- PVSM.RU - https://www.pvsm.ru -
Мы продолжаем [1] рассказывать о полезных ресурсах для ИТ-специалистов. В прошлый раз составили подборку для системных администраторов, сегодня — для специалистов, занимающихся автоматизацией разработки безопасных приложений. В список попали тематические справочники, сборники историй с фейлами, курируемый репозиторий на GitHub и тематический вебинар [2], который пройдет 22 июня.
Прежде чем перейти к разбору тематической литературы, пара слов о том, почему мы об этом говорим. Концепция DevSecOps подразумевает работу с ИБ на каждом этапе разработки приложений и сервисов — от проектирования до развертки и поддержки. Однако нельзя просто взять и поставить корпоративные процессы на новые рельсы.
Подход требует понимания технологий, инструментария и методов защиты приложений. Трудности с этим порой испытывают даже крупные корпорации. Так, на Hacker News обсуждали [3] ситуацию, когда специалисты одного известного китайского телекома переопределили [4] стандартные безопасные функции как потенциально небезопасные.
Материалы, которые мы приводим ниже, помогут познакомиться с темой поближе и избежать ошибок при адаптации практик DevSecOps.
Открывает нашу подборку книга, которая за относительно небольшое время стала классикой в отрасли и собрала тысячи положительных отзывов на маркетплейсах. Среди авторов «Проекта “Феникс” [5]» числятся руководитель научно-исследовательской лаборатории Gartner Джордж Спаффорд, основатель независимой исследовательской организации Кевин Бер, а также инженер Ким Джин, который попадал в список 40 Under 40 по версии журнала ComputerWorld.
Материал представлен в формате истории об ИТ-менеджере выдуманной компании, который за три месяца должен реализовать проект, выходящий за рамки бюджета. На фоне этого нарратива авторы показывают, как пошагово внедрить методологию DevOps в компании. И по их мнению, работа в ай-ти имеет много общего с процессами на заводе.
В целом книга написана легким языком и помогает [6] быстро погрузиться в культуру DevOps и безопасную разработку. Материал оценил даже основатель издательства O’Reilly — Тим О’Райли. Однако читатели отмечают и недостатки — местами рассказ может показаться поверхностным, а в английском издании [7] встречаются грамматические ошибки.
Если вам понравится эта книга, то пользователи Reddit рекомендуют [6] обратить внимание на роман «The Goal». Он в большей степени заточен под работу с процессами производственных предприятий, но они во многом пересекаются с ИТ-направлением.
Нужно учиться на своих ошибках, но еще лучше учиться на чужих. Поэтому DevSecOps-инженеры Марк Миллер и Эдвин Кван подготовили компактный сборник историй [8], в котором разработчики, DevOps-инженеры и проектные менеджеры именитых компаний делятся провальными кейсами. Каждый из них — это иллюстрация того, что ожидает организацию, если применять методологию DevSecOps неправильно.
И подобных историй в ИТ предостаточно, просто о них не принято говорить. Так, в 2020 году авторы выпустили свой второй сборник — Epic Failures in DevSecOps (Volume Two) [9]. Первая работа вызывала интерес в сообществе, поэтому в новый том попали более масштабные кейсы. Например, как в TD Bank боролись с «силосной культурой», и на какие грабли наступили Delta Airlines при внедрении DevSecOps.
Это не книга в классическом понимании, но курируемый репозиторий на GitHub [10] с open source инструментами, посвящёнными методологии DevSecOps. Там можно найти утилиты моделирования угроз и поддержки жизненного цикла приложений вроде Pytm [11], Threagile или Talisman [12]. Есть системы управления учетными данными, такие как GitLeaks [13] и TruffleHog [14], а также инструменты для обеспечения безопасности CI/CD (ThreatMapper [15] или OpenSCAP [16]) и Kuberentes [17].
В отдельный пункт вынесены посты, научные статьи и обзоры методологий от DevSecOps-инженеров крупных западных корпораций — в том числе сервис-провайдеров. Например, вот лучшие практики [18] по внедрению DevSecOps в облаке.
За четыре года существования репозиторий собрал более 2,5 тыс. звезд, и его форкнули почти четыреста раз. При этом каждый может предложить любимый DevSecOps-инструмент или тематический материал, чтобы куратор включил его в список — достаточно сформировать советующий pull request.
Это — справочное руководство [19] по внедрению DevSecOps в бизнес-процессы компании. Автор расскажет, на что обратить внимание при автоматизации тестов, как развивать культуру security-first и совершенствовать безопасность программных продуктов.
