ホーム>プログラミング関連>その他のソースコード
ダウンロード

素晴らしいdevsecops

Githubの素晴らしい*トレンドに触発されました。これは、DevSecopsミッションをサポートするドキュメント、プレゼンテーション、ビデオ、トレーニング資料、ツール、サービス、一般的なリーダーシップのコレクションです。これらは、DevSecopsの実験を手配したり、独自のDevSecopsプログラムを構築するのに役立つ重要なビルディングブロックと情報です。

このリストは完全には包括的ではなく、DevSecopsが成熟するにつれて変化します。私たちは、コミュニティがDevSecopsの実装と採用方法を学び、改善するにつれて、成長し、変化する素晴らしいリストになることを意図しています。このリストに含めるには、情報、ツール、ベンダー、またはイニシアチブは、DevSecopsミッションに役立つ無料またはオープンソースの機能を提供する必要があります。商業的側面につながるリンクは、a(p)で認められます。

Doctocで生成された目次

  • 情報
    • ガイドライン
    • プレゼンテーション
    • イニシアチブ
    • 情報を提供し続けます
    • Wardleyはセキュリティのためのマップ
  • トレーニング
    • ラボ
    • 脆弱なテストターゲット
    • 会議
    • ポッドキャスト
  • ツール
    • ダッシュボード
    • オートメーション
    • 狩猟
    • テスト
    • 警告
    • 脅威インテリジェンス
    • 攻撃モデリング
    • 秘密の管理
    • レッドチーム
    • 視覚化
    • 共有
    • Chatops

情報

私たちは、さまざまなタイプのDevOps +セキュリティイニシアチブの詳細について、業界全体で取り組んできました。このコレクションはまとめられており、ポッドキャスト、ビデオ、プレゼンテーション、その他のメディアが含まれており、DevSecops、Secdevops、DevOpsSec、および/またはDevOps + Securityの詳細を学ぶのに役立ちます。

ガイドライン

私たちは物事を行う紙には興味がありませんが、健全なアドバイスと良い推奨事項を共有することで、ソフトウェアを強化することができます。コードを通じてこれらのガイドラインを改善することを目指しています。

  • devsecopsの紹介-dzone refcard
  • セキュリティチャンピオンズプレイブック
  • Web開発者向けのセキュリティガイド
  • owasp zapでdastを構築するための実用的なガイド
  • セキュリティテストとツールの紹介
  • devsecopsハブ

プレゼンテーション

現在、多くの協議は、DevOps環境にセキュリティを追加することの変更をターゲットにしています。ここに最も注目すべきもののいくつかを追加しました。

  • devsecops:セキュリティに対するdevopsアプローチをとる
  • Mozillaの継続的な統合におけるテスト駆動型セキュリティ
  • Security Devops-アジャイルプロジェクトで安全なまま
  • Veracodeはフルスタックハックからクラウドを守ります
  • ロボットを機能させる:Twitterでセキュリティオートメーション
  • DevSecopsの3つの顔

イニシアチブ

セキュリティとコンプライアンスをDevOpsに移行するためのさまざまなイニシアチブがあります。アクティブプロジェクトのリンクをここに含めました:

  • AWSラボ
  • DevOpsおよび監査リソース
  • devsecops
  • Opendevsecops
  • 頑丈なDevOps

情報を提供し続けます

私たちのようなDevSecopsが彼らのスキルと洞察を共有しているメーリングリストとニュースレターの宝庫を発見しました。

  • AWSセキュリティ
  • Azureセキュリティ
  • ルビーウィークリー
  • セキュリティニュースレター
  • SREウィークリー

Wardleyはセキュリティのためのマップ

人々が自分の能力を進化させ続け、共通の理解を共有する1つの方法は、Wardleyマップの開発によるものです。この情報を収集し、ここでいくつかの良い例を提供しています。

  • 比較については、図6をご覧ください
  • セキュリティマップ用のdevsecopsリポジトリ
  • ワードリーマップの紹介
  • セキュリティ業界の例
  • SOCバリューチェーンと配信モデル

トレーニング

DevSecopsには、新しいスキルを迅速に獲得するために、学習と敏ility性に対する食欲が必要です。これらのリンクを収集して、DevSecopsを行う方法を学ぶのに役立ちました。

ラボ

ラボは、開発者、SEC、およびOPSでスキルを高めるための実践的な学習の機会です。すべてのスキルは有用であり、DevSecopsスタイルを運営するために共感、知識、貿易を持つことができるように成長する必要があります。

  • devsecops bootcamp
  • 運動
  • infoseclabs
  • インフラストラクチャの監視
  • Pentester Lab
  • Vulnhub

脆弱なテストターゲット

セキュリティの間違いによって脆弱なままにされたアプリケーションを破る方法を学ぶことで、知識を構築することが重要です。このセクションには、展開することができないことを展開できる脆弱なアプリのリストが含まれています。これらの同じアプリは、攻撃者が基礎となるインフラストラクチャやデータへのアクセスを獲得するのを防ぐ方法を学ぶための意図的な脆弱性を修正することにより、安全にすることができます。

  • くそー脆弱なWebアプリケーション(PHP/MySQL)
  • ランバック(ラムダ)
  • Metasploable(Linux)
  • mutillidae(php)
  • nodegoat(ノード)
  • owaspいまいましい脆弱なサーバーレスアプリケーション(DVSA)(AWSサーバーレス)
  • OWASPジュースショップ(Nodejs/Angular)
  • Railsgoat(Rails)
  • webgoat(webアプリ)
  • webgoat.net(.net)
  • webgoatphp(php)

