#devsecops #appsec
Практика автоматизированного динамического анализа приложений (DAST): какие подводные камни ждут при внедрении данной практики, какие особенности следует учитывать и как избежать проблем.
Читать
Практика автоматизированного динамического анализа приложений (DAST): какие подводные камни ждут при внедрении данной практики, какие особенности следует учитывать и как избежать проблем.
Читать
Хабр
Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс
Привет, Хабр! И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для...
👍2
#devsecops #tips
🌨 Команда CloudMTS рассказывает о навыках, которые необходимо освоить DevSecOps-специалисту. Источники, из которых можно черпать информацию, прилагаются.
Читать
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
DevSecOps гайд: от новичка до эксперта
DevOps подразумевает автоматизацию процессов сборки, настройки и развертывания ПО. Плюс — помогает наладить работу айтишников с другими подразделениями в компании: сократить time-to-market при запуске...
😁3👍2
#devsecops
CTO в Spectr Олег Казаков делится опытом и наработками внедрения DevSecOps в процесс разработки:
🗄 Часть 1. Теории DevSecOps и подробно рассмотрим Pre-commit Checks
CTO в Spectr Олег Казаков делится опытом и наработками внедрения DevSecOps в процесс разработки:
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Внедряем DevSecOps в процесс разработки. Часть 1. Обзор инструментов, Pre-commit Checks
Привет! На связи Олег Казаков из Spectr . Вопросы безопасности разрабатываемого софта последнее время стоят очень остро, и внедрение практик безопасной разработки в существующие процессы...
🔥3👍1
#appsec #devsecops #practice
Настройка авторизованного сканирования с использованием ZAP: подводные камни и пошаговый гайд.
Читать
Настройка авторизованного сканирования с использованием ZAP: подводные камни и пошаговый гайд.
Читать
Хабр
OWASP ZAP — поддержка Session Management на основе заголовков
Все, кто связан со сферой Application Security / DevSecOps, так или иначе слышали или даже применяют продукт OWASP ZAP. Данное приложение представляет из себя open source-инструмент для динамического...
👍4
#devsecops #security
Михаил Черешнев из Swordfish Security делится практиками обеспечения безопасности контейнеризированных приложений в рамках DevSecOps.
Читать
Михаил Черешнев из Swordfish Security делится практиками обеспечения безопасности контейнеризированных приложений в рамках DevSecOps.
Читать
Хабр
Безопасность контейнеризированных приложений в рамках DevSecOps: какие практики использовать и с чего начать
Привет! Меня зовут Михаил Черешнев, я работаю в компании Swordfish Security, где плотно занимаюсь вопросами внедрения DevSecOps. В этой статье мы рассмотрим процесс безопасной разработки...
CyberCamp. DevSecOps: краткое описание и видеозаписи докладов с митапа команды CyberCamp, посвященному DevSecOps.
📺 Смотреть полную запись
#devsecops #security
#devsecops #security
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Видеозаписи докладов CyberCamp. DevSecOps
Привет, Хабр! В конце апреля команда CyberCamp провела митап, посвященный DevSecOps. Наше путешествие началось у острова композиционного анализа, потом мы прошли между Сциллой и Харибдой защиты...
Алексей Колосков, DevOps/Cloud-инженер в Hilbert Team, делится опытом построения DevSecOps-пайплайна и особенностями концепции Shift Left.
Читать
#devsecops #practice
Читать
#devsecops #practice
Хабр
Как превратить DevOps-пайплайн в DevSecOps-пайплайн. Обзор концепции Shift Left
Привет, Хабр! Меня зовут Алексей Колосков, я DevOps/Cloud-инженер в Hilbert Team. Вместе с моим коллегой Михаилом Кажемским в этой статье мы расскажем об особенностях DevSecOps-пайплайна и концепции...
#devsecops #career
Дорожная карта и коллекция для изучения DevSecOps, охватывающая полезные ресурсы и инструменты для каждого шага:
1. Design
2. Develop
3. Build
4. Test
5. Deploy
6. Operate / Monitor
Дорожная карта и коллекция для изучения DevSecOps, охватывающая полезные ресурсы и инструменты для каждого шага:
1. Design
2. Develop
3. Build
4. Test
5. Deploy
6. Operate / Monitor
🔥5👍1
#appsec #devsecops
📌 На заметку DevSecOps и AppSec специалистам
Инженерный отдел по динамическому анализу Swordfish Security делится опытом настройки и дальнейшего использования автоматической авторизации в приложении с помощью OWASP ZAP.
