Inspiré par la tendance impressionnante sur Github. Il s'agit d'une collection de documents, présentations, vidéos, matériel de formation, outils, services et leadership général qui soutiennent la mission DevSecops. Ce sont les éléments constitutifs essentiels et les friandises qui peuvent vous aider à organiser une expérience DevSecops ou à vous aider à développer votre propre programme DevSecops.
Cette liste ne sera pas entièrement complète et changera à mesure que DevSecops mûra. Nous avons l'intention que ce soit une liste impressionnante qui se développe et change à mesure que la communauté apprend et améliore la façon dont DevSecops est mis en œuvre et adopté. Pour être inclus dans cette liste, les informations, les outils, les fournisseurs ou l'initiative doivent fournir des capacités gratuites ou open source qui aident à la mission DevSecops. Les liens qui mènent à un aspect commercial sont notés avec un (P).
Table des matières générée avec Doctoc
Nous avons travaillé dans toute l'industrie pour en savoir plus sur les différents types d'initiatives DevOps + Security. Cette collection a été rassemblée et comprend: des podcasts, des vidéos, des présentations et d'autres médias pour vous aider à en savoir plus sur DevSecops, Secdevops, DevOpssec et / ou DevOps + Security.
Bien que nous ne soyons pas dans le papier à faire, partager des conseils judicieux et de bonnes recommandations peuvent rendre les logiciels plus forts. Nous visons à améliorer ces directives grâce au code.
De nombreux discussions visent désormais le changement d'ajout de sécurité dans l'environnement DevOps. Nous avons ajouté certains des plus notables ici.
Il existe une variété d'initiatives en cours pour migrer la sécurité et la conformité vers DevOps. Nous avons inclus des liens pour des projets actifs ici:
Nous avons découvert un trésor de listes de diffusion et de newsletters où les DevSecops comme nous partagent leurs compétences et leurs idées.
Une façon pour les gens de continuer à faire évoluer leurs capacités et de partager une compréhension commune est par le développement de cartes Wardley. Nous collectons ces informations et fournissons ici de bons exemples.
DevSecops nécessite un appétit d'apprentissage et d'agilité pour acquérir rapidement de nouvelles compétences. Nous avons collecté ces liens pour vous aider à apprendre à faire des devsecops avec nous.
Les laboratoires sont des opportunités d'apprentissage pratiques pour développer vos compétences en Dev, SEC et OPS. Toutes les compétences sont utiles et doivent être cultivées afin que vous puissiez avoir l'empathie, les connaissances et le commerce pour faire fonctionner le style DevSecops.
Il est important de développer les connaissances en apprenant à briser les applications laissées vulnérables par des erreurs de sécurité. Cette section contient une liste d'applications vulnérables qui peuvent être déployées pour savoir quoi ne pas faire. Ces mêmes applications peuvent être pratiquées en corrigeant les vulnérabilités intentionnelles pour apprendre à empêcher les attaquants d'accéder à une infrastructure ou des données sous-jacentes.
Un corpus de connaissances pour combiner DevOps et la sécurité a été livré via des conférences et des rencontres. Il s'agit d'une courte liste des lieux qui y ont consacré une partie de leur programme.
Une petite collection de devops et de podcasts de sécurité.
Les livres se sont concentrés sur DevSecops, mettant le focus de sécurité à l'avance.
Cette collection d'outils est utile pour établir une plate-forme DevSecops. Nous avons divisé les outils en plusieurs catégories qui aident avec les différentes divisions de DevSecops.
La visualisation est un élément important d'identification, de partage et d'évolution des informations de sécurité qui passe du début du processus créatif aux opérations.
Les plates-formes d'automatisation ont un avantage de fournir une correction scriptée lorsque les défauts de sécurité sont apparus.
Cette liste d'outils fournit les capacités nécessaires à la recherche d'anomalies de sécurité et à l'identification des règles qui devraient être automatisées et étendues pour soutenir les demandes d'échelle.
Les tests sont un élément essentiel d'un programme DevSecops car il aide à préparer les équipes à des opérations robustes et à déterminer les défauts de sécurité avant de pouvoir être exploités.
Une fois que vous avez découvert quelque chose d'important, le temps de réponse est essentiel et essentiel à la réponse de l'incident requise pour résoudre un défaut de sécurité. Ces liens incluent certains des projets qui prévoient l'alerte et les notifications.
Il existe de nombreuses sources d'intelligence des menaces dans le monde. Certains d'entre eux proviennent de l'intelligence IP et d'autres des référentiels de logiciels malveillants. Cette catégorie contient des outils utiles pour capturer l'intelligence des menaces et le rassembler.
DevSecops nécessite une capacité de modélisation d'attaque courante qui peut être effectuée à vitesse et à l'échelle. Heureusement, il y a des efforts en cours pour créer ces taxonomies utiles qui nous aident à opérationnaliser la modélisation des attaques et les défenses.
Pour prendre en charge la sécurité en tant que code, les informations d'identification et les secrets sensibles doivent être gérés, garanties, entretenus et tournés à l'aide de l'automatisation. Les projets ci-dessous offrent aux équipes DevOps de bonnes options pour sécuriser les détails sensibles utilisés dans la construction et le déploiement de déploiements de logiciels complètes.
Ce sont des outils que nous trouvons utiles lors des exercices de jeu d'équipe et de guerre rouges. Les projets de cette section contribuent à la reconnaissance, à l'élaboration d'exploits et à d'autres activités courantes au sein de la chaîne de mise à mort.
Faire des découvertes DevSecops est déjà assez difficile avec toutes les API et les outils de ligne de commande. Cette liste fournit des outils pour visualiser votre travail via des organigrammes, des graphiques ou des cartes.
Une collection d'outils pour aider à partager les connaissances et à raconter l'histoire.
L'un des plus grands changements que vous puissiez apporter dans votre organisation est les communications sans limites. La configuration des chatops peut permettre à chacun de se réunir et de résoudre des problèmes.
