Awesome DevSecOps

Вдохновлённый тенденцией awesome-* на GitHub, это сборник документов, презентаций, видео, обучающих материалов, инструментов, сервисов и общих руководств, поддерживающих миссию DevSecOps. Это основные строительные блоки и лакомые кусочки, которые помогут вам организовать эксперимент DevSecOps или создать собственную программу DevSecOps.

Этот список не будет исчерпывающим и будет меняться по мере развития DevSecOps. Мы хотим, чтобы он был отличным списком, который растёт и меняется по мере того, как сообщество учится и совершенствует внедрение и принятие DevSecOps. Чтобы быть включённым в этот список, информация, инструменты, поставщики или инициатива должны предоставлять бесплатные или открытые возможности, помогающие в миссии DevSecOps. Ссылки, ведущие к коммерческому аспекту, отмечены буквой (P).

Содержание

Содержание создано с помощью DocToc

• Информация

  • Рекомендации
  • Презентации
  • Инициативы
  • Как оставаться в курсе
  • Карты Уордли для безопасности

• Обучение

  • Лаборатории
  • Уязвимые тестовые цели
  • Конференции
  • Подкасты
  • Книги

• Инструменты

  • Панели мониторинга
  • Автоматизация
  • Охота
  • Тестирование
  • Оповещение
  • Интеллектуальная разведка угроз
  • Моделирование атак
  • Управление секретами
  • Красная команда
  • Визуализация
  • Совместное использование
  • ChatOps

Информация

Мы работаем в отрасли, чтобы узнать больше о различных типах инициатив DevOps + Security. Эта коллекция была собрана и включает: подкасты, видео, презентации и другие медиаматериалы, которые помогут вам узнать больше о DevSecOps, SecDevOps, DevOpsSec и/или DevOps + Security.

Рекомендации

Хотя мы не сторонники бумажных методов работы, обмен здравыми советами и хорошими рекомендациями может сделать программное обеспечение более надёжным. Мы стремимся улучшить эти рекомендации с помощью кода.

• Введение в DevSecOps — DZone Refcard.
• Руководство по безопасности чемпионов.
• Руководство по безопасности для веб-разработчиков.
• Практическое руководство по созданию DAST с OWASP Zap.
• Введение в тестирование безопасности и инструменты.

Презентации

Многие выступления сейчас нацелены на изменение добавления безопасности в среду DevOps. Мы добавили некоторые из самых заметных здесь.

• DevSecOps: применение подхода DevOps к безопасности.
• Тестируемая безопасность Mozilla в непрерывной интеграции.
• Безопасность DevOps — обеспечение безопасности в гибких проектах.
• Защита облака Veracode от взлома полного стека.
• Заставьте своих роботов работать: автоматизация безопасности в Twitter.

Инициативы

Существует множество инициатив по переносу безопасности и соответствия требованиям в DevOps. Мы включили ссылки на активные проекты здесь:

• AWS. Развитие навыков DevSecOps: ресурсы и материалы

Мы обнаружили множество полезных ресурсов, где специалисты в области DevSecOps делятся своими навыками и знаниями.

• Ruby Weekly (http://rubyweekly.com);
• Security Newsletter (https://securitynewsletter.co/);
• SRE Weekly (https://sreweekly.com/).

Карты Уордли для обеспечения безопасности

Одним из способов развития навыков и обмена знаниями является разработка карт Уордли. Мы собрали эту информацию и предоставляем несколько хороших примеров.

• Посмотрите рисунок 6 для сравнения (http://www.cio.co.uk/it-strategy/introduction-wardley-value-chain-mapping-3604565/);
• Репозиторий DevSecOps для карт безопасности (https://github.com/devsecops/wardley-maps);
• Введение в карты Уордли (http://blog.gardeviance.org/2015/02/an-introduction-to-wardley-value-chain.html);
• Пример индустрии безопасности (http://blog.gardeviance.org/2014_08_01_archive.html);
• SOC Value Chain & Delivery Models (http://blog.blackswansecurity.com/2016/01/soc-value-chain-delivery-models/).

