Swordfish-Security / Awesome Devsecops Russia
Awesome DevSecOps на русском языке
Stars: ✭ 133
Projects that are alternatives of or similar to Awesome Devsecops Russia
Terragoat
TerraGoat is Bridgecrew's "Vulnerable by Design" Terraform repository. TerraGoat is a learning and training project that demonstrates how common configuration errors can find their way into production cloud environments.
Stars: ✭ 461 (+246.62%)
Mutual labels: devsecops
Reapsaw
Reapsaw is a continuous security devsecops tool, which helps in enabling security into CI/CD Pipeline. It supports coverage for multiple programming languages.
Stars: ✭ 37 (-72.18%)
Mutual labels: devsecops
Awesome Php Security
Awesome PHP Security Resources 🕶🐘🔐
Stars: ✭ 666 (+400.75%)
Mutual labels: devsecops
Trivy
Scanner for vulnerabilities in container images, file systems, and Git repositories, as well as for configuration issues
Stars: ✭ 9,673 (+7172.93%)
Mutual labels: devsecops
Awesome Devsecops ru
Подборка выступлений и публикаций на тему DevSecOps на русском и не только)
Stars: ✭ 62 (-53.38%)
Mutual labels: devsecops
Threatmapper
Identify vulnerabilities in running containers, images, hosts and repositories
Stars: ✭ 361 (+171.43%)
Mutual labels: devsecops
Django Defectdojo
DefectDojo is an open-source application vulnerability correlation and security orchestration tool.
Stars: ✭ 1,926 (+1348.12%)
Mutual labels: devsecops
Kubernetes Goat
Kubernetes Goat is "Vulnerable by Design" Kubernetes Cluster. Designed to be an intentionally vulnerable cluster environment to learn and practice Kubernetes security.
Stars: ✭ 868 (+552.63%)
Mutual labels: devsecops
Devsecops
This repository contains information about DevSecOps and how to get involved in this community effort.
Stars: ✭ 103 (-22.56%)
Mutual labels: devsecops
Gg Shield
Detect secret in source code, scan your repo for leaks. Find secrets with GitGuardian and prevent leaked credentials. GitGuardian is an automated secrets detection & remediation service.
Stars: ✭ 708 (+432.33%)
Mutual labels: devsecops
Cmsscan
CMS Scanner: Scan Wordpress, Drupal, Joomla, vBulletin websites for Security issues
Stars: ✭ 775 (+482.71%)
Mutual labels: devsecops
Purify
All-in-one tool for managing vulnerability reports from AppSec pipelines
Stars: ✭ 72 (-45.86%)
Mutual labels: devsecops
Kube Scan
kube-scan: Octarine k8s cluster risk assessment tool
Stars: ✭ 566 (+325.56%)
Mutual labels: devsecops
Terrascan
Detect compliance and security violations across Infrastructure as Code to mitigate risk before provisioning cloud native infrastructure.
Stars: ✭ 2,687 (+1920.3%)
Mutual labels: devsecops
Holisticinfosec For Webdevelopers Fascicle0
📚 Overview 🔒 Tooling 🔒 Process 🔒 Physical 🔒 People 📚
Stars: ✭ 37 (-72.18%)
Mutual labels: devsecops
Archerysec
Centralize Vulnerability Assessment and Management for DevSecOps Team
Stars: ✭ 1,802 (+1254.89%)
Mutual labels: devsecops
Njsscan
njsscan is a semantic aware SAST tool that can find insecure code patterns in your Node.js applications.
Stars: ✭ 128 (-3.76%)
Mutual labels: devsecops
Mobile Security Framework Mobsf
Mobile Security Framework (MobSF) is an automated, all-in-one mobile application (Android/iOS/Windows) pen-testing, malware analysis and security assessment framework capable of performing static and dynamic analysis.
Stars: ✭ 10,212 (+7578.2%)
Mutual labels: devsecops
Awesome DevSecOps на русском языке 
Полная обновляемая подборка материалов по безопасной разработке, DevSecOps и SSDLC на русском языке.
