awesome devsecops

แรงบันดาลใจจากเทรนด์ที่ยอดเยี่ยม-* ใน GitHub นี่คือชุดของเอกสารงานนำเสนอวิดีโอสื่อการฝึกอบรมเครื่องมือบริการและความเป็นผู้นำทั่วไปที่สนับสนุนภารกิจ DevSecops นี่คือการสร้างบล็อกที่สำคัญและเกร็ดความรู้ที่สามารถช่วยให้คุณจัดให้มีการทดลอง devsecops หรือเพื่อช่วยให้คุณสร้างโปรแกรม devsecops ของคุณเอง

รายการนี้จะไม่ครอบคลุมอย่างสมบูรณ์และจะเปลี่ยนไปเมื่อ devsecops ครบกำหนด เราตั้งใจให้มันเป็นรายการที่ยอดเยี่ยมที่เติบโตและเปลี่ยนแปลงเมื่อชุมชนเรียนรู้และปรับปรุงวิธีการใช้และนำไปใช้ devsecops ในการรวมอยู่ในรายการนี้ข้อมูลเครื่องมือผู้ขายหรือความคิดริเริ่มจะต้องจัดหาความสามารถฟรีหรือโอเพ่นซอร์สที่ช่วยในภารกิจ DevSecops ลิงก์ที่นำไปสู่แง่มุมเชิงพาณิชย์จะถูกบันทึกไว้ด้วย (p)

สารบัญ ที่สร้างขึ้นด้วย Doctoc

• ข้อมูล
  • แนวทางปฏิบัติ
  • การนำเสนอ
  • ความคิดริเริ่ม
  • แจ้งให้ทราบล่วงหน้า
  • Wardley Maps เพื่อความปลอดภัย
• การฝึกอบรม
  • ห้องแล็บ
  • เป้าหมายการทดสอบที่มีช่องโหว่
  • การประชุม
  • พอดคาสต์
  • หนังสือ
• เครื่องมือ
  • แดชบอร์ด
  • ระบบอัตโนมัติ
  • การล่าสัตว์
  • การทดสอบ
  • การแจ้งเตือน
  • ข่าวกรองภัยคุกคาม
  • การสร้างแบบจำลองการโจมตี
  • การบริหารความลับ
  • ทีมสีแดง
  • การแสดงภาพ
  • การแบ่งปัน
  • การพูดคุย

เราได้ทำงานทั่วทั้งอุตสาหกรรมเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับประเภทของความคิดริเริ่มด้านความปลอดภัยของ DevOps + คอลเลกชันนี้ถูกดึงเข้าด้วยกันและรวมถึง: พอดคาสต์วิดีโองานนำเสนอและสื่ออื่น ๆ เพื่อช่วยให้คุณเรียนรู้เพิ่มเติมเกี่ยวกับ devsecops, Secdevops, DevOpsSec และ/หรือ DevOps + ความปลอดภัย

ในขณะที่เราไม่ได้เข้าไปในกระดาษของการทำสิ่งต่าง ๆ การแบ่งปันคำแนะนำที่ดีและคำแนะนำที่ดีสามารถทำให้ซอฟต์แวร์แข็งแกร่งขึ้น เรามุ่งมั่นที่จะทำให้แนวทางเหล่านี้ดีขึ้นผ่านรหัส

• รู้เบื้องต้นเกี่ยวกับ devsecops - dzone refcard
• Playbook Champions Security
• คู่มือความปลอดภัยสำหรับนักพัฒนาเว็บ
• คู่มือที่ใช้งานได้จริงเพื่อสร้าง Dast กับ Owasp Zap
• บทนำเกี่ยวกับการทดสอบความปลอดภัยและเครื่องมือ
• ศูนย์กลาง devsecops

การเจรจาจำนวนมากกำลังกำหนดเป้าหมายการเปลี่ยนแปลงของการเพิ่มความปลอดภัยในสภาพแวดล้อม DevOps เราได้เพิ่มสิ่งที่โดดเด่นที่สุดที่นี่

