Las mejores herramientas y recursos DevSecOps

Inspirado por la increíble y creciente tendencia DevOps y tras hablar en su día de los DevSecOps, hoy os traslado una recopilación de documentos, presentaciones, videos, materiales de capacitación, herramientas, servicios e iniciativas generales que respaldan la misión DevSecOps. Lo que traslado en esta recopilación de herramientas y recursos DevSecops son los componentes básicos y los elementos esenciales que pueden ayudar a una organización a trasladar sus actuales DevOps a su evolución con seguridad, los DevSecOps , ayudando a desarrollar su propio programa de seguridad en Devops.

Esta lista de herramientas y recursos DevSecops no estaría completamente terminada y cambiará a medida que los DevSecOps maduren, pero pretendemos que sea una lista que crezca y cambie a medida que la comunidad aprenda y mejore cómo se implementa y se adopta DevSecOps. En dicha lista solo encontraremos iniciativas que proporcionen capacidades gratuitas o de código abierto que ayuden con la misión de crear un buen entorno DevSecOps, aunque encontraremos tambien (intentamos que en menor medida ) enlaces que conduzcan a aspecto comerciales.

Información DevSecOps

Hemos estado trabajando para buscar en toda la industria con el fin de traer y obtener más información sobre los diferentes tipos de iniciativas de seguridad de DevOps, y como hemos indicado, hemos obtenido una colección que reune e incluye: Podcasts, videos, presentaciones y otros medios para ayudar a obtener más información sobre DevSecOps, SecDevOps, DevOpsSec y/o DevOps + Security.

Guias

Si bien no es la forma más correcta de hacer las cosas, compartir buenos consejos y buenas recomendaciones puede fortalecer el desarrollo de software. Nuestro objetivo es mejorar estas pautas a través de buenas practicas de desarrollo del código.

• Guía de seguridad para desarrolladores web

Presentaciones

Últimamente se ven cada vez mas charlas y cada vez se escucha hablar más y se dirigen al cambio de agregar seguridad en el entorno DevOps.

• Veracode defiende la cloud para un hack completo

Iniciativas

Hay una variedad de iniciativas en curso para migrar la seguridad y el cumplimiento a entornos DevOps y para ello, alguno de los proyectos son:

• DevSecOps
• DevOps Robusto
• AWS Labs

Mantenerse informado

Hemos descubierto un tesoro con esta lista de correo y boletines de noticias donde DevSecOps comparten sus habilidades y conocimientos.

• Ruby Weekly

Mapas Wardley de seguridad

Una manera de que las personas continúen desarrollando sus capacidades y compartan un entendimiento común es a través del desarrollo de Wardley Maps. He de decir que he descubierto los Wardley Maps hoy mismo y me han parecido maravillosos (Intentaré hacer alguna entrada sobre los mismos, por que me parecieron muy utiles).

• Introducción a los mapas de Wardley
• SOC Value Chain y modelos de entrega
• Vea la Figura 6 para las comparaciones
• Ejemplo de industria de seguridad
• DevSecOps Repo para mapas de seguridad

Formación

Los DevSecOps requieren de un apetito de aprendizaje y agilidad para adquirir rápidamente nuevas habilidades impresionante. Dentro de las tendencias cambiantes en el mundo IT, es posible que estemos ante una de las que más evoluciona y cambia, por ello hemos recopilado estos enlaces para ayudaros a aprender cómo hacer DevSecOps de la mejor forma posible.

Laboratorios DevSecOps

Los laboratorios son oportunidades prácticas de aprendizaje para desarrollar las habilidades en Dev + Sec + Ops. Todas las habilidades son útiles y deben crecer para que puedan tener empatía, conocimiento y el rodaje de operar el estilo DevSecOps.

• Pentester Lab
• Infoseclabs
• Vulnhub
• DevSecOps Bootcamp
• Exercism
• Monitorización de infraestructura

Pruebas de vulnerabilidades

Es importante acumular conocimiento al aprender a romper aplicaciones que se vuelven vulnerables por errores de seguridad. Esta sección contiene una lista de aplicaciones vulnerables que se pueden implementar para saber qué no hacer. Estas mismas aplicaciones se pueden proteger solucionando las vulnerabilidades intencionadas para aprender cómo evitar que los atacantes accedan a la infraestructura o los datos subyacentes.

• Metasploitable (Linux)
• Mutillidae (PHP)
• NodeGoat (Node)
• LambHack (Lambda)
• RailsGoat (Rieles)
• WebGoatPHP (PHP)
• WebGoat (aplicación web)
• WebGoat.Net (.NET)

Conferencias

Una muy buena practica de conocimiento para combinar DevOps y Seguridad es entregado a través de conferencias y reuniones. Esta es una breve lista de los lugares que le han dedicado una parte de su agenda a los DevOps o DevSecOps.

