awesome devsecops

Github의 멋진 트렌드에서 영감을 얻었습니다. 이것은 DevSecops 미션을 지원하는 문서, 프레젠테이션, 비디오, 교육 자료, 도구, 서비스 및 일반 리더십 모음입니다. 이들은 DevSecops 실험을 준비하거나 자신의 DevSecops 프로그램을 구축하는 데 도움이되는 필수 빌딩 블록 및 Tidbits입니다.

이 목록은 완전히 포괄적이지 않으며 DevSecops가 성숙함에 따라 변경됩니다. 우리는 그것이 커뮤니티가 DevSecops가 구현되고 채택되는 방식을 배우고 개선함에 따라 성장하고 변화하는 멋진 목록이 되려고합니다. 이 목록에 포함 되려면 정보, 도구, 공급 업체 또는 이니셔티브는 DevSecops 미션에 도움이되는 무료 또는 오픈 소스 기능을 제공해야합니다. 상업적 측면으로 이어지는 링크는 (p)로 나타납니다.

DOCTOC로 생성 된 목차

• 정보
  • 지침
  • 프레젠테이션
  • 이니셔티브
  • 정보를 유지합니다
  • 보안을위한 Wardley지도
• 훈련
  • 실험실
  • 취약한 테스트 목표
  • 회의
  • 팟 캐스트
  • 서적
• 도구
  • 대시 보드
  • 오토메이션
  • 수렵
  • 테스트
  • 경고
  • 위협 지능
  • 공격 모델링
  • 비밀 관리
  • 레드 팀
  • 심상
  • 공유
  • chatops

우리는 다양한 유형의 DevOps + 보안 이니셔티브에 대해 더 많이 배우기 위해 업계에서 일하고 있습니다. 이 컬렉션은 함께 시작되었으며 팟 캐스트, 비디오, 프레젠테이션 및 기타 미디어를 포함하여 DevSecops, Secdevops, DevOpssec 및/또는 DevOps + Security에 대한 자세한 내용을 알 수 있습니다.

우리는 일을하는 종이에 들어 가지 않지만 건전한 조언과 좋은 권장 사항을 공유하면 소프트웨어를 강력하게 만들 수 있습니다. 우리는 코드를 통해 이러한 지침을 개선하는 것을 목표로합니다.

• DevSecops 소개 -Dzone Refcard
• 보안 챔피언 플레이 북
• 웹 개발자를위한 보안 안내서
• OWASP ZAP와 함께 DAST를 구축하기위한 실용적인 가이드
• 보안 테스트 및 도구 소개
• DevSecops 허브

많은 대화가 현재 DevOps 환경에 보안 추가의 변화를 목표로하고 있습니다. 우리는 여기에 가장 주목할만한 것들을 추가했습니다.

• DevSecops : 보안에 대한 DevOps 접근 방식을 취합니다
• 지속적인 통합에서 Mozilla의 테스트 중심 보안
• 보안 개발 - 민첩한 프로젝트에서 안전한 상태를 유지합니다
• Veracode는 풀 스택 해킹에서 클라우드를 방어하고 있습니다
• 트위터에서 로봇을 작동시킵니다 : 보안 자동화
• devsecops의 세면

보안 및 규정 준수를 DevOps로 마이그레이션하기위한 다양한 이니셔티브가 있습니다. 활성 프로젝트에 대한 링크가 포함되었습니다.

• AWS 실험실
• DevOps 및 감사 리소스
• devsecops
• opendevsecops
• 견고한 DevOps

우리는 우리와 같은 Devsecops가 그들의 기술과 통찰력을 공유하는 메일 링리스트와 뉴스 레터의 보물을 발견했습니다.

• AWS 보안
• Azure Security
• 루비 주간
• 보안 뉴스 레터
• SRE 주간

사람들이 자신의 능력을 계속 발전시키고 공통된 이해를 공유하는 한 가지 방법은 Wardley지도의 발전을 통한 것입니다. 우리는이 정보를 수집하고 여기에 몇 가지 좋은 예를 제공합니다.