Обучение

DevSecOps требует постоянного обучения и гибкости, чтобы быстро приобретать новые навыки. Мы собрали эти ссылки, чтобы помочь вам научиться работать с нами.

Практикумы

Практикумы — это практические занятия, которые помогут вам развить навыки в Dev, Sec и Ops. Все навыки полезны и должны быть развиты, чтобы вы могли иметь эмпатию, знания и опыт работы в стиле DevSecOps.

• Практикум DevSecOps (https://github.com/devsecops/bootcamp);
• Exercism (http://exercism.io/);
• Infoseclabs (http://www.infoseclabs.net);
• Мониторинг инфраструктуры (https://github.com/appsecco/defcon24-infra-monitoring-workshop);
• Pentester Lab (https://pentesterlab.com/exercises/);
• Vulnhub (https://www.vulnhub.com/).

Уязвимые тестовые цели

Важно накапливать знания, изучая, как взломать приложения, оставленные уязвимыми из-за ошибок безопасности. В этом разделе содержится список уязвимых приложений, которые можно развернуть, чтобы узнать, чего не следует делать. Те же самые приложения можно сделать безопасными, устранив преднамеренные уязвимости, чтобы узнать, как предотвратить доступ злоумышленников к базовой инфраструктуре или данным.

• Damn Vulnerable Web Application (PHP/MySQL) (https://github.com/ethicalhack3r/DVWA);
• LambHack (Lambda) (https://github.com/wickett/lambhack);
• Metasploitable (Linux) (https://community.rapid7.com/docs/DOC-1875);
• Mutillidae (PHP) (http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-top-10);
• NodeGoat (Node) (https://github.com/owasp/nodegoat);
• OWASP Juice Shop (NodeJS/Angular) (https://github.com/OWASP/glue);
• RailsGoat (Rails) (https://github.com/OWASP/railsgoat);
• WebGoat (Web App) (https://github.com/WebGoat/WebGoat);
• WebGoat.Net (.NET) (https://github.com/OWASP/WebGoat.NET);
• WebGoatPHP (PHP) (https://github.com/OWASP/OWASPWebGoatPHP).

Конференции

Знания о сочетании DevOps и безопасности были представлены на конференциях и встречах. Это краткий список мест, которые посвятили этому часть своей программы.

• AWS re:Invent (https://reinvent.awsevents.com);
• DevSecCon (http://devseccon.com);
• DevOps Connect (http://www.devopsconnect.com/);
• DevOps Days (http://www.devopsdays.org/);
• Goto Conference (http://gotocon.com);
• IP Expo (http://www.ipexpoeurope.com/);
• ISACA Ireland (http://www.isaca.org/chapters5/Ireland/conference/pages/Agenda.aspx);
• RSA Conference (http://www.rsaconference.com);
• All Day DevOps (https://www.alldaydevops.com/).

Подкасты

Небольшая коллекция подкастов о DevOps и безопасности.

• Arrested DevOps (https://www.arresteddevops.com/);

• Brakeing Down Security Podcast (http://www.brakeingsecurity.com/);

• Darknet Diaries (https://darknetdiaries.com);

• Defensive Security Podcast (http://www.defensivesecurity.org/). DevOps Cafe

• Down The Security Rabbithole

• Food Fight Show

• OWASP 24/7

• Risky Business

• Social Engineering Podcast

• Software Engineering Radio

• Take 1 Security Podcast

• Tenable Security Podcast

• The Secure Developer

• Trusted Sec Podcast

Books

Книги, посвящённые DevSecOps, в которых акцент делается на безопасности.

• DevOpsSec
• Docker Security — Quick Reference
• Holistic Info-Sec for Web Developers
• Securing DevOps

Инструменты

Этот набор инструментов полезен для создания платформы DevSecOps. Мы разделили инструменты на несколько категорий, которые помогают с различными аспектами DevSecOps.

Информационные панели

Визуализация является важным элементом идентификации, обмена и развития информации о безопасности, которая проходит от начала творческого процесса до операций.

• Grafana
• Kibana

Автоматизация

Платформы автоматизации имеют преимущество в предоставлении сценариев исправления при обнаружении дефектов безопасности.

• Demisto
• OWASP Glue
• StackStorm

Поиск

Этот список инструментов предоставляет возможности, необходимые для поиска аномалий безопасности и определения правил, которые должны быть автоматизированы и расширены для поддержки требований масштаба.

• GRR
• kube-hunter
• mig
• Mirador
• moloch
• MozDef
• osquery
• OSSEC
• osxcollector

Тестирование

Тестирование является важным элементом программы DevSecOps, поскольку оно помогает подготовить команды к надёжным операциям и определить дефекты безопасности до того, как они могут быть использованы.

• BDD Security
• Brakeman
• Chef Inspec
• Contrast Security
• Cohesion
• David
• Gauntlt
• Hakiri
• HuskyCI
• Infer
• IronWASP
• kube-bench
• Lynis
• microscanner
• Node Security Platform
• npm-check
• npm-outdated
• OSS Fuzz
• OWASP OWTF
• OWASP ZAP
• OWASP ZAP Node API
• Progpilot
• PureSec (Serverless Security)
• RetireJS
• RIPS
• Snyk
• SourceClear

Оповещение

Как только вы обнаружите что-то важное, время отклика имеет решающее значение и важно для реагирования на инциденты, необходимого для устранения дефекта безопасности. Эти ссылки включают некоторые из них. Проекты, предоставляющие оповещения и уведомления

• 411
• Alerta
• Elastalert
• MozDef

Угрозы разведки Существует множество источников угроз разведки в мире. Некоторые из них поступают от IP-разведки, другие — из хранилищ вредоносных программ. Эта категория содержит инструменты, которые полезны для сбора данных об угрозах и их сопоставления.

• Alien Vault OTX
• Critical Stack
• IBM X-Force
• IntelMQ Feeds
• OpenTPX
• Passive Total
• STIX, TAXII
• Threat Connect

Моделирование атак DevSecOps требует общей способности к моделированию атак, которая может быть реализована быстро и масштабно. К счастью, предпринимаются усилия по созданию этих полезных таксономий, которые помогают нам внедрить моделирование атак и защиту.

• CAPEC
• IriusRisk
• Larry Osterman's Threat Modeling
• SDL Threat Modeling Tool
• SeaSponge
• Threat Risk Modeling

Управление секретами Для поддержки безопасности как кода необходимо управлять чувствительными учётными данными и секретами, обеспечивать безопасность, поддерживать и обновлять их с помощью автоматизации. Приведённые ниже проекты предоставляют командам DevOps несколько хороших вариантов защиты конфиденциальных сведений, используемых при создании и развёртывании полнофункциональных программных решений.

• BlackBox
• CredStash
• Git Secrets
• Keybase
• Sops
• Transcrypt
• Vault

Красная команда Это инструменты, которые мы считаем полезными во время упражнений красной команды и военных игр. Проекты в этом разделе помогают с разведкой, разработкой эксплойтов и другими действиями, характерными для Kill Chain.

• EyeWitness
• Hound

Визуализация Делать открытия DevSecOps уже достаточно сложно со всеми этими API и инструментами командной строки. Этот список предоставляет инструменты для визуализации вашей работы с помощью блок-схем, графиков или карт.

• Gephi
• ShadowBuster
• Wazuh

Совместное использование Коллекция инструментов, помогающих делиться знаниями и рассказывать истории.

• Gitbook
• Speaker Deck

ChatOps Одно из величайших изменений, которое вы можете внести в своей организации, — это безграничное общение. Настройка ChatOps может позволить всем объединиться и решать проблемы.

• Gitter
• HipChat
• MatterMost
• Riot
• Slack