awesome devsecops

受Github上令人敬畏的*趨勢的啟發。這是支持DevSecops任務的文檔，演示，視頻，培訓材料，工具，服務和一般領導的集合。這些是必不可少的構建塊和小動物，可以幫助您安排DevSecops實驗或幫助您構建自己的DevSecops程序。

此列表將不會完全全面，並且隨著DevSecops的成熟而改變。我們打算將其成為一個很棒的列表，隨著社區學習並改善DevSecops的實施和採用方式，它會成長和變化。要包含在此列表中，信息，工具，供應商或倡議必須提供免費或開源的功能，以幫助執行DevSecops任務。 a（p）指出導致商業方面的鏈接。

Doctoc生成的目錄

• 資訊
  • 指南
  • 演講
  • 倡議
  • 繼續通知
  • 沃德利的安全地圖
• 訓練
  • 實驗室
  • 脆弱的測試目標
  • 會議
  • podcast
  • 圖書
• 工具
  • 儀表板
  • 自動化
  • 打獵
  • 測試
  • 警報
  • 威脅情報
  • 攻擊建模
  • 秘密管理
  • 紅隊
  • 可視化
  • 分享
  • Chatops

我們一直在整個行業工作，以了解有關不同類型的DevOps +安全計劃的更多信息。該集合已被匯總在一起，其中包括：播客，視頻，演示文稿和其他媒體，以幫助您了解有關DevSecops，Secdevops，DevOpsSec和/或DevOps + Security的更多信息。

雖然我們不喜歡做事的紙條，但分享合理的建議和好的建議可以使軟件更強大。我們的目標是通過代碼更好地使這些準則更好。

• DevSecops的簡介 - Dzone Rebcard
• 安全冠軍劇本
• Web開發人員的安全指南
• 用Owasp Zap構建Dast的實用指南
• 安全測試和工具簡介
• DevSecops Hub

現在，許多談判都是針對將安全性添加到DevOps環境中的更改。我們在這裡添加了一些最著名的。

• DevSecops：採用DevOps的安全性
• Mozilla在連續集成中的測試驅動安全性
• 安全開發人員 - 在敏捷項目中保持安全
• VeraCode從完整的堆棧hack捍衛雲
• 將您的機器人上班：在Twitter上的安全自動化
• Devsecops的三個面孔

正在進行各種計劃，將安全性和合規性遷移到DevOps中。我們在此處包括了活動項目的鏈接：

• AWS實驗室
• DevOps和審計資源
• DevSecops
• OpendevSecops
• 堅固的Devops

我們發現了郵件列表和新聞通訊的寶庫，像我們這樣的DevSecops正在分享他們的技能和見解。

• AWS安全
• Azure安全
• Ruby Weekly
• 安全通訊
• SRE周刊

人們繼續發展自己的能力並分享共同理解的一種方法是通過發展沃德利地圖。我們正在收集此信息，並在此處提供一些好的示例。

• 查看圖6以進行比較
• DevSecops回購用於安全地圖
• 沃德利地圖簡介
• 安全行業示例
• SOC價值鍊和交付模型

DevSecops需要對學習和敏捷性的胃口，以快速獲得新技能。我們已經收集了這些鏈接，以幫助您學習如何與我們一起做DevSecops。

實驗室是動手學習的機會，可以在開發，SEC和OPS中提高您的技能。所有技能都是有用的，需要成長，以便您可以擁有同情，知識和貿易來運行DevSecops風格。

• DevSecops Bootcamp
• 運動
• Infoseclabs
• 基礎架構監視
• Pentester Lab
• vulnhub

通過學習如何打破安全錯誤脆弱的應用程序來建立知識很重要。本節包含一個可以部署的脆弱應用程序列表，以了解不做什麼。可以通過修復有意的漏洞來學習如何防止攻擊者訪問基礎基礎架構或數據，可以使這些相同的應用程序安全。

• 該死的脆弱的Web應用程序（PHP/MySQL）
• Lambhack（Lambda）
• metasloble（Linux）
• Mutillidae（PHP）
• 節點（節點）
• OWASP該死的脆弱無服務器應用程序（DVSA）（AWS無服務器）
• Owasp Juice Shop（Nodejs/Angular）
• 鐵路山羊（鐵路）
• Webgoat（Web應用程序）
• webgoat.net（.net）
• webgoatphp（PHP）

