DevSecOps: принципы работы и сравнение SCA. Часть первая

Рад объявить о том, что мы запустили блог на Хабре и серию статей по DevSecOps на русском языке. Первая статья - "Принципы работы и сравнение SCA". В этой статье я рассказываю, что такое Software Composition Analysis, как он работает, при чем здесь BOM и что это такое, какие фолзы выдают SCA и как их выявлять, а также табличка с функциональным сравнением. Вся статья построена вокруг двух самых известных open source решений Dependency Check, Dependency Track и коммерческего решения Nexus IQ.

https://habr.com/ru/company/swordfish_security/blog/516660/

В следующих частях планируем написать о встраивании SCA в CI/CD, сравнении результатов различных DAST и многом другом.

#sca #tools #dev

Golang Security

В силу того, что все больше компаний начинают переписывать свои сервисы на golang, решил сделать подборку по аспектам безопасности этого языка.

Awesome golang security - подборка лучших практик, включая библиотеки, фреймворки для харденинга, статьи

OWASP Go-SCP - лучшие практики по написанию безопасного кода на Go от OWASP

Go-ing for an Evening Stroll: Golang Beasts & Where to Find Them - обсуждение 4х распространенных уязвимостей в Golang. Репо с расширенной версией доклада + слайды

Статические анализаторы: gosec, golangci-lint, safesql

Not-going -anywhere - набор уязвимых программ на Golang для выявления распространенных уязвимостей.

OnEdge - библиотека для обнаружения неправильного использования паттернов Defer, Panic, Recover.

#dev

Очень мощная подборка

(канал в числе моих рекомендаций, подписываемся)

#dev #mobile #literature

Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Cources
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Cources
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS

Когда забыл обновить фреймворк и решил его просканировать

#пятничное

Очень люблю подобные сравнения

#sca #docker #dev

OWASP in SDLC

На портале OWASP можно найти статью, которая показывает, как выглядят разные процессы SDLC с точки зрения зрелых и не зрелых организаций, ссылаясь на OWASP SAMM как основную модель оценки зрелости. Здесь также есть ссылки на разные статьи и инструменты, которые должны помочь. Есть, конечно, определенные вопросы к полезности многих инструментов (в том числе самих Dependency Check/Track, ZAP, Defect Dojo), но статья может стать хорошей отправной точкой для проведения самооценки старых и новых процессов.

https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/

https://owasp.org/www-project-integration-standards/

#dev #ops

Докладчик Александр Бутенко - очень крутой специалист по WAF, регистрируемся!

#talks

​​КРОК:
Вебинар "Практика обеспечения защиты критических бизнес-приложений"

Уровень защищенности веб-приложений продолжает постепенно расти, но все еще остается довольно низким. В 2019 году 19% киберинцидентов были связаны с наличием уязвимостей в веб-приложениях. О том, как крупному бизнесу эффективно организовать защиту веб-приложений и API на открытом вебинаре расскажет эксперт КРОК.

Программа выступления:
• Проблемы подходов DevOps / SDLC на примере CI/CD pipeline
• Общие проблемы классического DevOps с точки зрения ИБ
• Безопасная разработка DevSecOps / Secure SDLC: процессы + инструменты
• Как реализация принципа "Shift left" влияет на показатель Time to market на примере WAF
• WAF как элемент CI/CD pipeline
• Практика внедрения WAF и техническая экспертиза КРОК на примере реального кейса
• Экспертиза КРОК по формированию эффективных политик и усилению WAF
• Эволюция микросервисного подхода. Рост значимости API
• Кейс несанкционированного доступа к API крупной организации, предоставляющей сервис услуг
• Защита API средствами WAF
• Защита API средствами систем контроля аутентификации и авторизации
• Симбиоз WAF и механизмов контроля аутентификации как средство выполнения OWASP best practice по защите API

Дата проведения:
15 сентября 2020 г., | 11:00 (МСК)

Регистрация

#вебинар #сентябрь
@InfoBezEvents

Tracking Moving Clouds: How to continuously track cloud assets with Cartography

Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.

https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/

Другие статьи из этой же серии:

Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography

Cross Account Auditing in AWS and GCP

#gcp #aws #ops

Организация фаззинга исходного кода

Вчера на Habr вышла статья от Digital Security, посвященная фаззинг-тестированию и встраивание ее в CI/CD. По сути это текстовая версия их же доклада, про который я писал ранее. Статья затрагивает определение фаззинга, чем это отличается от статического анализа, как устроена фаззинг-ферма у них, про continious fuzzing от google и почему данная схема подходит не всем.

https://habr.com/ru/company/dsec/blog/517596/

#fuzzing #dev

От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

Сделал то, что давно хотел - большая статья со всеми практиками DevSecOps с описанием open-source инструментов. В качестве формата была выбрана статья на Хабре в нашем корпоративном блоге. На мой взгляд получилось круто. Более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST, DAST, SCA, защиту Docker и Kubernetes, фреймворки BDD, проверку IaC и даже Security Chaos Engineering. В результате не получилось охватить и половины всего того, что уже есть, поэтому постарался указать все ссылки на чужие подборки, которые я знаю. Приятного чтения, надеюсь это вам поможет на первых этапах построения DevSecOps.

https://habr.com/ru/company/swordfish_security/blog/518758/

#tools #dev #ops

Evolution of Attacks in the Wild on Container Infrastructure 2020

Только что прилетел на почту первый отчет по Cloud Native угрозам от Aqua Security. В нем можно прочитать про современные атаки, их классификацию, этапы, статистику, описание, примеры использования MITRE Techniques. Хочется отметить, что на первый взгляд материал не является каким-то маркетинговым булшитом (как часто бывает в вендорских отчетах).

#report #ops #k8s #docker #attack

BSIMM 11 - Что изменилось, event-driven security и платформа о рисках артефактов

Два дня назад вышла новая версия BSIMM, главного документа по организации безопасности SDLC с точки зрения оценки зрелости процессов и предоставления лучших практик. Для написания BSIMM независимая группа проводит исследование сотни компаний разных размеров, агрегируя их активности по безопасности SDLC в этот сборник.

Что изменилось, помимо перестановки активностей между практиками?

1) Появление активности "[ST3.6:0] Implement event-driven security testing in automation". Исследования BSIMM гласят, что инженеры в опрашиваемых компаниях идут по пути поиска дефектов на основе событий в процессе непрерывного мониторинга, а не поиска их на ранних стадиях жизненного цикла ПО. Тем не менее, развивается тенденция, при которой группа безопасности задает события-тригеры в рамках пайплайнов. То есть, например, привлекать инженеров ИБ не когда валится одна из проверок безопасности в пайплайне, а когда поступает какое-то конкретное событие от ботов или агентов. Эти агенты/боты могут следить как за результатами самого пайплайна, так и за реакцией со стороны dev-окружения. Также эти агенты/боты могут запускать собственные автоматические задачи по мере обнаружения необычных событий. Идею с event-driven automation можно найти в статьях Netflix от 2016 года. Тогда они описали свою платформу Winston, которая позволяла помочь инженерам не вскакивать посреди ночи из-за ложных событий.

2) Появление активности "[CMVM3.6: 0] Publish risk data for deployable artifacts", согласно которой растет значимость централизованных платформ управления безопасностью. Согласно BSIMM платформа должна содержать информацию об активах организации (артефактов, зависимостей) и связанных с ними рисками. При этом автоматическая актуализация информации и ее визуализация в платформе положительно сказывается на принятии стейкхолдерами решений, связанных с рисками.

#bsimm