SAMM v2

Не так давно вышла новая версия модели оценки зрелости безопасности ПО от OWASP - SAMM (Software Assurance Maturity Model). До этого я писал, что этой моделью пользуется большое количество зрелых компаний, в том числе Тинькофф, но что означает выход новой версии?

Что входит в SAMM v2:
1) Важные изменение в самой модели SAMM: появились новые этапы Implementation, Operations с упором на современные практики безопасного DevOps. Construction стал этапом Design.
2) Небольшой quick-start guide для того, чтобы поверхностно познакомиться с фреймворком
3) OWASP SAMM Toolbox. Это эксель-файл, который позволяет выполнить самооценку компании. Выполнив самооценку, можно будет перейти к установке целей для улучшения (согласно фрейморвку) и приступить к отслеживанию дорожной карты. Версия тулбокса есть еще в онлайн.
4) Новая система SAMM Benchmark для сравнения вашей зрелости со схожими организациями.

Модель OWASP SAMM онлайн
Модель OWASP SAMM PDF
Все что нужно знать про SAMM v2 - видео

#bestpractice #checklist

BSIMM

Building Security In Maturity Model (BSIMM) - модель оценки безопасности жизненного цикла ПО, результат сбора лучших практик за несколько лет от более чем 100 различных организаций. Основная цель - количественная оценка действий, осуществляемых реальными инициативами в области безопасности программного обеспечения, чтобы помочь более широкому сообществу разработчиков программного обеспечения безопасности планировать, осуществлять и оценивать собственные инициативы.

Модель включает 119 видов деятельности, сгруппированных в четыре области: Управление (Governance) , Сведения (Intelligence), Точки взаимодействия SSDL (SSDL Touchpoints) и Развертывание (Deployment). Каждая область разделена на 3 уровня в зависимости от степени зрелости организации.

В силу того, что на текущий момент BSIMM не переведен на русский, но представляет большую ценность для грамотного выстраивания процессов, я решил взяться за перевод фреймворка. Об этом в следующем посте.

#bsimm #bestpractice #checklist

DoD Enterprise DevSecOps

Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.

С первой версией документа можете познакомиться во вложении.

#compliance #bestpractice

What I Learned Watching All 44 AppSec Cali 2019 Talks

Clint Gibler, директор по исследованиям NCC Group, посмотрел абсолютно все видео с AppSec Cali 2019 и написал большой пост по самым интересным для него темам. Все это подкреплено ссылками на видео и слайды источников. Очень много материала по выстраиванию процессов, а также упоминание различных фреймворков, что заслуживает внимания.

https://tldrsec.com/blog/appsec-cali-2019/

#bestpractice #talks

DevSecOps Reference Architecture.

Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.

#bestpractice

OAuth: Security

Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)

https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1

Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.

https://danielfett.de/2020/05/04/mix-up-revisited/

Все, что нужно знать об OAuth с точки зрения ИБ:

https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html

#bestpractice

Kubernetes Labels: Expert Guide with 10 Best Practices

https://castai.medium.com/kubernetes-labels-expert-guide-with-10-best-practices-adbbbab34e7f

#kuber #label #bestpractice