По мнению читателей, книга подойдет всем, кто хочет погрузиться в DevSecOps или развить свои навыки в этом направлении. Особенно полезна она будет инженерам, работающим в крупных корпорациях с запутанными бизнес-процессами. В рамках материала автор иногда озвучивает непопулярные точки зрения на индустрию, однако всегда подкрепляет свои выводы доказательствами и статистикой.
Специалистам из сферы информационной безопасности важно смотреть на потенциальные уязвимости глазами злоумышленника. Помочь с этим — задача книги Advanced Persistent Threat Hacking [20]. Книга описывает инструменты и навыки, которые помогают злоумышленнику скомпрометировать инфраструктуру организации — включая социальную инженерию и вредоносный софт. Эти знания помогут DevSecOps-инженеру скорректировать или выстроить с нуля эффективную стратегию безопасной разработки приложений.
Хотя некоторые читатели отмечают, что часть аспектов автор раскрывает не полностью, и материал больше напоминает руководство по пентесту. Что в принципе неудивительно, учитывая обширный опыт автора — Тайлера Райтсона — в этой области.
Мы в T1 Cloud ответственно относимся к безопасности собственных приложений и сервисов, и хотим поделиться знаниями в области DevSecOps. Поэтому 22 июня в 11:00 (МСК) мы проведем бесплатный тематический вебинар. Поговорим о нюансах внедрения процессов защищенной разработки, задачах управления ресурсами и на примерах покажем, как автоматизировать работу с инструментами статического анализа кода в облаке T1 Cloud. Спикеры курса — наши коллеги и приглашенные эксперты в области кибербезопасности из SolidLab.
Материал подойдет для разработчиков, желающих взглянуть на DevSecOps глазами ИБ-специалиста, DevOps-инженеров, занимающихся внедрением CI/CD, а также руководителей, которым часто приходится решать конфликты программистов и безопасников. Для участия в вебинаре достаточно зарегистрироваться на сайте мероприятия [2].
P.S. Больше полезной литературы для системных администраторов — в нашем блоге [1].
Автор:
cloudtrend
Источник [21]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/375973
Ссылки в тексте:
[1] продолжаем: https://habr.com/ru/company/t1_cloud/blog/662954/
[2] тематический вебинар: https://events.webinar.ru/T1Cloud/devsecops?utm_source=habr.com&utm_medium=external_free&utm_content=vzyat_i_pogruzitsya_v_devsecops_knigi_vebinar_drugie_resursi
[3] обсуждали: https://news.ycombinator.com/item?id=25477069
[4] переопределили: https://r2c.dev/blog/2020/when-devsecops-goes-wrong-a-short-lesson-from-huaweis-source-code/
[5] Проекта “Феникс”: https://www.ozon.ru/product/proekt-feniks-kak-devops-ustranyaet-haos-i-uskoryaet-razvitie-kompanii-spafford-dzhordzh-ber-kevin-208475883
[6] помогает: https://old.reddit.com/r/devops/comments/rwqkpg/the_phoenix_project_is_a_terrible_book/hrdcagj/
[7] в английском издании: https://www.amazon.com/Phoenix-Project-DevOps-Helping-Business/dp/0988262592
[8] компактный сборник историй: https://www.amazon.com/Epic-Failures-DevSecOps-Mark-Miller/dp/1728806992
[9] Epic Failures in DevSecOps (Volume Two): https://www.amazon.com/Epic-Failures-2-Compliments-Sonatype/dp/B0849RWX9Y/
[10] курируемый репозиторий на GitHub: https://github.com/sottlmarek/DevSecOps
[11] Pytm: https://github.com/izar/pytm
[12] Talisman: https://github.com/thoughtworks/talisman
[13] GitLeaks: https://github.com/zricethezav/gitleaks
[14] TruffleHog: https://github.com/trufflesecurity/truffleHog
[15] ThreatMapper: https://github.com/deepfence/ThreatMapper
[16] OpenSCAP: https://github.com/OpenSCAP/openscap
[17] Kuberentes: https://github.com/sottlmarek/DevSecOps#kubernetes
[18] лучшие практики: https://www.sans.org/posters/nine-key-cloud-security-concentrations-swat-checklist/
[19] справочное руководство: https://www.amazon.com/DevSecOps-producing-compromising-continuous-improvement/dp/1781335028
[20] Advanced Persistent Threat Hacking: https://www.oreilly.com/library/view/advanced-persistent-threat/9780071828369/
[21] Источник: https://habr.com/ru/post/669720/?utm_source=habrahabr&utm_medium=rss&utm_campaign=669720
Нажмите здесь для печати.