• devsecops: ใช้วิธี DevOps เพื่อความปลอดภัย
• การทดสอบความปลอดภัยของการทดสอบของ Mozilla ในการบูรณาการอย่างต่อเนื่อง
• Security Devops - อยู่อย่างปลอดภัยในโครงการ Agile
• Veracode ปกป้องคลาวด์จากแฮ็คสแต็คเต็มรูปแบบ
• ทำให้หุ่นยนต์ของคุณทำงานได้: ระบบความปลอดภัยอัตโนมัติที่ Twitter
• ทั้งสามใบหน้าของ devsecops

มีความคิดริเริ่มที่หลากหลายเพื่อโยกย้ายความปลอดภัยและการปฏิบัติตามข้อกำหนดใน DevOps เราได้รวมลิงค์สำหรับโครงการที่ใช้งานอยู่ที่นี่:

• AWS Labs
• devops และทรัพยากรการตรวจสอบ
• devsecops
• OpendevSecops
• Devops ที่ขรุขระ

เราได้ค้นพบขุมทรัพย์ของรายการส่งจดหมายและจดหมายข่าวที่ devsecops เช่นเราแบ่งปันทักษะและข้อมูลเชิงลึกของพวกเขา

• ความปลอดภัยของ AWS
• ความปลอดภัยของ Azure
• Ruby Weekly
• จดหมายรับรองความปลอดภัย
• SRE Weekly

วิธีหนึ่งสำหรับผู้คนที่จะพัฒนาความสามารถของพวกเขาต่อไปและแบ่งปันความเข้าใจร่วมกันคือการพัฒนาแผนที่ Wardley เรากำลังรวบรวมข้อมูลนี้และให้ตัวอย่างที่ดีที่นี่

• ตรวจสอบรูปที่ 6 สำหรับการเปรียบเทียบ
• devsecops repo สำหรับแผนที่ความปลอดภัย
• แนะนำแผนที่ Wardley
• ตัวอย่างอุตสาหกรรมความปลอดภัย
• ห่วงโซ่คุณค่า SOC และรูปแบบการจัดส่ง

devsecops ต้องการความอยากอาหารสำหรับการเรียนรู้และความคล่องตัวในการรับทักษะใหม่อย่างรวดเร็ว เราได้รวบรวมลิงค์เหล่านี้เพื่อช่วยให้คุณเรียนรู้วิธีการทำ devsecops กับเรา

ห้องปฏิบัติการเป็นโอกาสในการเรียนรู้ที่จะพัฒนาทักษะของคุณใน Dev, Sec และ Ops ทักษะทั้งหมดมีประโยชน์และจำเป็นต้องเติบโตเพื่อให้คุณสามารถมีความเห็นอกเห็นใจความรู้และการค้าเพื่อใช้งานสไตล์ devsecops

• devsecops bootcamp
• การออกกำลังกาย
• Infoseclabs
• การตรวจสอบโครงสร้างพื้นฐาน
• ห้องแล็บเพนเตอร์
• ช่องโหว่

สิ่งสำคัญคือการสร้างความรู้โดยการเรียนรู้วิธีการทำลายแอปพลิเคชันที่มีความเสี่ยงจากความผิดพลาดด้านความปลอดภัย ส่วนนี้มีรายการแอพที่มีช่องโหว่ที่สามารถปรับใช้เพื่อเรียนรู้สิ่งที่ไม่ควรทำ แอพเดียวกันนี้สามารถทำให้ปลอดภัยโดยการแก้ไขช่องโหว่โดยเจตนาเพื่อเรียนรู้วิธีการป้องกันไม่ให้ผู้โจมตีเข้าถึงโครงสร้างพื้นฐานหรือข้อมูลพื้นฐาน

• แอปพลิเคชันเว็บที่มีช่องโหว่ที่มีช่องโหว่ (PHP/MySQL)
• Lambhack (แลมบ์ดา)
• Metasploitable (Linux)
• Mutillidae (PHP)
• NodeGoat (โหนด)
• OWASP Application Serverless ที่มีช่องโหว่ (DVSA) (AWS Serverless)
• OWASP JUICE Shop (NodeJS/Angular)
• Railsgoat (Rails)
• WebGoat (เว็บแอป)
• webgoat.net (.NET)
• WebGoATPHP (PHP)

ร่างกายของความรู้สำหรับการรวม DevOps และความปลอดภัยได้รับการจัดส่งผ่านการประชุมและการประชุม นี่เป็นรายการสั้น ๆ ของสถานที่ที่ทุ่มเทส่วนหนึ่งของวาระการประชุมของพวกเขา

• AWS Re: Inforce
• AWS Re: ประดิษฐ์
• devseccon
• DevOps Connect
• devops วัน
• Goto Conference
• IP Expo
• Isaca Ireland
• การประชุม RSA
• ตลอดทั้งวัน Devops

คอลเลกชันขนาดเล็กของ DevOps และพอดคาสต์ความปลอดภัย

• DevOps ที่ถูกจับกุม
• เบรกพอดคาสต์ความปลอดภัย
• Darknet Diaries
• พอดคาสต์ความปลอดภัยป้องกัน
• Devops Cafe
• การรักษาความปลอดภัยกระต่าย
• การแสดงการต่อสู้อาหาร
• โอ๊ย 24/7
• ธุรกิจที่มีความเสี่ยง
• พอดคาสต์วิศวกรรมสังคม
• วิทยุวิศวกรรมซอฟต์แวร์
• ใช้ 1 พ็อดคาสต์ความปลอดภัย
• พอดคาสต์ความปลอดภัย
• นักพัฒนาที่ปลอดภัย
• พอดคาสต์ SEC ที่เชื่อถือได้

หนังสือเพ่งความสนใจไปรอบ ๆ devsecops นำจุดสนใจด้านความปลอดภัยไปข้างหน้า

• DevOpssec
• Docker Securitiy - การอ้างอิงอย่างรวดเร็ว
• ข้อมูลแบบองค์รวมข้อมูลสำหรับนักพัฒนาเว็บ
• การรักษาความปลอดภัย DevOps
• คู่มือ DevOps (ส่วน VI)

คอลเลกชันของเครื่องมือนี้มีประโยชน์ในการสร้างแพลตฟอร์ม devsecops เราได้แบ่งเครื่องมือออกเป็นหลายหมวดหมู่ที่ช่วยในส่วนที่แตกต่างกันของ devsecops

การสร้างภาพข้อมูลเป็นองค์ประกอบสำคัญของการระบุการแบ่งปันและการพัฒนาข้อมูลความปลอดภัยที่ส่งผ่านจากจุดเริ่มต้นของกระบวนการสร้างสรรค์จนถึงการดำเนินการ

• กราฟานา
• ชาวกะโหลกศีรษะ

แพลตฟอร์มระบบอัตโนมัติมีข้อได้เปรียบในการให้การแก้ไขสคริปต์เมื่อข้อบกพร่องด้านความปลอดภัยเกิดขึ้น

• demisto
• กาวโอ๊ย
• สแต็คพายุ
• CLI วงใน

รายการเครื่องมือนี้ให้ความสามารถที่จำเป็นสำหรับการค้นหาความผิดปกติด้านความปลอดภัยและการระบุกฎที่ควรเป็นไปโดยอัตโนมัติและขยายเพื่อรองรับความต้องการมาตราส่วน

• GRR
• Kube-Hunter
• มิกซ์
• เมีย
• โมล็อค
• mozdef
• osQuery
• OSSEC
• osxcollector

การทดสอบเป็นองค์ประกอบสำคัญของโปรแกรม devsecops เนื่องจากช่วยเตรียมทีมสำหรับการดำเนินงานที่ทนทานและเพื่อกำหนดข้อบกพร่องด้านความปลอดภัยก่อนที่พวกเขาจะถูกนำไปใช้ประโยชน์

• ผู้ดูแล
• การตรวจสอบ
• Chef Inspec
• การรักษาความปลอดภัยความคมชัด
• การทำงานร่วมกัน
• เดวิด
• Deepfence Tarmamapper
• Gauntlt
• Hakiri
• Husckyci
• อนุมาน
• เหล็กกล้า
• บึง Kube
• ลินนิส
• กล้องจุลทรรศน์
• แพลตฟอร์มความปลอดภัยของโหนด
• การตรวจสอบ NPM
• npm outdated
• OSS FUZZ
• owasp owtf
• owasp zap
• OWASP ZAP NODE API
• progpilot
• PureSec (Serverless Security)
• เกษียณอายุ
• ฉีกขาด
• scan shiftleft
• สไนค์
• sourceclear

