Awesome DevSecOps на русском языке

Полная обновляемая подборка материалов по безопасной разработке, DevSecOps и SSDLC на русском языке.

Содержание

• Каналы
• Чаты
• Статьи
  • Dev
  • Ops
• Доклады
  • Dev
  • Ops
• Подкасты
• Стандарты и нормативные документы
• Курсы
• Инструменты
  • Инструменты для моделирования угроз (Threat modeling)
  • Статические анализаторы приложений (SAST)
  • Динамические анализаторы приложений (DAST)
  • Поиск секретов
  • Анализаторы сторонних компонентов (SCA)
  • Тестирование по принципам Behaviour Driven Development
  • Сканеры Docker образов
  • Проверка Docker / Kubernetes на соответствие
  • Безопасность Kubernetes
  • Container Runtime
  • Коммерческие комплексные решения Cloud Native Security Platform
  • Runtime Security
  • IAST
  • Fuzzing
  • Vulnerability Management
  • Compliance-as-code
  • IAC Security
  • Безопасность AWS
  • Безопасность GCP
  • Другие общие подборки по DevSecOps инструментам

Каналы

• DevSecOps Wine
• Технологический Болт Генона
• k8s (in)security
• DevSecOps Talks

Чаты

• DevSecOps - русскоговорящее сообщество
• DevSecOps Wine Chat

Статьи

Dev

• [2021-05-13] DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза,Тимур Гильмуллин, PT
• [2021-02-09] CodeQL: SAST своими руками (и головой), часть 1, Павел Канн, Swordfish Security
• [2021-01-14] Лучшие практики при написании безопасного Dockerfile, Денис Якимов, Swordfish Security
• [2020-12-22] DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер,Тимур Гильмуллин, PT
• [2020-10-01] Как написать правила для Checkmarx и не сойти с ума, Юрий Шабалин, Swordfish Security
• [2020-09-18] Pysa: как избежать проблем безопасности в коде Python,перевод Graham Bleaney, Sinan Cepel,SkillFactory
• [2020-09-17] Строим безопасную разработку в ритейлере. Опыт одного большого проекта, Иван Старосельский, Solar Security
• [2020-09-14] От Threat Modeling до безопасности AWS - 50+ open-source инструментов для выстраивания безопасности DevOps, Денис Якимов, Swordfish Security
• [2020-09-10] DevSecOps: организация фаззинга исходного кода, Дмитрий Евдокимов,Никита Кныжов,Павел Князев, Digital Security
• [2020-08-26] DevSecOps: принципы работы и сравнение SCA. Часть первая, Денис Якимов, Swordfish Security
• [2020-08-20] Безопасность npm пакетов, Слава Фомин, ДомКлик,2,3
• [2020-05-28] (S)SDLC, или Как сделать разработку безопаснее, Ярослав Александров, Ростелеком Solar,2
• [2020-05-26] DevOps vs DevSecOps: как это выглядело в одном банке, Техносерв
• [2020-04-22] Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM, OZON
• [2020-03-24] Используем Zap Baseline Scan для непрерывного сканирования сайта на уязвимости, Александр Тютин
• [2020-02-04] Какая разница между DevOps и DevSecOps?
• [2020-02-04] Статическое тестирование безопасности опенсорсными инструментами, Александра Сватикова, Одноклассники, [доклад]
• [2020-01-13] Использование сканера уязвимостей в используемых библиотеках Dependency-Check в GitlabCI, Пацев Антон
• [2019-12-17] Практические ответы на нетривиальные вопросы, или Как внедрять DevSecOps в организации со сложным IT-ландшафтом, ВТБ
• [2019-12-12] «Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости, Maxim Tyukov, DINS
• [2019-04-18] Страх и ненависть DevSecOps, доклад Юрия Шабалин, перевод в текст Александра Титова
• [2018-01-11] Как внедрить Secure Development Lifecycle и не поседеть. Рассказ Яндекса на ZeroNights 2017, Яндекс
• [2017-09-17] Мечтают ли WAF’ы о статанализаторах, Владимир Кочетков, PT
• [2016-07-08] Ищем уязвимости в коде: теория, практика и перспективы SAST, Владимир Кочетков, PT
• [2014-05-29] Об анализе исходного кода и автоматической генерации эксплоитов, Владимир Кочетков, PT

