Взять и погрузиться в DevSecOps — книги, вебинар и другие ресурсы, которые помогут сделать это

Мы продолжаем ^[1] рассказывать о полезных ресурсах для ИТ-специалистов. В прошлый раз составили подборку для системных администраторов, сегодня — для специалистов, занимающихся автоматизацией разработки безопасных приложений. В список попали тематические справочники, сборники историй с фейлами, курируемый репозиторий на GitHub и тематический вебинар ^[2], который пройдет 22 июня.

Прежде чем перейти к разбору тематической литературы, пара слов о том, почему мы об этом говорим. Концепция DevSecOps подразумевает работу с ИБ на каждом этапе разработки приложений и сервисов — от проектирования до развертки и поддержки. Однако нельзя просто взять и поставить корпоративные процессы на новые рельсы.

Подход требует понимания технологий, инструментария и методов защиты приложений. Трудности с этим порой испытывают даже крупные корпорации. Так, на Hacker News обсуждали ^[3] ситуацию, когда специалисты одного известного китайского телекома переопределили ^[4] стандартные безопасные функции как потенциально небезопасные.

Материалы, которые мы приводим ниже, помогут познакомиться с темой поближе и избежать ошибок при адаптации практик DevSecOps.

Проект «Феникс». Как DevOps устраняет хаос и ускоряет развитие компании

Открывает нашу подборку книга, которая за относительно небольшое время стала классикой в отрасли и собрала тысячи положительных отзывов на маркетплейсах. Среди авторов «Проекта “Феникс” ^[5]» числятся руководитель научно-исследовательской лаборатории Gartner Джордж Спаффорд, основатель независимой исследовательской организации Кевин Бер, а также инженер Ким Джин, который попадал в список 40 Under 40 по версии журнала ComputerWorld.

Материал представлен в формате истории об ИТ-менеджере выдуманной компании, который за три месяца должен реализовать проект, выходящий за рамки бюджета. На фоне этого нарратива авторы показывают, как пошагово внедрить методологию DevOps в компании. И по их мнению, работа в ай-ти имеет много общего с процессами на заводе.

В целом книга написана легким языком и помогает ^[6] быстро погрузиться в культуру DevOps и безопасную разработку. Материал оценил даже основатель издательства O’Reilly — Тим О’Райли. Однако читатели отмечают и недостатки — местами рассказ может показаться поверхностным, а в английском издании ^[7] встречаются грамматические ошибки.

Если вам понравится эта книга, то пользователи Reddit рекомендуют ^[6] обратить внимание на роман «The Goal». Он в большей степени заточен под работу с процессами производственных предприятий, но они во многом пересекаются с ИТ-направлением.

Epic Failures in DevSecOps

Нужно учиться на своих ошибках, но еще лучше учиться на чужих. Поэтому DevSecOps-инженеры Марк Миллер и Эдвин Кван подготовили компактный сборник историй ^[8], в котором разработчики, DevOps-инженеры и проектные менеджеры именитых компаний делятся провальными кейсами. Каждый из них — это иллюстрация того, что ожидает организацию, если применять методологию DevSecOps неправильно.

И подобных историй в ИТ предостаточно, просто о них не принято говорить. Так, в 2020 году авторы выпустили свой второй сборник — Epic Failures in DevSecOps (Volume Two) ^[9]. Первая работа вызывала интерес в сообществе, поэтому в новый том попали более масштабные кейсы. Например, как в TD Bank боролись с «силосной культурой», и на какие грабли наступили Delta Airlines при внедрении DevSecOps.

Ultimate DevSecOps Library

Это не книга в классическом понимании, но курируемый репозиторий на GitHub ^[10] с open source инструментами, посвящёнными методологии DevSecOps. Там можно найти утилиты моделирования угроз и поддержки жизненного цикла приложений вроде Pytm ^[11], Threagile или Talisman ^[12]. Есть системы управления учетными данными, такие как GitLeaks ^[13] и TruffleHog ^[14], а также инструменты для обеспечения безопасности CI/CD (ThreatMapper ^[15] или OpenSCAP ^[16]) и Kuberentes ^[17].

В отдельный пункт вынесены посты, научные статьи и обзоры методологий от DevSecOps-инженеров крупных западных корпораций — в том числе сервис-провайдеров. Например, вот лучшие практики ^[18] по внедрению DevSecOps в облаке.

За четыре года существования репозиторий собрал более 2,5 тыс. звезд, и его форкнули почти четыреста раз. При этом каждый может предложить любимый DevSecOps-инструмент или тематический материал, чтобы куратор включил его в список — достаточно сформировать советующий pull request.

DevSecOps: A leader’s guide to producing secure software

Это — справочное руководство ^[19] по внедрению DevSecOps в бизнес-процессы компании. Автор расскажет, на что обратить внимание при автоматизации тестов, как развивать культуру security-first и совершенствовать безопасность программных продуктов.

По мнению читателей, книга подойдет всем, кто хочет погрузиться в DevSecOps или развить свои навыки в этом направлении. Особенно полезна она будет инженерам, работающим в крупных корпорациях с запутанными бизнес-процессами. В рамках материала автор иногда озвучивает непопулярные точки зрения на индустрию, однако всегда подкрепляет свои выводы доказательствами и статистикой.

Advanced Persistent Threat Hacking

Специалистам из сферы информационной безопасности важно смотреть на потенциальные уязвимости глазами злоумышленника. Помочь с этим — задача книги Advanced Persistent Threat Hacking ^[20]. Книга описывает инструменты и навыки, которые помогают злоумышленнику скомпрометировать инфраструктуру организации — включая социальную инженерию и вредоносный софт. Эти знания помогут DevSecOps-инженеру скорректировать или выстроить с нуля эффективную стратегию безопасной разработки приложений.

Хотя некоторые читатели отмечают, что часть аспектов автор раскрывает не полностью, и материал больше напоминает руководство по пентесту. Что в принципе неудивительно, учитывая обширный опыт автора — Тайлера Райтсона — в этой области.

Наш вебинар по DevSecOps

Мы в T1 Cloud ответственно относимся к безопасности собственных приложений и сервисов, и хотим поделиться знаниями в области DevSecOps. Поэтому 22 июня в 11:00 (МСК) мы проведем бесплатный тематический вебинар. Поговорим о нюансах внедрения процессов защищенной разработки, задачах управления ресурсами и на примерах покажем, как автоматизировать работу с инструментами статического анализа кода в облаке T1 Cloud. Спикеры курса — наши коллеги и приглашенные эксперты в области кибербезопасности из SolidLab.

Материал подойдет для разработчиков, желающих взглянуть на DevSecOps глазами ИБ-специалиста, DevOps-инженеров, занимающихся внедрением CI/CD, а также руководителей, которым часто приходится решать конфликты программистов и безопасников. Для участия в вебинаре достаточно зарегистрироваться на сайте мероприятия ^[2].

P.S. Больше полезной литературы для системных администраторов — в нашем блоге ^[1].