• 비교는 그림 6을 확인하십시오
• DevSecops 보안 맵을위한 Repo
• Wardley지도 소개
• 보안 산업 예
• SOC 가치 사슬 및 전달 모델

DevSecops는 새로운 기술을 신속하게 습득 할 수있는 학습과 민첩성에 대한 식욕이 필요합니다. 우리는이 링크를 수집하여 우리와 함께 DevSecops를 수행하는 방법을 배우는 데 도움이됩니다.

실험실은 Dev, SEC 및 OPS에서 기술을 키울 수있는 실습 학습 기회입니다. 모든 기술은 유용하며 DevSecops 스타일을 운영하기 위해 공감, 지식 및 무역을 가질 수 있도록 성장해야합니다.

• DevSecops Bootcamp
• 운동주의
• infoseclabs
• 인프라 모니터링
• Pentester Lab
• vulnhub

보안 실수로 인해 취약한 응용 프로그램을 깨는 방법을 배우면 지식을 구축하는 것이 중요합니다. 이 섹션에는하지 말아야 할 일을 배우기 위해 배포 할 수있는 취약한 앱 목록이 포함되어 있습니다. 이 동일한 앱은 의도적 인 취약점을 수정하여 공격자가 기본 인프라 또는 데이터에 액세스하는 것을 방지하는 방법을 배우면 안전하게 만들 수 있습니다.

• 젠장 취약한 웹 응용 프로그램 (PHP/MySQL)
• Lambhack (람다)
• Metasploitable (Linux)
• Mutillidae (PHP)
• 노드 고트 (노드)
• OWASP DAMN DETRENTEBLE SERVERSS APPLATION (DVSA) (AWS Serverless)
• OWASP 주스 상점 (nodejs/angular)
• Railsgoat (Rails)
• WebGoat (웹 앱)
• webgoat.net (.net)
• webgoatphp (php)

DevOps와 보안을 결합하기위한 지식은 회의와 회의를 통해 전달되었습니다. 이것은 의제의 일부를 헌정 한 장소의 짧은 목록입니다.

• AWS Re : Inforce
• AWS Re : 발명
• Devseccon
• DevOps 연결
• DevOps Days
• GOTO 회의
• IP 엑스포
• 이사카 아일랜드
• RSA 회의
• 하루 종일 devops

소규모 DevOps 및 보안 팟 캐스트 컬렉션.

• 체포 된 DevOps
• 보안 팟 캐스트를 제동합니다
• 다크 넷 다이어리
• 방어 보안 팟 캐스트
• Devops Cafe
• 보안 랍비를 내려 놓았습니다
• 음식 싸움 쇼
• 24/7
• 위험한 사업
• 사회 공학 팟 캐스트
• 소프트웨어 엔지니어링 라디오
• 보안 팟 캐스트 1 개를 가져 가십시오
• 10 개의 보안 팟 캐스트
• 안전한 개발자
• 신뢰할 수있는 SEC 팟 캐스트

서적은 DevSecops 주위에 초점을 맞추고 보안 초점을 선발합니다.

• DevOpssec
• Docker Securitiy- 빠른 참조
• 웹 개발자를위한 전체 론적 정보 -Sec
• DevOps 보안
• DevOps 핸드북 (섹션 VI)

이 도구 모음은 DevSecops 플랫폼을 설정하는 데 유용합니다. 우리는 도구를 DevSecops의 다른 부분에 도움이되는 여러 범주로 나누었습니다.

시각화는 창의적인 프로세스의 시작부터 운영으로 전달되는 보안 정보를 식별, 공유 및 발전시키는 데 중요한 요소입니다.

• Grafana
• 키바나

자동화 플랫폼은 보안 결함이 표시 될 때 스크립트 개선을 제공 할 수 있다는 이점이 있습니다.