เมื่อคุณค้นพบบางสิ่งที่สำคัญเวลาตอบสนองมีความสำคัญและจำเป็นต่อการตอบสนองของเหตุการณ์ที่จำเป็นในการแก้ไขข้อบกพร่องด้านความปลอดภัย ลิงค์เหล่านี้รวมถึงโครงการบางโครงการที่ให้การแจ้งเตือนและการแจ้งเตือน

• 411
• อัลต้า
• elastalert
• mozdef

มีหลายแหล่งสำหรับข่าวกรองการคุกคามในโลก บางส่วนมาจาก IP Intelligence และอื่น ๆ จากที่เก็บมัลแวร์ หมวดหมู่นี้มีเครื่องมือที่มีประโยชน์ในการจับภาพข่าวกรองภัยคุกคามและการรวบรวม

• Alien Vault OTX
• สแต็ควิกฤต
• IBM X-Force
• Intelmq ฟีด
• opentpx
• ทั้งหมดแฝง
• Stix, Taxii
• ภัยคุกคามต่อการเชื่อมต่อ

DevSecops ต้องการความสามารถในการสร้างแบบจำลองการโจมตีทั่วไปที่สามารถทำได้ด้วยความเร็วและมาตราส่วน โชคดีที่มีความพยายามในการสร้าง taxonomies ที่มีประโยชน์เหล่านี้ซึ่งช่วยให้เราดำเนินการสร้างแบบจำลองการโจมตีและการป้องกัน

• capec
• IriusRisk
• การสร้างแบบจำลองการคุกคามของ Larry Osterman
• เครื่องมือสร้างแบบจำลองภัยคุกคาม SDL
• ทะเล
• การสร้างแบบจำลองความเสี่ยงจากภัยคุกคาม

เพื่อสนับสนุนความปลอดภัยเป็นรหัสข้อมูลรับรองที่ละเอียดอ่อนและความลับจำเป็นต้องได้รับการจัดการรักษาความปลอดภัยดูแลรักษาและหมุนโดยใช้ระบบอัตโนมัติ โครงการด้านล่างนี้ให้ทีม DevOps มีตัวเลือกที่ดีสำหรับการรักษารายละเอียดที่ละเอียดอ่อนที่ใช้ในการสร้างและปรับใช้การปรับใช้ซอฟต์แวร์สแต็กเต็มรูปแบบ

• Blackbox
• Conjur
• ความน่าเชื่อถือ
• ความลับของ Git
• คีย์เบส
• จิบ
• แปลง
• หลุมฝังศพ

นี่คือเครื่องมือที่เราพบว่ามีประโยชน์ในระหว่างการออกกำลังกายของทีมสีแดงและเกมสงคราม โครงการในส่วนนี้ช่วยในการลาดตระเวนใช้ประโยชน์จากการพัฒนาและกิจกรรมอื่น ๆ ที่พบได้ทั่วไปภายในห่วงโซ่การฆ่า

• ผู้เห็นเหตุการณ์
• ล่าเนื้อ

การค้นพบ devsecops นั้นยากพอที่จะใช้เครื่องมือ APIs และเครื่องมือบรรทัดคำสั่งทั้งหมด รายการนี้มีเครื่องมือในการมองเห็นงานของคุณผ่านผังงานกราฟหรือแผนที่

• Gephi
• shadowbuster
• wazuh

ชุดเครื่องมือที่จะช่วยในการแบ่งปันความรู้และบอกเล่าเรื่องราว

• สมุดหนังสือ
• ดาดฟ้าลำโพง

หนึ่งในการเปลี่ยนแปลงที่ยิ่งใหญ่ที่สุดที่คุณสามารถทำได้ในองค์กรของคุณคือการสื่อสารที่ไร้ขอบเขต การตั้งค่า Chatops สามารถช่วยให้ทุกคนมารวมกันและแก้ปัญหาได้

• เครื่องราง
• hipchat
• มากที่สุด
• การจลาจล
• หย่อน