Inspirado por la increíble y creciente tendencia DevOps y tras hablar en su día de los DevSecOps, hoy os traslado una recopilación de documentos, presentaciones, videos, materiales de capacitación, herramientas, servicios e iniciativas generales que respaldan la misión DevSecOps. Lo que traslado en esta recopilación de herramientas y recursos DevSecops son los componentes básicos y los elementos esenciales que pueden ayudar a una organización a trasladar sus actuales DevOps a su evolución con seguridad, los DevSecOps , ayudando a desarrollar su propio programa de seguridad en Devops.
Esta lista de herramientas y recursos DevSecops no estaría completamente terminada y cambiará a medida que los DevSecOps maduren, pero pretendemos que sea una lista que crezca y cambie a medida que la comunidad aprenda y mejore cómo se implementa y se adopta DevSecOps. En dicha lista solo encontraremos iniciativas que proporcionen capacidades gratuitas o de código abierto que ayuden con la misión de crear un buen entorno DevSecOps, aunque encontraremos tambien (intentamos que en menor medida ) enlaces que conduzcan a aspecto comerciales.
Información DevSecOps
Hemos estado trabajando para buscar en toda la industria con el fin de traer y obtener más información sobre los diferentes tipos de iniciativas de seguridad de DevOps, y como hemos indicado, hemos obtenido una colección que reune e incluye: Podcasts, videos, presentaciones y otros medios para ayudar a obtener más información sobre DevSecOps, SecDevOps, DevOpsSec y/o DevOps + Security.
Guias
Si bien no es la forma más correcta de hacer las cosas, compartir buenos consejos y buenas recomendaciones puede fortalecer el desarrollo de software. Nuestro objetivo es mejorar estas pautas a través de buenas practicas de desarrollo del código.
Presentaciones
Últimamente se ven cada vez mas charlas y cada vez se escucha hablar más y se dirigen al cambio de agregar seguridad en el entorno DevOps.
Iniciativas
Hay una variedad de iniciativas en curso para migrar la seguridad y el cumplimiento a entornos DevOps y para ello, alguno de los proyectos son:
Mantenerse informado
Hemos descubierto un tesoro con esta lista de correo y boletines de noticias donde DevSecOps comparten sus habilidades y conocimientos.
Mapas Wardley de seguridad
Una manera de que las personas continúen desarrollando sus capacidades y compartan un entendimiento común es a través del desarrollo de Wardley Maps. He de decir que he descubierto los Wardley Maps hoy mismo y me han parecido maravillosos (Intentaré hacer alguna entrada sobre los mismos, por que me parecieron muy utiles).
- Introducción a los mapas de Wardley
- SOC Value Chain y modelos de entrega
- Vea la Figura 6 para las comparaciones
- Ejemplo de industria de seguridad
- DevSecOps Repo para mapas de seguridad
Formación
Los DevSecOps requieren de un apetito de aprendizaje y agilidad para adquirir rápidamente nuevas habilidades impresionante. Dentro de las tendencias cambiantes en el mundo IT, es posible que estemos ante una de las que más evoluciona y cambia, por ello hemos recopilado estos enlaces para ayudaros a aprender cómo hacer DevSecOps de la mejor forma posible.
Laboratorios DevSecOps
Los laboratorios son oportunidades prácticas de aprendizaje para desarrollar las habilidades en Dev + Sec + Ops. Todas las habilidades son útiles y deben crecer para que puedan tener empatía, conocimiento y el rodaje de operar el estilo DevSecOps.
Pruebas de vulnerabilidades
Es importante acumular conocimiento al aprender a romper aplicaciones que se vuelven vulnerables por errores de seguridad. Esta sección contiene una lista de aplicaciones vulnerables que se pueden implementar para saber qué no hacer. Estas mismas aplicaciones se pueden proteger solucionando las vulnerabilidades intencionadas para aprender cómo evitar que los atacantes accedan a la infraestructura o los datos subyacentes.
- Metasploitable (Linux)
- Mutillidae (PHP)
- NodeGoat (Node)
- LambHack (Lambda)
- RailsGoat (Rieles)
- WebGoatPHP (PHP)
- WebGoat (aplicación web)
- WebGoat.Net (.NET)
Conferencias
Una muy buena practica de conocimiento para combinar DevOps y Seguridad es entregado a través de conferencias y reuniones. Esta es una breve lista de los lugares que le han dedicado una parte de su agenda a los DevOps o DevSecOps.