Ops

• [2021-10-13] Kubernetes Security Checklist and Requirements - All in One, Денис Якимов, Vinum Security
• [2020-09-23] Враг не пройдёт, или как помочь командам соблюдать стандарты разработки, Александр Токарев, Сбербанк
• [2020-07-15] Валидация Kubernetes YAML на соответствие лучшим практикам и политикам, перевод Amit Saha, Flant
• [2020-06-10] Контейнеры для приложений: риски безопасности и ключевые решения по защите, Денис Якимов, КРОК
• [2020-03-10] Как автоматизировать безопасность контейнеров в стиле Policy as Code с помощью CRD, перевод Niteen Kole, Mail.ru
• [2019-12-30] Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала, перевод Paulo Gomes, Flant
• [2019-09-27] Азбука безопасности в Kubernetes: аутентификация, авторизация, аудит, Олег Вознесенский, Flant
• [2019-09-12] Выход за пределы pod'а в Kubernetes через монтирование логов, перевод Daniel Sagi, Flant
• [2019-08-28] 33+ инструмента для безопасности Kubernetes, перевод статьи Mateo Burillo, Flant
• [2019-08-07] Безопасность Helm, доклад Александра Хаерова, Chainstack, [доклад]
• [2019-07-04] Способы и примеры внедрения утилит для проверки безопасности Docker, Павел Канн, Swordfish Security
• [2019-06-26] Обзор утилит безопасности Docker, Павел Канн, Swordfish Security
• [2019-05-29] Безопасность Docker, Павел Канн, Swordfish Security
• [2019-04-29] Введение в сетевые политики Kubernetes для специалистов по безопасности, перевод статьи Reuven Harrison, Flant
• [2019-04-21] Шпаргалки по безопасности: Docker, Acribia
• [2019-01-18] 9 лучших практик по обеспечению безопасности в Kubernetes, Андрей Сидоров, Flant
• [2018-09-11] Понимаем RBAC в Kubernetes, перевод статьи Javier Salmeron, Flant
• [2018-07-25] 11 способов (не) стать жертвой взлома в Kubernetes, перевод статьи Andrew Martin, Flant
• [2017-10-03] Проблемы безопасности Docker, Перевод от Игоря Олемского, Southbridge
• [2017-09-15] Обеспечение сетевой безопасности в кластере Kubernetes,перевод Ahmet Alp Balkan, Southbridge
• [2017-02-17] Контейнеры и безопасность: seccomp, Андрей Емельянов, Selectel

Доклады

Dev

• [2020-08-26] SAST, борьба с потенциальными уязвимостями, Андрей Карпов, PVS-Studio
• [2020-08-26] Внедрение SAST: теория vs практика, Ярослав Александров, Ростелеком-Solar
• [2020-07-30] DevSecOps. Чего нам не хватает. Сергей Белов, Acronis
• [2020-07-30] Мы начинаем DevSecOps, Юрий Шабалин, Swordfish Security
• [2020-06-01] DevSec. Встраивание ИБ в конвейер разработки, Александр Садыков,Станислав Косарев,Антон Гаврилов, «Инфосистемы Джет»
• [2020-05-12] DevSecOps. Общее погружение, Антон Гаврилов,Александр Краснов, «Инфосистемы Джет»
• [2019-12-25] DevSecOps или как встроить проверки информационной безопасности в микросервисы, Антон Башарин, Swordfish Security
• [2019-12-24] DevOps-SecOps, Анатолий Карпенко
• [2019-12-24] DevSecOps: tips and tricks, Юрий Шабалин, Swordfish Security
• [2019-08-23] AppSec как код, Антон Башарин и Юрий Шабалин, Swordfish Security
• [2019-07-03] SAST и Application Security: как бороться с уязвимостями в коде, Сергей Хренов, PVS-Studio
• [2019-07-03] Как построить безопасность SDLC без SDLC, Иван Афанасьев, BI.Zone
• [2018-09-23] Страх и ненависть DevSecOps, Юрий Шабалин, Swordfish Security, DevOps Moscow meetup, [слайды]
• [2018-09-23] Security Compliance & DevOps, Степан Носов, IPONWEB, DevOps Moscow meetup, [слайды]
• [2018-02-24] Теория и практика формального моделирования уязвимостей, Владимир Кочетков, PT,слайды

