Привет всем! Полистав форум, не увидел ничего про модное нынче слово: DevSecOps(
Ну и думаю необходимо заполнить пробел.
Вероятно возникает сразу вопрос - что же это такое?
DevSecOps- это создание дополнительного головняка всем участникам разработки...шутка,наверное)
Так вот, основная цель DevSecOps специалиста это ранее детектирование уязвимостей в проекте,
устранение самих уязвимостей и в целом экономия финансов и репутации от лишних оправдываний( код писали индусы за 3 бакса, извините
а также постоянное пинание разрабов за их ошибки))
Чтобы внедрить DevSecOps и потом было минимум косяков, что нужно сделать вначале?
Правильно, провести анализ, вероятно возник сразу вопрос : а как его провести?
А я отвечу: используй методологию owasp samm+bsimm ( калькулятор )
( Методология)
1-я (owasp samm) поможет тебе понять насколько плохи дела в проекте в целом.
2-е (bsimm) поможет тебе спланировать инициативы.
Небольшая ремарка, когда решишь проводить опрос делай лучше это на калькуляторе ( ссылка выше)
он банально удобнее гугловых таблиц имхо)
Далее когда ты понял, реальную обстановку в проекте тебе необходимо
проявить чуточку фантазии и коммуникации, чтобы внедрить описанные шаги в методологии.
Писать про них тут не буду, открой ссыль про методологию бл#ть и почитай что там делается)
Но если где-то тормознешь, пиши)
Естественно я опустил такие нудные пункты как:
Планирование
Анализ требований
Бюджет
Временные трудо затраты итд.
Теперь когда с орг частью мы немного разобрались, мы переходим к этапу исправления косяков в проекте.
Исправлять косяки в проекте можно с помощью:
SAST:Static Application Security Testing-статический анализ white box ( помогает найти уязвимости на ранних этах разработки )
DAST: Dynamic Application Security Testing-динамический анализ black box ( помогает найти уязвимости в уже работающем приложении )
IAST:Interactive Application Security Testing-интерактивное тестирование безопасности ( помогает устранить косяки за двумя предыдущими(я про sast/dast) + выполняет все тесты в real-time )
RASP:Run-time Application Security Protection-это больше про безопасность ( позволяет проводить непрерывные проверки безопасности и отвечать на атаки )
Теперь когда определились с проверками, необходимо вернуться к бюджету - если он 10 рублёвый, то open source твоё все.
Открывай и смотри по необходимому стэку нужный тебе сканер для Sast анализа ( sast )
По поводу Dast анализа, чекай продукты по типу :owasp zap, acunetix и прочее ( критерий выбора определяй сам, но как правило это:
бюджет, удобное чтение результатов анализа, интеграция с всякими jenkins для автоматизации, поддержка вендора итд )
Мои критерии выбора также можешь и переводить на другие решения для анализа.
Ну вот собственно и всё, общее понимание думаю дал, если нужна конкретика напишите внизу что было бы интересно разобрать,
к примеру: как автоматизировать проверки, как работать с большим количеством false positive от очередного гавно сканера, или как поднять инфру для тестов в обмотке с zerotier и так далее)
P/s Поздравляю всех с наступающим новым годом желаю: здоровья, крепких нервов и постоянного желания к развитию,
будьте жадными до знаний и умений, ведь сейчас знания=деньги.
Ну и думаю необходимо заполнить пробел.
Вероятно возникает сразу вопрос - что же это такое?
DevSecOps- это создание дополнительного головняка всем участникам разработки...шутка,наверное)
Так вот, основная цель DevSecOps специалиста это ранее детектирование уязвимостей в проекте,
устранение самих уязвимостей и в целом экономия финансов и репутации от лишних оправдываний( код писали индусы за 3 бакса, извините
а также постоянное пинание разрабов за их ошибки))
Чтобы внедрить DevSecOps и потом было минимум косяков, что нужно сделать вначале?
Правильно, провести анализ, вероятно возник сразу вопрос : а как его провести?
А я отвечу: используй методологию owasp samm+bsimm ( калькулятор )
( Методология)
1-я (owasp samm) поможет тебе понять насколько плохи дела в проекте в целом.
2-е (bsimm) поможет тебе спланировать инициативы.
Небольшая ремарка, когда решишь проводить опрос делай лучше это на калькуляторе ( ссылка выше)
он банально удобнее гугловых таблиц имхо)
Далее когда ты понял, реальную обстановку в проекте тебе необходимо
проявить чуточку фантазии и коммуникации, чтобы внедрить описанные шаги в методологии.
Писать про них тут не буду, открой ссыль про методологию бл#ть и почитай что там делается)
Но если где-то тормознешь, пиши)
Естественно я опустил такие нудные пункты как:
Планирование
Анализ требований
Бюджет
Временные трудо затраты итд.
Теперь когда с орг частью мы немного разобрались, мы переходим к этапу исправления косяков в проекте.
Исправлять косяки в проекте можно с помощью:
SAST:Static Application Security Testing-статический анализ white box ( помогает найти уязвимости на ранних этах разработки )
DAST: Dynamic Application Security Testing-динамический анализ black box ( помогает найти уязвимости в уже работающем приложении )
IAST:Interactive Application Security Testing-интерактивное тестирование безопасности ( помогает устранить косяки за двумя предыдущими(я про sast/dast) + выполняет все тесты в real-time )
RASP:Run-time Application Security Protection-это больше про безопасность ( позволяет проводить непрерывные проверки безопасности и отвечать на атаки )
Теперь когда определились с проверками, необходимо вернуться к бюджету - если он 10 рублёвый, то open source твоё все.
Открывай и смотри по необходимому стэку нужный тебе сканер для Sast анализа ( sast )
По поводу Dast анализа, чекай продукты по типу :owasp zap, acunetix и прочее ( критерий выбора определяй сам, но как правило это:
бюджет, удобное чтение результатов анализа, интеграция с всякими jenkins для автоматизации, поддержка вендора итд )
Мои критерии выбора также можешь и переводить на другие решения для анализа.
Ну вот собственно и всё, общее понимание думаю дал, если нужна конкретика напишите внизу что было бы интересно разобрать,
к примеру: как автоматизировать проверки, как работать с большим количеством false positive от очередного гавно сканера, или как поднять инфру для тестов в обмотке с zerotier и так далее)
P/s Поздравляю всех с наступающим новым годом желаю: здоровья, крепких нервов и постоянного желания к развитию,
будьте жадными до знаний и умений, ведь сейчас знания=деньги.
Последнее редактирование:
