtube.com/playlist?list=PLwjWMHa5_FX88yf3fapksH9M1OIGM1aNi
Cisco Tetration - коротко
Продукт позиционируется для защиты ЦОДов в гетерогенной среде, например, у вас есть k8s, aws, vmware, hyper-v, некий кампус и центральный DataCenter, который со всем взаимодействует.
Чтобы разобраться во всем этом многообразии политик (Network Security group в Azure, Port Groups в vmware и т.д.) и компонентов управления, Cisco выпустила агент, который ставится на все, куда только можно дотянутся. С этих агентов собирается телеметрия, анализируется взаимодействие, после чего в консоли можно увидеть подробности о портах и сервисах. Далее Tetration на основе этого взаимодействия автоматически генерирует единую enforcement-политику, которую можно экспортировать в yaml или json, либо сразу применить на хостах. Как пример - изменить iptables на linux-хостах или закрыть порт во всей гетерогенной среде. После этого Tetration постоянно анализирует поведение и конфигурацию всей системы на наличие отклонений.
Отдельным модулем идет блок Security, который представляет из себя в основном EDR. Есть возможность строить граф взаимодействия процессов и инцидентов на таймлайне, искать уязимости и сететевые аномалии.
Это конечно не про CI/CD пайплайн и к разработке имеет посредственное отношение, но с точки зрения большого интерпрайза (с большим бюджетом), где мониторинг и раскатка политик становится настоящей проблемой, решение предлагает комплексное централизованное и вроде как удобное управление.
Из общедоступных наглядных видео:
Cisco Tetration Policy Enforcement Overview
Cisco Tetration Security Dashboard and Forensics
#enterprise #ops
Продукт позиционируется для защиты ЦОДов в гетерогенной среде, например, у вас есть k8s, aws, vmware, hyper-v, некий кампус и центральный DataCenter, который со всем взаимодействует.
Чтобы разобраться во всем этом многообразии политик (Network Security group в Azure, Port Groups в vmware и т.д.) и компонентов управления, Cisco выпустила агент, который ставится на все, куда только можно дотянутся. С этих агентов собирается телеметрия, анализируется взаимодействие, после чего в консоли можно увидеть подробности о портах и сервисах. Далее Tetration на основе этого взаимодействия автоматически генерирует единую enforcement-политику, которую можно экспортировать в yaml или json, либо сразу применить на хостах. Как пример - изменить iptables на linux-хостах или закрыть порт во всей гетерогенной среде. После этого Tetration постоянно анализирует поведение и конфигурацию всей системы на наличие отклонений.
Отдельным модулем идет блок Security, который представляет из себя в основном EDR. Есть возможность строить граф взаимодействия процессов и инцидентов на таймлайне, искать уязимости и сететевые аномалии.
Это конечно не про CI/CD пайплайн и к разработке имеет посредственное отношение, но с точки зрения большого интерпрайза (с большим бюджетом), где мониторинг и раскатка политик становится настоящей проблемой, решение предлагает комплексное централизованное и вроде как удобное управление.
Из общедоступных наглядных видео:
Cisco Tetration Policy Enforcement Overview
Cisco Tetration Security Dashboard and Forensics
#enterprise #ops
YouTube
Cisco Tetration Policy Enforcement Overview
Learn how to enforce policy utilizing foundational elements of policy lifecycle, Application Dependency Map (ADM), and analysis/testing.
Find out more at https://www.cisco.com/go/tetration
Find out more at https://www.cisco.com/go/tetration
cfn-nag
Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.
Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)
https://github.com/stelligent/cfn_nag
#tools #aws #ops
Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.
Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)
https://github.com/stelligent/cfn_nag
#tools #aws #ops
GitHub
GitHub - stelligent/cfn_nag: Linting tool for CloudFormation templates
Linting tool for CloudFormation templates. Contribute to stelligent/cfn_nag development by creating an account on GitHub.