- AWS re: Inventar
- Conferencia RSA
- Conferencia Goto
- DevSecCon
- ISACA Irlanda
- DevOps Connect
- DevOps Days
Podcasts
Una pequeña colección de podcasts de DevOps y DevSecOps o DevOps implementando seguridad.
- DevOps arrestado
- Podcast de ingeniería social
- Podcast de Sec de confianza
- Podcast de seguridad defensiva
- Brakeing Down Security
- Tenable Security Podcast
- Bajo la seguridad Rabbithole
- OWASP 24/7
- Podcast de seguridad
- DevOps Cafe
- Show de lucha de comida
- The Ship Show
- Negocio riesgoso
- El desarrollador seguro
Libros
Estos son algunos libros que se centraron en DevSecOps, los cuales se enfocaron en la seguridad por adelantado.
Herramientas DevSecOps
Esta colección de herramientas es útil para establecer una plataforma DevSecOps. Hemos dividido las herramientas en varias categorías que te ayudaran con las diferentes tareas y procesos DevSecOps.
Dashboards
La visualización es un elemento importante para identificar, compartir y desarrollar la información de seguridad que pasa desde el inicio del proceso creativo hasta las operaciones.
Automatización
Las plataformas de automatización tienen la ventaja de proporcionar soluciones de corrección cuando surgen defectos de seguridad, o ser capaces de controlar los despliegues y donde fallan los mismos.
Caza
Esta lista de herramientas proporciona las capacidades necesarias para encontrar anomalías de seguridad e identificar reglas que deben ser automatizadas y ampliadas para soportar las demandas de escala.
Pruebas
Las pruebas son un elemento esencial de un programa DevSecOps porque ayuda a preparar a los equipos para operaciones difíciles y para determinar los defectos de seguridad antes de que puedan ser explotados.
- Gauntlt
- Chef Inspec
- Snyk
- Node Security Platform
- npm-obsoleto
- npm-check
- RetireJS
- Hakiri
- Brakeman
- OWASP ZAP
- OSS Fuzz
- IronWASP
- RIPS
- Infer
- OWASP OWTF
- Lynis
Alerta
Una vez que descubra algo importante, el tiempo de respuesta es crítico y esencial para la Respuesta ante incidentes requerida para remediar un defecto o problema de seguridad, y por eso os expongo algunos de los proyectos que prevén Alertas y Notificaciones.
Threat Intelligence
Hay muchas fuentes de inteligencia de amenazas en el mundo. Algunos de estos provienen de IP Intelligence y otros de repositorios de malware. Ya vimos las mejores herramientas y recursos de inteligencia de amenazas , pero hoy os expongo algunos más concreto.
Modelado de ataque
DevSecOps requiere una capacidad de modelado de ataque común que se pueda hacer a velocidad y escala. Afortunadamente, hay esfuerzos y proyectos en marcha para crear estas útiles taxonomías que nos ayuden a operacionalizar los modelos de ataque y las defensas.
Gestión secreta
Para respaldar la seguridad como el código, las credenciales y secretos confidenciales deben administrarse, protegerse, mantenerse y rotarse mediante la automatización. Los siguientes proyectos brindan a los equipos de DevOps algunas buenas opciones para proteger los detalles confidenciales utilizados en la creación e implementación de implementaciones full stack de software.
Red Team DevSecOps
Estas son herramientas que hemos encontrado útiles durante los ejercicios Red Team y War Game. Los proyectos en esta sección ayudan con el reconocimiento, el desarrollo de exploits y otras actividades comunes dentro de Kill Chain.
Visualización
Hacer los descubrimientos de DevSecOps ya es bastante difícil con todas las API y herramientas de línea de comandos. Esta lista proporciona herramientas para visualizar el trabajo, ya sea a través de diagramas de flujo, gráficos o mapas.
Compartir
Una colección de herramientas para ayudar a compartir el conocimiento y contar la historia.
ChatOps
Uno de los cambios más importantes que puede hacer en su organización es la comunicación sin fronteras o boundaryless communications. La configuración de ChatOps puede permitir que todos se reúnan y resuelvan problemas. En esta parte, a mi me gusta mucho Microsoft Team, pero va asociado a las licencias de O365.
Los DevOps ya han venido para quedarse, ahora es tu misión evolucionar la seguridad de los mismo.