Size: a a a

DevSecOps - русскоговорящее сообщество

2020 April 24

I

Igor in DevSecOps - русскоговорящее сообщество
что чтобы не случилось, виноват SRE Вася
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
хахахаха
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
виноват Куберенетис от Васяна
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
не, ну чё вы на новый культ наезжаете. ну, для менеджеров - новый.
источник
2020 April 25

А

Алмаз in DevSecOps - русскоговорящее сообщество
Добрый день, подскажите кое что, пожалуйста, так как не имею опыта никакого, пишу диплом, где простое приложение внедряю в цепочку ci/cd, где использую travis, better code ,docker и heroku для развертывания этого приложения, хотел узнать какие бесплатные или условно бесплатные инструменты есть для проверки безопасности кода, контейнера, библиотек, настройки соединения? Чтоб и sast и dast проверить?
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Напиши на питоне что-то с использованием pickle, bottle framework 2 версии или.. любой другой уязвимой библиотекой, вставь sql инъекцию конкатенацией и запользуй bandit как саст, а sqlmap как dast))
Для диплома сойдёт
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Ну и потом придется зафиксить учзвимости и показать, что больше ничего не находится
источник

S

Slach in DevSecOps - русскоговорящее сообщество
Алмаз
Добрый день, подскажите кое что, пожалуйста, так как не имею опыта никакого, пишу диплом, где простое приложение внедряю в цепочку ci/cd, где использую travis, better code ,docker и heroku для развертывания этого приложения, хотел узнать какие бесплатные или условно бесплатные инструменты есть для проверки безопасности кода, контейнера, библиотек, настройки соединения? Чтоб и sast и dast проверить?
sonarqube посмотри
источник

S

Slach in DevSecOps - русскоговорящее сообщество
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Maxim Maximov
Напиши на питоне что-то с использованием pickle, bottle framework 2 версии или.. любой другой уязвимой библиотекой, вставь sql инъекцию конкатенацией и запользуй bandit как саст, а sqlmap как dast))
Для диплома сойдёт
Если сможешь пояснить комиссии все эти слова, то да :)
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Dependency-Track is an intelligent Supply Chain Component Analysis platform that allows organizations to identify and reduce risk from the use of third-party and open source components.
https://github.com/DependencyTrack/dependency-track

Два доклада про то как происходит интеграция в Jenkins pipeline

Find and Track the hidden vulnerabilities inside your dependencies
https://www.youtube.com/watch?v=d2WMONyBbTw

Dependency Track - Steve Springett (OWASP)
https://www.youtube.com/watch?v=IPWPISSk5rc
источник

А

Алмаз in DevSecOps - русскоговорящее сообщество
спасибо всем)
источник
2020 April 28

A

Alexander in DevSecOps - русскоговорящее сообщество
У нас на работе только недавно было активное обсуждение нашего корпоративного Антивируса, и тут такая прелесть про большинство из них:
https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
источник

NM

Never Mind in DevSecOps - русскоговорящее сообщество
Ну так то и ОС тогда не стоит использовать))
источник
2020 April 29

2

2 in DevSecOps - русскоговорящее сообщество
rus dacent
Liz Rice. Container Security: Fundamental Technology Concepts that Protect Containerized Applications. April 2020.
Интересно
источник
2020 May 05

SB

Svetlana Borodina in DevSecOps - русскоговорящее сообщество
Всем привет! 7 мая стартует цикл вебинаров от «Инфосистемы Джет» по теме DevSecOps. Приглашаем вместе с нами шаг за шагом пройти путь от простых понятий к техническим деталям и live demo решений. Мы поделимся «боевыми» примерами и лайфхаками, полученными в реальных проектах: от автоматизации тестирования приложений до встраивания ИБ в конвейер разработки.

Участников ждет подробный разбор темы DevSecOps с трёх сторон: ИТ, разработка и безопасность. Поэтому мероприятие будет интересно как ИТ-менеджменту – для взгляда на весь процесс сверху, так и узким специалистам – для погружения в свои области и понимания смежных участков.

Подробная информация о цикле вебинаров на Хабре: https://m.habr.com/ru/company/jetinfosystems/blog/499762/
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
В начале года была опубликована вторая версия OWASP SAMM (Software Assurance Maturity Model), которая разрабатывалась пять лет.

Это фреймворк позволяющий построить безопасную разработку приложений, так же он помогает провести оценку текущего состояния.

Список изменений - https://owaspsamm.org/release-notes-v2/

Свежие материалы по теме

1. В рамках OWASP Moscow (https://t.me/tech_b0lt_Genona/1621) был доклад

Проекты OWASP: SAMM выпуск 2
https://www.youtube.com/watch?v=mNTCO0mzjsI

2. 1 мая проходил BSides Knoxville и один из докладов был посвящён SAMM v2.0

Navigating DevOps Security Journey with OWASP SAMM v2.0
https://www.youtube.com/watch?v=3Kv-SNuL95Q

3. OZON сделал пост в блоге

Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM
https://habr.com/ru/company/ozontech/blog/498272/

Сайт проекта - https://owaspsamm.org/
GitHub - https://github.com/OWASP/samm

ЗЫ Чат OWASP Moscow - @OWASP_Russia
источник
2020 May 07

J

John Roe in DevSecOps - русскоговорящее сообщество
Dureysa Y: user has been CAS banned
источник
2020 May 09

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Building Secure Systems using Security Chaos Engineering and Immunity
https://www.youtube.com/watch?v=wxUHpKDal6Q

Все видосы с конфы https://t.me/tech_b0lt_Genona/1698
источник
2020 May 11

J

John Roe in DevSecOps - русскоговорящее сообщество
источник