Ops

• [2020-12-04] Ломаем прил-е в Docker и строим безопасный пайплайн Gitlab, Денис Якимов, Павел Канн, Swordfish Security
• [2020-11-30] Защита Kubernetes со всех сторон, Даниил Бельтюков, Digital Security
• [2020-05-27] Облачный пентест: Методики тестирования Amazon AWS, Вадим Шелест, Digital Security
• [2020-05-27] Использование seccomp для защиты облачной инфраструктуры, Антон Жаболенко, Яндекс.Облако
• [2020-05-26] SecOps. Защита кластера. Юрий Семенюков, Анастасия Дитенкова, Виктор Пучков, «Инфосистемы Джет»
• [2020-04-22] Обеспечение безопасности микросервисной архитектуры в Kubernetes, Олег Маслеников, ЦИАН
• [2020-01-16] У вас есть кластер Kubernetes, но нет майнера на подах? Тогда мы идем к вам! Антон Булавин, Semrush
• [2019-12-10] Заделываем дыры в кластере Kubernetes, Павел Селиванов, Southbridge
• [2019-05-17] Непрерывный статический анализ, Иван Пономарев
• [2019-02-27] Безопасность в Kubernetes, Дмитрий Лазаренко, Mail.Ru Cloud Solutions
• [2019-02-08] Управление секретами при помощи Hashicorp Vault в Авито, Сергей Носков, Авито
• [2018-10-30] Мониторинг безопасности сайтов, Григорий Земсков, Ревизиум
• [2018-10-05] Безопасность в Kubernetes. Проект Kaniko. Лаборатория ПИТ
• [2018-07-23] Статический анализ: ищем ошибки... и уязвимости? Сергей Васильев, PVS-Studio
• [2017-04-22] Хайлоад и безопасность в мире DevOps: совместимы ли? Юрий Колесов, security-gu.ru
• [2016-07-04] Проникновение в Docker с примерами, Дмитрий Столяров, Flant

Подкасты

• SecOps - второе пришествие, Денис Якимов, Swordfish Security
• Про DevSecOps, Барух Садогурский, JFrog
• Мобильный SSDLC, Юрий Шабалин, Swordfish Security
• SDCast #96, Юрий Шабалин, Swordfish Security
• Qu3b3c: Немного про K8s и Cloud Native
• DevOps Курилка. "DevSecOps as Инфобезопасник 2.0".

Стандарты и нормативные документы

Модели зрелости

• BSIMM
• OWASP SAMM
• OWASP Devsecops Maturity Model

Стандарты

• "ГОСТ 58412 Разработка безопасного ПО. Угрозы безопасности информации при разработке ПО"
• "ГОСТ 56939 Разработка безопасного ПО. Общие требования."
• Проект стандарта "Руководство по реализации мер по разработке безопасного программного обеспечения"
• ISO IEC 27034

Курсы

• "Основные сведения об обеспечении безопасности с помощью моделирования угроз", Microsoft
• Security Courses by Yandex

Инструменты

Инструменты для моделирования угроз (Threat modeling)

Моделирование угроз в контексте Secure Development Lifecycle представляет из себя процесс анализа архитектуры ПО на предмет наличия в ней потенциальных уязвимостей и небезопасных технологий. Чтобы сократить расходы на добавление дополнительного функционала с точки зрения безопасности, решением может являться внедрение процесса проверок ИБ еще на этапе проектирования архитектуры. На этом же этапе формируются требования со стороны специалистов по безопасности приложений, которые в дальнейшем пойдут в backlog.

Бесплатные / Open-source

• OWASP Threat Dragon
• Pytm
• Materialize threats tool
• Threatspec
• Raindance
• Microsoft Threat Modeling Tool
• Theagile

Коммерческие / Enterprise

• Irius Risks
• ThreatModeler

Другие подборки

• Awesome threat modeling

Статические анализаторы приложений (SAST)

Статический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на исходные коды приложения.

Бесплатные / Open-source универсальные средства

• ShiftLeft Scan
• Salus
• Semgrep
• HuskyCI
• CodeQL
• Консоль LGTM для CodeQL

Коммерческие / Enterprise

• Checkmarx
• FortifySCA
• PT AI
• PVS-Studio
• RIPS
• Solar AppScreener
• Veracode Static Analysis

Другие подборки с описанием SAST под конкретный язык

• OWASP Source Code Analysis Tools
• Static Analysis Tools

Динамические анализаторы приложений (DAST)

Динамический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на ответы сервера по заданным запросам.

Бесплатные / Open-source

• Arachni
• OWASP ZAP
• w3af
• nikto
• nerve
• Nuclei

Коммерческие / Enterprise

• PortSwigger Burp Suite
• NetSparker
• Acunetix
• WebInspect
• PT AI
• Veracode Dynamic Analysis
• Tenable Web App Scanning

Другие подборки

• Awesome DAST

Поиск секретов

Инструмент для поиска чувствительной информации.

Бесплатные / Open-source

• git-secrets
• Gitrob
• Gitleaks
• TruffleHog
• Talisman
• Slack Watchman
• GitLab Watchman
• Rusty Hog
• Semgrep

Коммерческие / Enterprise

• GitGuardian

Анализаторы сторонних компонентов (SCA)

Анализатор сторонних компонентов - инструмент, который осуществляет поиск уязвимостей в сторонних open-source компонентах, подключенных к проекту.