Читать
📌 На заметку DevSecOps и AppSec специалистам
Инженерный отдел по динамическому анализу Swordfish Security делится опытом настройки и дальнейшего использования автоматической авторизации в приложении с помощью OWASP ZAP.
Читать
🔥4
Коллекция инструментов для DevOps-специалиста, которые могут пригодиться в повседневных задачах по пентесту и DevSecOps:
🔧 DevOps Python Tools
🔧 DevOps Bash Tools
🔧 DevOps Perl Tools
🔧 DevOps Golang Tools
🔧 Advanced Nagios Plugins Collection
#devops #devsecops #tools
🔧 DevOps Python Tools
🔧 DevOps Bash Tools
🔧 DevOps Perl Tools
🔧 DevOps Golang Tools
🔧 Advanced Nagios Plugins Collection
#devops #devsecops #tools
GitHub
GitHub - HariSekhon/DevOps-Python-tools: 80+ DevOps & Data CLI Tools - AWS, GCP, GCF Python Cloud Functions, Log Anonymizer, Spark…
80+ DevOps & Data CLI Tools - AWS, GCP, GCF Python Cloud Functions, Log Anonymizer, Spark, Hadoop, HBase, Hive, Impala, Linux, Docker, Spark Data Converters & Validators (Avro/Parqu...
❤2
Top Business Logic Vulnerability in Web.pdf
4.9 MB
👨🏫Пришло время перейти от теории к практике! Помните писали про баги в бизнес-логике веб-приложения?
📌Если вам интересна эта тема, читайте гайд с подробным описанием следующих разделов:
☑️Password reset broken logic
☑️2FA broken logic
☑️Excessive trust in client-side controls
☑️High-level logic vulnerability
☑️Inconsistent security controls
☑️Flawed enforcement of business rules
☑️Low-level logic flaw
☑️Inconsistent handling of exceptional input
☑️Weak isolation on dual-use endpoint
☑️Insufficient workflow validation
☑️Authentication bypass via flawed state machine
☑️Infinite money logic flaw
☑️Authentication bypass via encryption oracle
#devsecops #pentest
📌Если вам интересна эта тема, читайте гайд с подробным описанием следующих разделов:
☑️Password reset broken logic
☑️2FA broken logic
☑️Excessive trust in client-side controls
☑️High-level logic vulnerability
☑️Inconsistent security controls
☑️Flawed enforcement of business rules
☑️Low-level logic flaw
☑️Inconsistent handling of exceptional input
☑️Weak isolation on dual-use endpoint
☑️Insufficient workflow validation
☑️Authentication bypass via flawed state machine
☑️Infinite money logic flaw
☑️Authentication bypass via encryption oracle
#devsecops #pentest
👍9🔥2😁1
This media is not supported in your browser
VIEW IN TELEGRAM
♾️ Основные концепции DevSecOps: наглядная инфографика
✔️ Автоматизированные проверки безопасности
✔️ Непрерывный мониторинг
✔️ Автоматизация CI/CD
✔️ Инфраструктура как код (IaC)
✔️ Безопасность контейнеров
✔️ Управление секретами
✔️ Моделирование угроз
✔️ Интеграция QA
✔️ Взаимодействие и коммуникация
✔️ Управление уязвимостями
👉 Источник
#devsecops
👉 Источник
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
⚒️ zizmor — инструмент для поиска проблем безопасности в настройках CI/CD GitHub Actions
CI/CD пайплайны сейчас активно используются в цикле разработке ПО, поэтому могут стать отличной целью в ходе пентеста. Одна из самых популярных систем CI/CD — GitHub Actions. Ловите инструмент, который пополнит вашу коллекцию этичного хакера:
или
👉 GitHub & Документация
#tools #devops #devsecops
CI/CD пайплайны сейчас активно используются в цикле разработке ПО, поэтому могут стать отличной целью в ходе пентеста. Одна из самых популярных систем CI/CD — GitHub Actions. Ловите инструмент, который пополнит вашу коллекцию этичного хакера:
cargo install zizmor
или
brew install zizmor
👉 GitHub & Документация
#tools #devops #devsecops
👍3
#security #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1👾1