Inspirado en la tendencia impresionante-* en Github. Esta es una colección de documentos, presentaciones, videos, materiales de capacitación, herramientas, servicios y liderazgo general que apoya la misión DevSecops. Estos son los bloques de construcción y bíblicos esenciales que pueden ayudarlo a organizar un experimento de DevSecops o ayudarlo a construir su propio programa DevSecops.
Esta lista no será completamente completa y cambiará a medida que los DevSecops madure. Tenemos la intención de que sea una lista increíble que crece y cambia a medida que la comunidad aprende y mejora cómo se implementa y adopta DevSecops. Para ser incluido en esta lista, la información, las herramientas, los proveedores o la iniciativa deben proporcionar capacidades gratuitas o de código abierto que ayuden con la misión DevSecops. Los enlaces que conducen a un aspecto comercial se observan con un (P).
Tabla de contenido generado con DoctoC
Hemos estado trabajando en toda la industria para aprender más sobre los diferentes tipos de iniciativas de seguridad DevOps +. Esta colección ha sido unida e incluye: podcasts, videos, presentaciones y otros medios para ayudarlo a aprender más sobre DevSecops, Secdevops, DevOpssec y/o DevOps + Security.
Si bien no estamos en el papel de hacer cosas, compartir consejos sólidos y buenas recomendaciones puede fortalecer el software. Nuestro objetivo es mejorar estas pautas a través del código.
Muchas conversaciones ahora están dirigidas al cambio de agregar seguridad al entorno DevOps. Hemos agregado algunos de los más notables aquí.
Hay una variedad de iniciativas en marcha para migrar la seguridad y el cumplimiento de DevOps. Hemos incluido enlaces para proyectos activos aquí:
Hemos descubierto un tesoro de listas de correo y boletines donde Devsecops como nosotros están compartiendo sus habilidades e ideas.
Una forma para que las personas continúen evolucionando sus capacidades y compartir la comprensión común es a través del desarrollo de los mapas de Wardley. Estamos recopilando esta información y proporcionando algunos buenos ejemplos aquí.
DevSecops requiere un apetito por el aprendizaje y la agilidad para adquirir rápidamente nuevas habilidades. Hemos recopilado estos enlaces para ayudarlo a aprender cómo hacer DevSecops con nosotros.
Los laboratorios son oportunidades de aprendizaje práctico para aumentar sus habilidades en Dev, SEC y OPS. Todas las habilidades son útiles y deben cultivarse para que pueda tener la empatía, el conocimiento y el comercio para operar el estilo DevSecops.
Es importante construir conocimientos aprendiendo cómo romper aplicaciones dejadas vulnerables por errores de seguridad. Esta sección contiene una lista de aplicaciones vulnerables que se pueden implementar para aprender qué no hacer. Estas mismas aplicaciones pueden ser seguras remediando las vulnerabilidades intencionales para aprender cómo evitar que los atacantes obtengan acceso a infraestructura o datos subyacentes.
Se ha entregado un cuerpo de conocimiento para combinar DevOps y seguridad a través de conferencias y reuniones. Esta es una breve lista de los lugares que han dedicado una parte de su agenda.
Una pequeña colección de DevOps y podcasts de seguridad.
Los libros se centraron en DevSecops, llevando el enfoque de seguridad al frente.
Esta colección de herramientas es útil para establecer una plataforma DevSecops. Hemos dividido las herramientas en varias categorías que ayudan con las diferentes divisiones de DevSecops.
La visualización es un elemento importante para identificar, compartir y evolucionar la información de seguridad que pasa desde el comienzo del proceso creativo hasta las operaciones.
Las plataformas de automatización tienen la ventaja de proporcionar una remediación con guión cuando aparecen defectos de seguridad.
Esta lista de herramientas proporciona las capacidades necesarias para encontrar anomalías de seguridad e identificar reglas que deben automatizarse y extenderse para respaldar las demandas de la escala.
Las pruebas son un elemento esencial de un programa DevSecops porque ayuda a preparar equipos para operaciones resistentes y determinar los defectos de seguridad antes de que puedan ser explotados.
Una vez que descubra algo importante, el tiempo de respuesta es crítico y esencial para la respuesta de incidentes requerida para remediar un defecto de seguridad. Estos enlaces incluyen algunos de los proyectos que proporcionan alertas y notificaciones.
Hay muchas fuentes de inteligencia de amenazas en el mundo. Algunos de estos provienen de la inteligencia IP y otros de los repositorios de malware. Esta categoría contiene herramientas que son útiles para capturar la inteligencia de amenazas y recopilarla.
DevSecops requiere una capacidad de modelado de ataque común que se puede hacer a velocidad y escala. Afortunadamente, hay esfuerzos en marcha para crear estas taxonomías útiles que nos ayudan a operacionalizar el modelado de ataque y las defensas.
Para admitir la seguridad como código, las credenciales y secretos confidenciales deben administrarse, la seguridad, mantenerse y rotarse utilizando la automatización. Los proyectos a continuación brindan a los equipos de DevOps algunas buenas opciones para asegurar detalles confidenciales utilizados para construir e implementar implementaciones de software de pila completa.
Estas son herramientas que encontramos útiles durante los ejercicios de juegos de equipo rojo y de guerra. Los proyectos en esta sección ayudan con el reconocimiento, el desarrollo de explotación y otras actividades comunes dentro de la cadena de matar.
Hacer descubrimientos de DevSecops ya es bastante difícil con todas las API y las herramientas de línea de comandos. Esta lista proporciona herramientas para visualizar su trabajo a través de diagramas de flujo, gráficos o mapas.
Una colección de herramientas para ayudar a compartir el conocimiento y contar la historia.
Uno de los mayores cambios que puede hacer en su organización son las comunicaciones sin límites. Configurar chatops puede permitir que todos se unan y resuelvan problemas.