通過會議和聚會提供了一系列用於組合DevOps和安全性的知識。這是將其一部分議程列入其中的場所的簡短列表。

• AWS RE：Inforce
• AWS RE：發明
• DevSeccon
• DevOps Connect
• DevOps天
• Goto會議
• IP博覽會
• 愛爾蘭伊薩卡
• RSA會議
• 整天的Devops

一小部分DevOps和安全播客。

• 被捕的Devops
• 制動安全播客
• Darknet日記
• 防禦性安全播客
• Devops Cafe
• 沿著安全性拉比索爾
• 美食鬥爭表演
• OWASP 24/7
• 冒險業務
• 社會工程播客
• 軟件工程收音機
• 進行1個安全播客
• tenable Security Podcast
• 安全開發人員
• 值得信賴的SEC播客

書籍集中在DevSecops周圍，將安全重點推向了前方。

• DevOpssec
• Docker Securitiy-快速參考
• Web開發人員的整體信息SEC
• 確保Devops
• DevOps手冊（第六節）

該工具集合可用於建立DevSecops平台。我們將工具分為幾類，以幫助DevSecops的不同分區。

可視化是識別，共享和發展從創作過程開始到操作的安全信息的重要組成部分。

• 格拉法納
• 基巴納

自動化平台的優勢是在安全缺陷浮出水面時提供腳本修復。

• Demisto
• Owasp膠
• Stackstorm
• 內部人員CLI

此工具列表提供了找到安全異常和確定應自動化並擴展以支持規模需求的規則所需的功能。

• grr
• Kube-Hunter
• mig
• mirador
• 莫洛克
• Mozdef
• Osquery
• Ossec
• OSXCollector

測試是DevSecops程序的重要元素，因為它有助於為團隊準備堅固的操作，並在利用安全性缺陷之前確定安全缺陷。

• 剎車手
• Checkov
• 廚師Inspec
• 對比度安全
• 凝聚
• 大衛
• DeepFence威脅者
• Gauntlt
• 哈基里
• Husckyci
• 推斷
• Ironwasp
• Kube板凳
• Lynis
• 顯微鏡
• 節點安全平台
• NPM檢查
• NPM淘汰
• OSS Fuzz
• Owasp Owtf
• Owasp Zap
• Owasp zap節點API
• progpilot
• PURESEC（無服務器安全）
• 退休
• 撕裂
• Shiftleft掃描
• Snyk
• 原始碼

一旦發現了重要的東西，響應時間至關重要，對於補救安全缺陷所需的事件響應至關重要。這些鏈接包括一些提供警報和通知的項目。

• 411
• 警報
• 彈性
• Mozdef

世界上有許多威脅情報的來源。其中一些來自IP Intelligence，而另一些來自惡意軟件存儲庫。此類別包含可用於捕獲威脅智能和整理的工具。

• 外星庫OTX
• 關鍵堆棧
• IBM X-Force
• intelmq feed
• OPENTPX
• 被動總計
• Stix，出租車
• 威脅連接

DevSecops需要一個可以以速度和規模完成的常見攻擊建模能力。值得慶幸的是，正在努力創建這些有用的分類法，以幫助我們運行攻擊建模和防禦能力。

• 上司
• iriusrisk
• 拉里·奧斯特曼（Larry Osterman）的威脅建模
• SDL威脅建模工具
• 海景
• 威脅風險建模

為了支持安全性作為代碼，需要使用自動化來管理，安全，維護和旋轉敏感的憑據和秘密。下面的項目為DEVOPS團隊提供了一些不錯的選擇，以確保用於構建和部署完整堆棧軟件部署的敏感細節。

• 黑盒
• conjur
• 信用
• git秘密
• 鑰匙箱
• SOP
• 跨環
• 金庫

這些是在紅色團隊和戰爭遊戲練習中發現有用的工具。本節中的項目有助於偵察，開發開發以及殺戮鏈中常見的其他活動。

• 目擊者
• 獵犬

使用所有API和命令行工具，制​​作DevSecops的發現已經足夠困難。此列表提供了通過流程圖，圖形或地圖可視化工作的工具。

• Gephi
• 陰影爆炸
• wazuh

一系列工具，可以幫助分享知識並講述故事。

• Gitbook
• 揚聲器甲板

您在組織中可以做出的最大變化之一是無邊界的溝通。設置聊天儀可以使每個人都可以團結起來解決問題。

• 吉特
• hipchat
• 最重要
• 暴動
• 鬆弛