• AWS re: Inventar
• Conferencia RSA
• Conferencia Goto
• DevSecCon
• ISACA Irlanda
• DevOps Connect
• DevOps Days

Podcasts

Una pequeña colección de podcasts de DevOps y DevSecOps o DevOps implementando seguridad.

• DevOps arrestado
• Podcast de ingeniería social
• Podcast de Sec de confianza
• Podcast de seguridad defensiva
• Brakeing Down Security
• Tenable Security Podcast
• Bajo la seguridad Rabbithole
• OWASP 24/7
• Podcast de seguridad
• DevOps Cafe
• Show de lucha de comida
• The Ship Show
• Negocio riesgoso
• El desarrollador seguro

Libros

Estos son algunos libros que se centraron en DevSecOps, los cuales se enfocaron en la seguridad por adelantado.

• Holistic Info-Sec para desarrolladores web

Herramientas DevSecOps

Esta colección de herramientas es útil para establecer una plataforma DevSecOps. Hemos dividido las herramientas en varias categorías que te ayudaran con las diferentes tareas y procesos DevSecOps.

Dashboards

La visualización es un elemento importante para identificar, compartir y desarrollar la información de seguridad que pasa desde el inicio del proceso creativo hasta las operaciones.

• Kibana
• Grafana

Automatización

Las plataformas de automatización tienen la ventaja de proporcionar soluciones de corrección cuando surgen defectos de seguridad, o ser capaces de controlar los despliegues y donde fallan los mismos.

• StackStorm

Caza

Esta lista de herramientas proporciona las capacidades necesarias para encontrar anomalías de seguridad e identificar reglas que deben ser automatizadas y ampliadas para soportar las demandas de escala.

• Mirador
• osquery
• OSSEC
• GRR
• MozDef
• moloch
• osxcollector
• mig

Pruebas

Las pruebas son un elemento esencial de un programa DevSecOps porque ayuda a preparar a los equipos para operaciones difíciles y para determinar los defectos de seguridad antes de que puedan ser explotados.

• Gauntlt
• Chef Inspec
• Snyk
• Node Security Platform
• npm-obsoleto
• npm-check
• RetireJS
• Hakiri
• Brakeman
• OWASP ZAP
• OSS Fuzz
• IronWASP
• RIPS
• Infer
• OWASP OWTF
• Lynis

Alerta

Una vez que descubra algo importante, el tiempo de respuesta es crítico y esencial para la Respuesta ante incidentes requerida para remediar un defecto o problema de seguridad, y por eso os expongo algunos de los proyectos que prevén Alertas y Notificaciones.

• Elastalert
• 411
• Alerta

Threat Intelligence

Hay muchas fuentes de inteligencia de amenazas en el mundo. Algunos de estos provienen de IP Intelligence y otros de repositorios de malware. Ya vimos las mejores herramientas y recursos de inteligencia de amenazas , pero hoy os expongo algunos más concreto.

• OpenTPX
• Pasivo Total
• Critical Stack
• Feeds IntelMQ

Modelado de ataque

DevSecOps requiere una capacidad de modelado de ataque común que se pueda hacer a velocidad y escala. Afortunadamente, hay esfuerzos y proyectos en marcha para crear estas útiles taxonomías que nos ayuden a operacionalizar los modelos de ataque y las defensas.

• CAPEC
• Modelado de amenazas de Larry Osterman
• STIX
• SeaSponge

Gestión secreta

Para respaldar la seguridad como el código, las credenciales y secretos confidenciales deben administrarse, protegerse, mantenerse y rotarse mediante la automatización. Los siguientes proyectos brindan a los equipos de DevOps algunas buenas opciones para proteger los detalles confidenciales utilizados en la creación e implementación de implementaciones full stack de software.

• Vault
• BlackBox
• Transcrypt
• Keybase
• Secretos de Git

Red Team DevSecOps

Estas son herramientas que hemos encontrado útiles durante los ejercicios Red Team y War Game. Los proyectos en esta sección ayudan con el reconocimiento, el desarrollo de exploits y otras actividades comunes dentro de Kill Chain.

• Sabueso
• EyeWitness

Visualización

Hacer los descubrimientos de DevSecOps ya es bastante difícil con todas las API y herramientas de línea de comandos. Esta lista proporciona herramientas para visualizar el trabajo, ya sea a través de diagramas de flujo, gráficos o mapas.

• Gephi
• ShadowBuster

Compartir

Una colección de herramientas para ayudar a compartir el conocimiento y contar la historia.

• Speaker Deck
• Gitbook

ChatOps

Uno de los cambios más importantes que puede hacer en su organización es la comunicación sin fronteras o boundaryless communications. La configuración de ChatOps puede permitir que todos se reúnan y resuelvan problemas. En esta parte, a mi me gusta mucho Microsoft Team, pero va asociado a las licencias de O365.

• Gitter
• Flojo
• HipChat
• Riot

Los DevOps ya han venido para quedarse, ahora es tu misión evolucionar la seguridad de los mismo.