awesome devsecops

受Github上令人敬畏的*趋势的启发。这是支持DevSecops任务的文档，演示，视频，培训材料，工具，服务和一般领导的集合。这些是必不可少的构建块和小动物，可以帮助您安排DevSecops实验或帮助您构建自己的DevSecops程序。

此列表将不会完全全面，并且随着DevSecops的成熟而改变。我们打算将其成为一个很棒的列表，随着社区学习并改善DevSecops的实施和采用方式，它会成长和变化。要包含在此列表中，信息，工具，供应商或倡议必须提供免费或开源的功能，以帮助执行DevSecops任务。 a（p）指出导致商业方面的链接。

Doctoc生成的目录

• 信息
  • 指南
  • 演讲
  • 倡议
  • 继续通知
  • 沃德利的安全地图
• 训练
  • 实验室
  • 脆弱的测试目标
  • 会议
  • 播客
  • 图书
• 工具
  • 仪表板
  • 自动化
  • 打猎
  • 测试
  • 警报
  • 威胁情报
  • 攻击建模
  • 秘密管理
  • 红队
  • 可视化
  • 分享
  • Chatops

我们一直在整个行业工作，以了解有关不同类型的DevOps +安全计划的更多信息。该集合已被汇总在一起，其中包括：播客，视频，演示文稿和其他媒体，以帮助您了解有关DevSecops，Secdevops，DevOpsSec和/或DevOps + Security的更多信息。

虽然我们不喜欢做事的纸条，但分享合理的建议和好的建议可以使软件更强大。我们的目标是通过代码更好地使这些准则更好。

• DevSecops的简介 - Dzone Rebcard
• 安全冠军剧本
• Web开发人员的安全指南
• 用Owasp Zap构建Dast的实用指南
• 安全测试和工具简介
• DevSecops Hub

现在，许多谈判都是针对将安全性添加到DevOps环境中的更改。我们在这里添加了一些最著名的。

• DevSecops：采用DevOps的安全性
• Mozilla在连续集成中的测试驱动安全性
• 安全开发人员 - 在敏捷项目中保持安全
• VeraCode从完整的堆栈hack捍卫云
• 将您的机器人上班：在Twitter上的安全自动化
• Devsecops的三个面孔

正在进行各种计划，将安全性和合规性迁移到DevOps中。我们在此处包括了活动项目的链接：

• AWS实验室
• DevOps和审计资源
• DevSecops
• OpendevSecops
• 坚固的Devops

我们发现了邮件列表和新闻通讯的宝库，像我们这样的DevSecops正在分享他们的技能和见解。

• AWS安全
• Azure安全
• Ruby Weekly
• 安全通讯
• SRE周刊

人们继续发展自己的能力并分享共同理解的一种方法是通过发展沃德利地图。我们正在收集此信息，并在此处提供一些好的示例。

• 查看图6以进行比较
• DevSecops回购用于安全地图
• 沃德利地图简介
• 安全行业示例
• SOC价值链和交付模型

DevSecops需要对学习和敏捷性的胃口，以快速获得新技能。我们已经收集了这些链接，以帮助您学习如何与我们一起做DevSecops。

实验室是动手学习的机会，可以在开发，SEC和OPS中提高您的技能。所有技能都是有用的，需要成长，以便您可以拥有同情，知识和贸易来运行DevSecops风格。

• DevSecops Bootcamp
• 运动
• Infoseclabs
• 基础架构监视
• Pentester Lab
• vulnhub

通过学习如何打破安全错误脆弱的应用程序来建立知识很重要。本节包含一个可以部署的脆弱应用程序列表，以了解不做什么。可以通过修复有意的漏洞来学习如何防止攻击者访问基础基础架构或数据，可以使这些相同的应用程序安全。

• 该死的脆弱的Web应用程序（PHP/MySQL）
• Lambhack（Lambda）
• metasloble（Linux）
• Mutillidae（PHP）
• 节点（节点）
• OWASP该死的脆弱无服务器应用程序（DVSA）（AWS无服务器）
• Owasp Juice Shop（Nodejs/Angular）
• 铁路山羊（铁路）
• Webgoat（Web应用程序）
• webgoat.net（.net）
• webgoatphp（PHP）