• 데미 스토
• OWASP 접착제
• 스택 스터
• 내부자 CLI

이 도구 목록은 보안 이상을 찾는 데 필요한 기능을 제공하고 스케일 요구를 지원하기 위해 자동화되고 확장되어야하는 규칙을 식별하는 데 필요한 기능을 제공합니다.

• Grr
• Kube-Hunter
• 미그
• 미라도
• 몰렉
• 모즈프
• osquery
• OSSEC
• osxcollector

테스트는 팀이 견고한 운영을 준비하고 악용되기 전에 보안 결함을 결정하는 데 도움이되기 때문에 DevSecops 프로그램의 필수 요소입니다.

• 브레이크 맨
• Checkov
• 요리사 인상
• 대조 보안
• 응집력
• 데이비드
• Deepfence ThreatMapper
• 건틀 틀트
• 하키리
• Husckyci
• 미루다
• 아이언 웨이즈
• Kube-Bench
• Lynis
• 현미경
• 노드 보안 플랫폼
• NPM-Check
• NPM-Outdated
• 오스 퍼즈
• OWASP OWTF
• Owasp Zap
• OWASP ZAP 노드 API
• progpilot
• Puresec (Serverless Security)
• retirejs
• 찢어졌다
• Shiftleft 스캔
• 스니크
• Sorcecear

중요한 것을 발견 한 후에는 응답 시간이 중요하고 보안 결함을 치료하는 데 필요한 사고 대응에 필수적입니다. 이러한 링크에는 경고 및 알림을 제공하는 일부 프로젝트가 포함됩니다.

• 411
• 알레타
• 엘라 스탈 러트
• 모즈프

세계에는 위협 인텔리전스의 많은 출처가 있습니다. 이들 중 일부는 IP 인텔리전스와 다른 일부는 멀웨어 리포지토리에서 나온 것입니다. 이 범주에는 위협 인텔리전스를 캡처하고 수집하는 데 유용한 도구가 포함되어 있습니다.

• 외계인 금고 OTX
• 중요한 스택
• IBM X-Force
• Intelmq 피드
• opentpx
• 수동적 인 총
• stix, taxii
• 위협 연결

DevSecops에는 속도와 규모로 수행 할 수있는 일반적인 공격 모델링 기능이 필요합니다. 고맙게도 공격 모델링 및 방어를 운영하는 데 도움이되는 유용한 분류법을 만들기위한 노력이 진행 중입니다.

• CAPEC
• 이리우스 리스크
• Larry Osterman의 위협 모델링
• SDL 위협 모델링 도구
• 바다
• 위협 위험 모델링

보안을 코드로 지원하려면 민감한 자격 증명 및 비밀을 관리하고 자동화를 사용하여 보안, 유지 관리 및 회전해야합니다. 아래 프로젝트는 DevOps 팀에게 풀 스택 소프트웨어 배포를 구축하고 배포하는 데 사용되는 민감한 세부 사항을 보호하기위한 몇 가지 좋은 옵션을 제공합니다.

• 블랙 박스
• conjur
• 크리 스타시
• git 비밀
• 키베이스
• SOPS
• 트랜스 크립트
• 둥근 천장

이것들은 우리가 빨간 팀과 전쟁 게임 연습에서 도움이되는 도구입니다. 이 섹션의 프로젝트는 정찰, 악용 개발 및 킬 체인 내에서 공통적 인 기타 활동에 도움이됩니다.

• 목격자
• 사냥개

모든 API 및 명령 줄 도구에서는 DevSecops 발견을 만들기가 이미 어렵습니다. 이 목록은 플로우 차트, 그래프 또는 맵을 통해 작업을 시각화하는 도구를 제공합니다.

• gephi
• 섀도우 버스터
• 와즈

지식을 공유하고 이야기를하는 데 도움이되는 도구 모음.

• gitbook
• 스피커 데크

조직에서 가장 큰 변화 중 하나는 경계없는 커뮤니케이션입니다. Chatops를 설정하면 모든 사람이 모여 문제를 해결할 수 있습니다.

• gitter
• 힙합
• 가장 중요합니다
• 폭동
• 느슨하게