И ещё одна полезная книга по DevOps https://www.mann-ivanov-ferber.ru/books/rukovodstvo-po-devops/
Электронную версию можно найти в чате... а можно купить
Size: a a a
2019 October 09
И продолжить наше путешествие в мир безопасной разработки хотелось бы с чеклиста от компании Sqreen.
Он представляет собой список лучших практик в области безопасности для имплементации DevSecOps.
Каждый пункт по клику раскрывается в описание и ссылки по теме.
https://www.sqreen.com/checklists/devops-security-checklist
Обратите внимание на само решение от Sqreen. Кто нибудь пробовал? Нужны отзывы/мнения.
Он представляет собой список лучших практик в области безопасности для имплементации DevSecOps.
Каждый пункт по клику раскрывается в описание и ссылки по теме.
https://www.sqreen.com/checklists/devops-security-checklist
Обратите внимание на само решение от Sqreen. Кто нибудь пробовал? Нужны отзывы/мнения.
2019 October 11
Короче, пролистав пару книг по DevSecOps я начинаю подозревать, что авторы понимают под этим понятием вообще всё на свете. Для себя я бы выделил:
1. Безопасность Pipline (конвейера разработки) от рабочего места разработчика до прода. Безопасность инфраструктуры, облака, учётные записи, инструменты CI/CD, мониторинг, аудит итд, типичная работа ИБ с учётом того что весь конвейер связан между собой.
2. Разработка безопасных приложений: процессы, обучение, культура, тестирование приложений, анализ исходного кода, CAST, DAST, RAST сканирование итд.
3. Безопасность приложения: сюда вообще можно пихать все подряд, в зависимости от типа приложения: сетевая безопасность, мониторинг, облака, итд.
... Но самое главное для безопасника - понять что мир разработки изменился, понять сложившуюся в компании практику, начать понимать людей. Что думаете?
1. Безопасность Pipline (конвейера разработки) от рабочего места разработчика до прода. Безопасность инфраструктуры, облака, учётные записи, инструменты CI/CD, мониторинг, аудит итд, типичная работа ИБ с учётом того что весь конвейер связан между собой.
2. Разработка безопасных приложений: процессы, обучение, культура, тестирование приложений, анализ исходного кода, CAST, DAST, RAST сканирование итд.
3. Безопасность приложения: сюда вообще можно пихать все подряд, в зависимости от типа приложения: сетевая безопасность, мониторинг, облака, итд.
... Но самое главное для безопасника - понять что мир разработки изменился, понять сложившуюся в компании практику, начать понимать людей. Что думаете?
2019 October 14
Скоро будем проводить семинар по DevSecOps, вэлкам! Регистрация обязательна!
https://telegra.ph/Seminar-po-resheniyam-DevSecOps-10-14
https://telegra.ph/Seminar-po-resheniyam-DevSecOps-10-14
2019 October 15
И ещё одно мероприятие, 22 октября, во вторник, вместе с PWC, нашим глобальным партнёром, проводим семинар по Digital Identity. Это IDM, управление учетками и так далее. Регистрируйтесь!
https://www.pwc.ru/ru/events/2019/biznes-zavtrak-digital-identity.html
https://www.pwc.ru/ru/events/2019/biznes-zavtrak-digital-identity.html
2019 October 16
Начинаем изучать инструменты, на мой взгляд самым действенным является работа с людьми, обучение или awarenes по модному. Вот один из толковых ресурсов для этого. https://www.hacksplaining.com
Вышел отчёт по AppSec от Micro Focus, интересная статистика и обзор отчёта в статье: https://community.microfocus.com/t5/Security-Blog/2019-AppSec-Risk-Report-Key-Takeaways/ba-p/2701724
2019 October 18
Старая но актуальная статья Сергея Гордейчика о статическом и динамической анализе кода https://www.securitylab.ru/blog/personal/offtopic/32164.php
И такой же древний обзор...есть свежее? https://www.anti-malware.ru/reviews/Code_analyzers_market_overview_Russia_and_world
Заканчиваю читать "Проект Феникс", всем советую. Читается легко и интересно. Под катом диалог с Джоном, главным ИБэшником. Типичная ситуация...ну и конец в тему DevSecOps https://teletype.in/@petr.grishchenko/SJmJ1MvYr
2019 October 19
Субботнее. Очень важно что бы ИБ встраивалось в процесс производства ПО, каким бы он ни был)
2019 October 22
С точки зрения инструментов самыми интересными выглядят инструменты статического и динамического анализа. Для меня это, конечно, Micro Focus Fortify, который включает и DAST и SAST. Именно вокруг этих инструментов часто и встраивается работа, поэтому они должны уметь интегрироваться с огромным количеством платформ. Вот интересная подборка того, с чем интегрируется Fortify https://www.microfocus.com/en-us/marketing/secure-sdlc-and-devops
Там приведены описания, ссылки и видео про различные:
IDEs
CI/CD Servers
Build Tools
Testing Tools
Source Control
Ticketing Systems
Open Source Control
Application Security Training
итд...
Там приведены описания, ссылки и видео про различные:
IDEs
CI/CD Servers
Build Tools
Testing Tools
Source Control
Ticketing Systems
Open Source Control
Application Security Training
итд...
Все то же самое на одной картинке
2019 October 23
Взгляд на построение процесса анализа кода https://teletype.in/@petr.grishchenko/SkTM3RntB
Перевод статьи из нашего блога о том, как начать внедрять AppSec в компании, со ссылками на вебинары и гиды https://teletype.in/@petr.grishchenko/SkmLpFaFB
2019 October 24
Оказывается, у некоторых телеграф заблокирован и они не смогли открыть предыдущее приглашение на семинар 30 октября по DevSecOps. Вот ссылка на официальную программу и регистрацию:
http://micro-focus.tgbtl.ru/DevSecOps/Home
http://micro-focus.tgbtl.ru/DevSecOps/Home
2019 October 25
Учиться, учиться и ещё раз учиться! Небольшой обзор сервиса по обучению разработчиков. https://teletype.in/@petr.grishchenko/B1cdWNlqH
2019 October 27
Интересный обзор от GitLab о современных тенденциях в DevSecOps:
1. Изменение способа компоновки и исполнения ПО: Open Source, cloud computing, cloud native App, dockers, orchestrators, Serverless applications такие как AWS Lambda изменили ландшафт.
2. DevOps и парадигма CI/CD изменили способ создания и управления циклом разработки. Continuous Security с применением SAST, DAST решений на самых ранних стадиях становится обязательной. Внедрение в процесс разработки безопасности, против перекладывания ответственности.
3. Нормативные требования и SecDevOps все больше пересекаются. GDPR, PCI DSS И так дале
А также множество ссылок на отчёты и советы как с этим жить
1. Изменение способа компоновки и исполнения ПО: Open Source, cloud computing, cloud native App, dockers, orchestrators, Serverless applications такие как AWS Lambda изменили ландшафт.
2. DevOps и парадигма CI/CD изменили способ создания и управления циклом разработки. Continuous Security с применением SAST, DAST решений на самых ранних стадиях становится обязательной. Внедрение в процесс разработки безопасности, против перекладывания ответственности.
3. Нормативные требования и SecDevOps все больше пересекаются. GDPR, PCI DSS И так дале
А также множество ссылок на отчёты и советы как с этим жить