DevSecOps

  • ХабрахабрФото [Из песочницы] Способы и примеры внедрения утилит для проверки безопасности Docker

    [Из песочницы] Способы и примеры внедрения утилит для проверки безопасности Docker

    Привет, Хабр! В современной реальности из-за возрастающей роли контейнеризации в процессах разработки не на последнем месте стоит вопрос обеспечения безопасности различных этапов и сущностей, связанных с контейнерами. Осуществление проверок в ручном режиме является трудоёмким занятием, поэтому было бы неплохо сделать хотя бы начальные шаги к автоматизации этого процесса. В этой статье я поделюсь готовыми скриптами для внедрения нескольких утилит обеспечения…

    Читать далее »
  • СофтФото Строим безопасную разработку в ритейлере. Опыт одного большого проекта

    Строим безопасную разработку в ритейлере. Опыт одного большого проекта

    Некоторое время назад мы закончили строить процесс безопасной разработки на базе нашего анализатора кода приложений в одной из крупнейших российских ритейловых компаний. Не скроем, этот опыт был трудным, долгим и дал мощнейший рывок для развития как самого инструмента, так и компетенций нашей команды разработки по реализации таких проектов. Хотим поделиться с вами этим опытом в серии статей о том, как…

    Читать далее »
  • ХабрахабрФото От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

    От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

    Привет, Хабр! Я консультант по информационной безопасности в Swordfish Security по части выстраивания безопасного DevOps для наших заказчиков. Я слежу за тем, как развивается тенденция развития компаний в сторону DevSecOps в мире, пытаюсь транслировать самые интересные практики в русскоговорящее сообщество и помогаю выстраивать этот процесс с нашей командой у заказчиков. За последние 2 года тема DevSecOps стала привлекать все больше…

    Читать далее »
  • ХабрахабрФото DevSecOps: организация фаззинга исходного кода

    DevSecOps: организация фаззинга исходного кода

    Узнав результаты голосования, проведённого в одной из наших прошлых статей, мы решили более подробно обсудить вопрос организации фаззинга. Кроме того, в рамках онлайн-встречи по информационной безопасности "Digital Security ON AIR" мы представили доклад, основанный на нашем опыте в DevSecOps, где также рассказали об этой интересной теме. Записи всех докладов можно посмотреть на нашем Youtube-канале. Если же вы предпочитаете текстовый формат,…

    Читать далее »
  • ХабрахабрФото [Перевод] Как использовать простую утилиту для поиска уязвимостей в программном коде

    [Перевод] Как использовать простую утилиту для поиска уязвимостей в программном коде

    Graudit поддерживает множество языков программирования и позволяет интегрировать тестирование безопасности кодовой базы непосредственно в процесс разработки. Источник: Unsplash (Markus Spiske) Тестирование — важная часть жизненного цикла разработки программного обеспечения. Существует очень много видов тестирования, каждый из них решает свою задачу. Сегодня я хочу поговорить о поиске проблем безопасности в коде. Очевидно, что в современных реалиях разработки программного обеспечения важно обеспечить…

    Читать далее »
  • ХабрахабрФото Как внедрить статический анализатор кода в legacy проект и не демотивировать команду

    Как внедрить статический анализатор кода в legacy проект и не демотивировать команду

    Попробовать статический анализатор кода легко. А вот, чтобы внедрить его, особенно в разработку большого старого проекта, потребуется умение. При неправильном подходе анализатор может добавить работы, замедлить разработку и демотивировать команду. Давайте кратко поговорим, как правильно подойти к интеграции статического анализа в процесс разработки и начать его использовать как часть CI/CD. Введение Недавно моё внимание привлекла публикация "Getting Started With Static…

    Читать далее »
  • ХабрахабрФото DevOps vs DevSecOps: как это выглядело в одном банке

    DevOps vs DevSecOps: как это выглядело в одном банке

    Банк аутсорсит свои проекты многим подрядчикам. «Внешники» пишут код, потом передают результаты в не совсем удобном виде. Конкретно процесс выглядел так: они передавали проект, который прошёл функциональные тесты у них, а затем тестировался уже внутри банковского периметра на интеграцию, нагрузку и так далее. Часто обнаруживалось, что тесты фейлятся. Тогда всё уходило обратно внешнему разработчику. Как вы можете догадаться, это означало…

    Читать далее »
  • ХабрахабрФото Как (вы)жить без отдела безопасности

    Как (вы)жить без отдела безопасности

    Безопасность — это защита объектов и интересов от угроз. Когда кажется, что с ней всё хорошо, в интернете появляется много интересного: списки e-mail и телефонов из незащищённой базы данных крупных магазинов, записи колл-центров некоторых операторов, логины и пароли производителей оборудования из открытого репозитория или данные миллионов кредитных карт клиентов крупных банков. Безопасность — это непросто. Но и ничего сложного в…

    Читать далее »
  • ХабрахабрФото Как (вы)жить без отдела безопасности

    Как (вы)жить без отдела безопасности

    Безопасность — это защита объектов и интересов от угроз. Когда кажется, что с ней всё хорошо, в интернете появляется много интересного: списки e-mail и телефонов из незащищённой базы данных крупных магазинов, записи колл-центров некоторых операторов, логины и пароли производителей оборудования из открытого репозитория или данные миллионов кредитных карт клиентов крупных банков. Безопасность — это непросто. Но и ничего сложного в…

    Читать далее »
  • ХабрахабрФото [Перевод] Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала

    [Перевод] Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала

    Прим. перев.: Представляем вниманию перевод статьи старшего инженера по безопасности приложений британской компании ASOS.com. С ней он начинает цикл публикаций, посвящённых повышению безопасности в Kubernetes благодаря использованию seccomp. Если введение понравится читателям, мы последуем за автором и продолжим с его будущими материалами по этой теме. В первой части я расскажу об основах и внутренних деталях реализации seccomp в Kubernetes. Эта…

    Читать далее »


Кнопка «Наверх»