通过会议和聚会提供了一系列用于组合DevOps和安全性的知识。这是将其一部分议程列入其中的场所的简短列表。

• AWS RE：Inforce
• AWS RE：发明
• DevSeccon
• DevOps Connect
• DevOps天
• Goto会议
• IP博览会
• 爱尔兰伊萨卡
• RSA会议
• 整天的Devops

一小部分DevOps和安全播客。

• 被捕的Devops
• 制动安全播客
• Darknet日记
• 防御性安全播客
• Devops Cafe
• 沿着安全性拉比索尔
• 美食斗争表演
• OWASP 24/7
• 冒险业务
• 社会工程播客
• 软件工程收音机
• 进行1个安全播客
• tenable Security Podcast
• 安全开发人员
• 值得信赖的SEC播客

书籍集中在DevSecops周围，将安全重点推向了前方。

• DevOpssec
• Docker Securitiy-快速参考
• Web开发人员的整体信息SEC
• 确保Devops
• DevOps手册（第六节）

该工具集合可用于建立DevSecops平台。我们将工具分为几类，以帮助DevSecops的不同分区。

可视化是识别，共享和发展从创作过程开始到操作的安全信息的重要组成部分。

• 格拉法纳
• 基巴纳

自动化平台的优势是在安全缺陷浮出水面时提供脚本修复。

• Demisto
• Owasp胶
• Stackstorm
• 内部人员CLI

此工具列表提供了找到安全异常和确定应自动化并扩展以支持规模需求的规则所需的功能。

• grr
• Kube-Hunter
• mig
• mirador
• 莫洛克
• Mozdef
• Osquery
• Ossec
• OSXCollector

测试是DevSecops程序的重要元素，因为它有助于为团队准备坚固的操作，并在利用安全性缺陷之前确定安全缺陷。

• 刹车手
• Checkov
• 厨师Inspec
• 对比度安全
• 凝聚
• 大卫
• DeepFence威胁者
• Gauntlt
• 哈基里
• Husckyci
• 推断
• Ironwasp
• Kube板凳
• Lynis
• 显微镜
• 节点安全平台
• NPM检查
• NPM淘汰
• OSS Fuzz
• Owasp Owtf
• Owasp Zap
• Owasp zap节点API
• progpilot
• PURESEC（无服务器安全）
• 退休
• 撕裂
• Shiftleft扫描
• Snyk
• 源代码

一旦发现了重要的东西，响应时间至关重要，对于补救安全缺陷所需的事件响应至关重要。这些链接包括一些提供警报和通知的项目。

• 411
• 警报
• 弹性
• Mozdef

世界上有许多威胁情报的来源。其中一些来自IP Intelligence，而另一些来自恶意软件存储库。此类别包含可用于捕获威胁智能和整理的工具。

• 外星库OTX
• 关键堆栈
• IBM X-Force
• intelmq feed
• OPENTPX
• 被动总计
• Stix，出租车
• 威胁连接

DevSecops需要一个可以以速度和规模完成的常见攻击建模能力。值得庆幸的是，正在努力创建这些有用的分类法，以帮助我们运行攻击建模和防御能力。

• 上司
• iriusrisk
• 拉里·奥斯特曼（Larry Osterman）的威胁建模
• SDL威胁建模工具
• 海景
• 威胁风险建模

为了支持安全性作为代码，需要使用自动化来管理，安全，维护和旋转敏感的凭据和秘密。下面的项目为DEVOPS团队提供了一些不错的选择，以确保用于构建和部署完整堆栈软件部署的敏感细节。

• 黑盒
• conjur
• 信用
• git秘密
• 钥匙箱
• SOP
• 跨环
• 金库

这些是在红色团队和战争游戏练习中发现有用的工具。本节中的项目有助于侦察，开发开发以及杀戮链中常见的其他活动。

• 目击者
• 猎犬

使用所有API和命令行工具，制​​作DevSecops的发现已经足够困难。此列表提供了通过流程图，图形或地图可视化工作的工具。

• Gephi
• 阴影爆炸
• wazuh

一系列工具，可以帮助分享知识并讲述故事。

• Gitbook
• 扬声器甲板

您在组织中可以做出的最大变化之一是无边界的沟通。设置聊天仪可以使每个人都可以团结起来解决问题。

• 吉特
• hipchat
• 最重要
• 暴动
• 松弛