Бесплатные / Open-source

• Dependency aeck
• Dependency Track
• Nexus Vulnerability Scanner
• ClearlyDefined
• Renovate
• Dependabot

Коммерческие / Enterprise

• Sonatype Nexus IQ
• Veracode SCA
• Snyk Open Source
• WhiteSource for Developers
• JFrog XRay
• Black Duck

Другие подборки

• OWASP Composition Analysis

Тестирование по принципам Behaviour Driven Development

Фреймворк, позволяющий описывать проверки по методологии BDD.

Бесплатные / Open-source

• BDD-Security
• Gauntlt

Сканеры Docker образов

Инструменты, направленные на поиск уязвимостей в образах контейнеров.

Бесплатные / Open-source

• Clair
• Trivy
• Anchore
• AquaMicroscanner
• Dagda
• whalescan
• grype
• syft

Коммерческие / Enterprise

• Snyk Container
• TrendMicro SmartCheck
• WhiteSource for containers
• Nexus Container

Другие подборки

• 29 Docker security tools compared
• Awesome Container Security
• Awesome Docker Security

Проверка Docker / Kubernetes на соответствие

Инструмент для проверки хоста/dockerd/сборки на соответствии (CIS/PCI DSS и другие).

Бесплатные / Open-source

• Docker bench
• Dockle
• Kubebench
• Kubernetes Auto Analyzer

Безопасность Kubernetes

Инструмент для проверки безопасности Kubernetes.

Бесплатные / Open-source

• Kubehunter
• KubiScan
• Krane
• Statboard
• Kubeaudit
• Kubesec
• audit2rbac
• kubei
• Kubestriker
• Container penetration toolkit

Другие подборки

• Kubernetes Security Checklist and Requirements - All in One
• Awesome Kubernetes Security
• Awesome k8s Security

Container Runtime

Инструмент для отслеживания поведения контейнеров в Runtime.

Бесплатные / Open-source

• Sysdig Falco
• Deepfence Runtime Threat Mapper

Коммерческие комплексные решения Cloud Native Security Platform

• Aqua CSP
• Luntry
• Aqua CSPM
• Prisma Cloud Compute
• NeuVector
• Sysdig
• Tenable.io Container Security
• McAfee Container Security
• TrendMicro CloudOne
• Qualys Container Security

Runtime Security

Инструмент для проверки веб-приложений в режиме runtime

Бесплатные / Open-source

• RASP

Коммерческие / Enterprise

• Sqreen

IAST

Инструмент, совмещающий практики SAST и DAST.

Бесплатные / Open-source

• Contrast

Коммерческие / Enterprise

• Checkmarx IAST
• Veracode IAST
• Synopsys IAST
• Acunetix IAST
• Burp IAST

Fuzzing

Практика тестирования приложения, при которой на вход программе подаются данные, которые могут привести к неопределенному поведению.

Другие подборки

• Awesome Fuzzing
• Fuzzing Paper Collection
• Fuzzing Papper

Vulnerability Management

Инструмент, собирающий и агрегирующий результаты проверки сторонних инструментов.

Бесплатные / Open-source

• DefectDojo
• Secure code Box
• Archery
• Faraday
• VulnReport

Коммерческие / Enterprise

• AppSec.Hub
• ThreatFix
• Kenna Security

Compliance-as-code

Практика представления требований безопасности через декларативное описание в виде кода с целью дальнейшей непрерывной оценки на соответствие.

Бесплатные / Open-source

• Chef InSpec
• Compliance Masonry

IAC Security

Практика тестирования декларативного описания инфраструктуры через конфигурационные файлы на соответствие требования безопасности.

• Cfn Nag
• Checkov
• Terrascan
• Tfsec
• kics

Kubernetes YAML validating

• Kubeval
• Kube-score
• Config-lint
• Copper
• Conftest
• Polaris

Сравнение

• Сравнение инструментов
• tool-compare

Безопасность AWS

Инструменты для проверки безопасности AWS.

Бесплатные / Open-source

• AWS-inventor
• aws_key_triage_tool
• Aws-public-ips
• CloudSploit
• AWS Security Benchmark
• S3 Scan

Другие подборки

• My-arsenal-of-aws-security-tools
• Awesome AWS S3 Tools
• Cloud Security Tools by Cloudberry Engineering

Безопасность GCP

Инструменты для проверки безопасности GCP.

Бесплатные / Open-source

• G-Scout
• ScoutSuite
• gcp-audit
• gcp-iam-collector
• gke-auditor

Другие общие подборки по DevSecOps инструментам

• My Arsenal of Cloud Native (Security) Tools by MARCO LANCINI
• Security along the Container-based SDLC
• DevSecOps / Awesome DevSecOps
• TaptuIT / Awesome DevSecOps
• Devops-ru / Awesome DevSecOps RU