会議

DevOpsとセキュリティを組み合わせるための一連の知識は、会議とミートアップを通じて提供されています。これは、議題の一部を捧げた会場の短いリストです。

  • AWS Re:Inforce
  • AWS Re:Invent
  • devseccon
  • DevOps Connect
  • DevOpsの日
  • GOTO会議
  • IPエキスポ
  • イサカアイルランド
  • RSA会議
  • 終日DevOps

ポッドキャスト

DevOpsとセキュリティポッドキャストの小さなコレクション。

  • DevOpsを逮捕
  • セキュリティポッドキャストのブレーキをかけます
  • ダークネット日記
  • 防御セキュリティポッドキャスト
  • DevOps Cafe
  • セキュリティラブビットホールを下ります
  • フードファイトショー
  • OWASP 24/7
  • 危険なビジネス
  • ソーシャルエンジニアリングポッドキャスト
  • ソフトウェアエンジニアリングラジオ
  • 1つのセキュリティポッドキャストを取ります
  • テナブルセキュリティポッドキャスト
  • 安全な開発者
  • 信頼できるSECポッドキャスト

DevSecopsに焦点を当てた本は、セキュリティに焦点を当てています。

  • devopssec
  • Docker securitiy-クイックリファレンス
  • Web開発者向けのHolistic Info-SEC
  • DevOpsの保護
  • DevOpsハンドブック(セクションVI)

ツール

このツールのコレクションは、devsecopsプラットフォームの確立に役立ちます。 DevSecopsのさまざまな部門に役立ついくつかのカテゴリにツールを分割しました。

ダッシュボード

視覚化は、創造的なプロセスの開始から運用に至るまでのセキュリティ情報を特定、共有、および進化させる重要な要素です。

  • グラファナ
  • キバナ

オートメーション

自動化プラットフォームには、セキュリティ欠陥が浮上したときにスクリプト化された修復を提供するという利点があります。

  • デミスト
  • owasp接着剤
  • スタックストーム
  • インサイダーCLI

狩猟

このツールリストは、セキュリティの異常を見つけ、スケール需要をサポートするために拡張する必要があるルールを特定するために必要な機能を提供します。

  • GRR
  • Kube-Hunter
  • mig
  • ミラドール
  • モロク
  • Mozdef
  • osquery
  • Ossec
  • osxcollector

テスト

テストは、頑丈な運用のためにチームを準備し、それらを悪用する前にセキュリティ欠陥を決定するのに役立つため、DevSecopsプログラムの重要な要素です。

  • ブレイクマン
  • Checkov
  • シェフインスペック
  • セキュリティのコントラスト
  • 凝集
  • デビッド
  • Deepfence ThreatMapper
  • gauntlt
  • ハキリ
  • Husckyci
  • 推測
  • アイアンワスプ
  • キューブベンチ
  • リニス
  • 顕微鏡
  • ノードセキュリティプラットフォーム
  • NPMチェック
  • npmは締めくくられました
  • OSSファズ
  • owasp owtf
  • owasp zap
  • OWASP ZAPノードAPI
  • Progpilot
  • Puresec(サーバーレスセキュリティ)
  • Retirejs
  • 裂け目
  • Shiftleftスキャン
  • スナイク
  • SourceClear

警告

重要なことを発見すると、応答時間は重要であり、セキュリティ欠陥を修正するために必要なインシデント応答に不可欠です。これらのリンクには、アラートと通知を提供するプロジェクトの一部が含まれています。

  • 411
  • アレルタ
  • Elastalert
  • Mozdef

脅威インテリジェンス

世界には脅威知能のための多くの情報源があります。これらのいくつかは、IP Intelligenceやその他のマルウェアリポジトリから来ています。このカテゴリには、脅威インテリジェンスをキャプチャして照合するのに役立つツールが含まれています。

  • エイリアンボールトOTX
  • クリティカルスタック
  • IBM X-Force
  • IntelMQフィード
  • opentpx
  • パッシブ合計
  • stix、タクシー
  • 脅威接続

攻撃モデリング

DevSecopsには、スピードとスケールで実行できる一般的な攻撃モデリング機能が必要です。ありがたいことに、攻撃モデリングと防御を運用するのに役立つこれらの有用な分類法を作成する努力が進行中です。

  • CAPEC
  • iriusrisk
  • ラリー・オスターマンの脅威モデリング
  • SDL脅威モデリングツール
  • Seasponge
  • 脅威リスクモデリング

秘密の管理

セキュリティをコードとしてサポートするには、機密性の高い資格情報と秘密を管理、セキュリティ、維持、自動化を使用して回転させる必要があります。以下のプロジェクトは、DevOpsチームに、フルスタックソフトウェアの展開の構築と展開に使用される機密の詳細を確保するためのいくつかの良いオプションを提供します。

  • ブラックボックス
  • コンジュール
  • クレドスタッシュ
  • gitの秘密
  • キーベース
  • ソップ
  • transcrypt
  • ボールト

レッドチーム

これらは、レッドチームとウォーゲームの演習で役立つツールです。このセクションのプロジェクトは、偵察、開発、およびキルチェーン内で一般的なその他の活動に役立ちます。

  • 目撃者
  • ハウンド

視覚化

すべてのAPIおよびコマンドラインツールでは、DevSecopsの発見をすることはすでに十分に難しいです。このリストは、フローチャート、グラフ、またはマップを介して作業を視覚化するためのツールを提供します。

  • ゲフィ
  • Shadowbuster
  • ワズー

共有

知識を共有し、ストーリーを語るのに役立つツールのコレクション。

  • gitbook
  • スピーカーデッキ

Chatops

組織で行うことができる最大の変更の1つは、境界のないコミュニケーションです。 Chatopsをセットアップすると、全員が集まって問題を解決できるようになります。

  • ギター
  • hipchat
  • ほとんど重要です
  • 暴動
  • スラック
拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて