Repozitář s osnovou, labs, návody a odkazy pro kurz DevSecOps v praxi s využitím Azure
- Teorie a info
- Network security - (EN)
- Operation security checklist - (EN)
- Web security checklist - (EN)
- Prezentace
- Iniciativy
- Staying up-to-date
- Kurz
- Nástroje
- Ostatní
V současné době probíhá řada iniciativ, jejichž cílem je přenést bezpečnost a dodržování předpisů do systému DevOps.
Odkazy a repozitáře pro kurz
Azure Devops nástroje pro analýzu závislostí
Repozitář pro trénink policy as code
Repozitář pro trénink infrastructure as code
Důležité je prohloubit si znalosti tím, že se naučíte, jak prolomit aplikace, které jsou zranitelné kvůli chybám v zabezpečení. Tato část obsahuje seznam zranitelných aplikací, které lze nasadit, abyste se naučili, co nedělat. Stejné aplikace lze zabezpečit odstraněním záměrných zranitelností, abyste se naučili, jak zabránit útočníkům v přístupu k základní infrastruktuře nebo datům.
- NodeGoat (Node)
- OWASP Juice Shop (NodeJS/Angular)
- WebGoat (Web App)
- WebGoat.Net (.NET)
Užitečné nástroje pro budování platformy DevSecOps. Členěno podle kategorií (neomezuje se na Azure/MS)
- CycloneDX (Info)
- CycloneDX - GitHub (.NET)
Tento seznam nástrojů poskytuje možnosti potřebné pro vyhledávání bezpečnostních anomálií a identifikaci pravidel, která by měla být automatizována a rozšířena tak, aby podporovala požadavky na rozsah.
Testing is an essential element of a DevSecOps program because it helps to prepare teams for Rugged operations and to determine security defects before they can be exploited.
- Checkov
- Deepfence ThreatMapper
- HusckyCI
- IronWASP
- kube-bench
- microscanner
- Node Security Platform
- npm-check
- npm-outdated
- OSS Fuzz
- OWASP OWTF
- OWASP ZAP
- OWASP ZAP Node API
- Progpilot
- PureSec (Serverless Security)
- RetireJS
Doba odezvy je kritická a zásadní pro reakci na incident, která je nutná k nápravě bezpečnostní závady. Tyto odkazy obsahují některé z projektů, které zajišťují alerting a notifikace.
Tato kategorie obsahuje nástroje, které jsou užitečné pro zachycení informací o hrozbách a jejich shromažďování.
- Alien Vault OTX
- Critical Stack
- IBM X-Force
- IntelMQ Feeds
- OpenTPX
- Passive Total
- STIX, TAXII
- Threat Connect
- CAPEC
- IriusRisk
- Larry Osterman's Threat Modeling
- SDL Threat Modeling Tool
- SeaSponge
- Threat Risk Modeling
Pro podporu security-as-code je třeba spravovat, zabezpečovat, udržovat a rotovat citlivá pověření a tajemství pomocí automatizace. Níže uvedené projekty poskytují několik dobrých možností zabezpečení citlivých údajů používaných pro full-stack build a deployment.
Užitečné odkazy pro použití mimo kurz
- DevSecCon
- DevOps Connect
- DevOps Days
- Goto Conference
- IP Expo
- ISACA Ireland
- RSA Conference
- All Day DevOps
- Arrested DevOps
- Brakeing Down Security Podcast
- Darknet Diaries
- Defensive Security Podcast
- DevOps Cafe
- Down The Security Rabbithole
- Food Fight Show
- OWASP 24/7
- Risky Business
- Social Engineering Podcast
- Software Engineering Radio
- Take 1 Security Podcast
- Tenable Security Podcast
- The Secure Developer
- Trusted Sec Podcast
Anglicky psané knihy zaměřené na DevSecOps.