Содержание
- Каналы
- Чаты
- Статьи
- Доклады
- Подкасты
- Стандарты и нормативные документы
- Курсы
-
Инструменты
- Инструменты для моделирования угроз (Threat modeling)
- Статические анализаторы приложений (SAST)
- Динамические анализаторы приложений (DAST)
- Поиск секретов
- Анализаторы сторонних компонентов (SCA)
- Тестирование по принципам Behaviour Driven Development
- Сканеры Docker образов
- Проверка Docker / Kubernetes на соответствие
- Безопасность Kubernetes
- Container Runtime
- Коммерческие комплексные решения Cloud Native Security Platform
- Runtime Security
- IAST
- Fuzzing
- Vulnerability Management
- Compliance-as-code
- IAC Security
- Безопасность AWS
- Безопасность GCP
- Другие общие подборки по DevSecOps инструментам
Каналы
Чаты
Статьи
Dev
- [2021-02-09] CodeQL: SAST своими руками (и головой), часть 1, Павел Канн, Swordfish Security
- [2021-01-14] Лучшие практики при написании безопасного Dockerfile, Денис Якимов, Swordfish Security
- [2020-10-01] Как написать правила для Checkmarx и не сойти с ума, Юрий Шабалин, Swordfish Security
- [2020-09-18] Pysa: как избежать проблем безопасности в коде Python,перевод Graham Bleaney, Sinan Cepel,SkillFactory
- [2020-09-17] Строим безопасную разработку в ритейлере. Опыт одного большого проекта, Иван Старосельский, Solar Security
- [2020-09-14] От Threat Modeling до безопасности AWS - 50+ open-source инструментов для выстраивания безопасности DevOps, Денис Якимов, Swordfish Security
- [2020-09-10] DevSecOps: организация фаззинга исходного кода, Дмитрий Евдокимов,Никита Кныжов,Павел Князев, Digital Security
- [2020-08-26] DevSecOps: принципы работы и сравнение SCA. Часть первая, Денис Якимов, Swordfish Security
- [2020-08-20] Безопасность npm пакетов, Слава Фомин, ДомКлик,2,3
- [2020-05-28] (S)SDLC, или Как сделать разработку безопаснее, Ярослав Александров, Ростелеком Solar,2
- [2020-05-26] DevOps vs DevSecOps: как это выглядело в одном банке, Техносерв
- [2020-04-22] Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM, OZON
- [2020-03-24] Используем Zap Baseline Scan для непрерывного сканирования сайта на уязвимости, Александр Тютин
- [2020-02-04] Какая разница между DevOps и DevSecOps?
- [2020-02-04] Статическое тестирование безопасности опенсорсными инструментами, Александра Сватикова, Одноклассники, [доклад]
- [2020-01-13] Использование сканера уязвимостей в используемых библиотеках Dependency-Check в GitlabCI, Пацев Антон
- [2019-12-17] Практические ответы на нетривиальные вопросы, или Как внедрять DevSecOps в организации со сложным IT-ландшафтом, ВТБ
- [2019-12-12] «Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости, Maxim Tyukov, DINS
- [2019-04-18] Страх и ненависть DevSecOps, доклад Юрия Шабалин, перевод в текст Александра Титова
- [2018-01-11] Как внедрить Secure Development Lifecycle и не поседеть. Рассказ Яндекса на ZeroNights 2017, Яндекс
- [2017-09-17] Мечтают ли WAF’ы о статанализаторах, Владимир Кочетков, PT
- [2016-07-08] Ищем уязвимости в коде: теория, практика и перспективы SAST, Владимир Кочетков, PT
- [2014-05-29] Об анализе исходного кода и автоматической генерации эксплоитов, Владимир Кочетков, PT
Ops
- [2020-09-23] Враг не пройдёт, или как помочь командам соблюдать стандарты разработки, Александр Токарев, Сбербанк
- [2020-07-15] Валидация Kubernetes YAML на соответствие лучшим практикам и политикам, перевод Amit Saha, Flant
- [2020-06-10] Контейнеры для приложений: риски безопасности и ключевые решения по защите, Денис Якимов, КРОК
- [2020-03-10] Как автоматизировать безопасность контейнеров в стиле Policy as Code с помощью CRD, перевод Niteen Kole, Mail.ru
- [2019-12-30] Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала, перевод Paulo Gomes, Flant
- [2019-09-27] Азбука безопасности в Kubernetes: аутентификация, авторизация, аудит, Олег Вознесенский, Flant
- [2019-09-12] Выход за пределы pod'а в Kubernetes через монтирование логов, перевод Daniel Sagi, Flant
- [2019-08-28] 33+ инструмента для безопасности Kubernetes, перевод статьи Mateo Burillo, Flant
- [2019-08-07] Безопасность Helm, доклад Александра Хаерова, Chainstack, [доклад]
- [2019-07-04] Способы и примеры внедрения утилит для проверки безопасности Docker, Павел Канн, Swordfish Security
- [2019-06-26] Обзор утилит безопасности Docker, Павел Канн, Swordfish Security
- [2019-05-29] Безопасность Docker, Павел Канн, Swordfish Security
- [2019-04-29] Введение в сетевые политики Kubernetes для специалистов по безопасности, перевод статьи Reuven Harrison, Flant
- [2019-04-21] Шпаргалки по безопасности: Docker, Acribia
- [2019-01-18] 9 лучших практик по обеспечению безопасности в Kubernetes, Андрей Сидоров, Flant
- [2018-09-11] Понимаем RBAC в Kubernetes, перевод статьи Javier Salmeron, Flant
- [2018-07-25] 11 способов (не) стать жертвой взлома в Kubernetes, перевод статьи Andrew Martin, Flant
- [2017-10-03] Проблемы безопасности Docker, Перевод от Игоря Олемского, Southbridge
- [2017-09-15] Обеспечение сетевой безопасности в кластере Kubernetes,перевод Ahmet Alp Balkan, Southbridge
- [2017-02-17] Контейнеры и безопасность: seccomp, Андрей Емельянов, Selectel
Доклады
Dev
- [2020-08-26] SAST, борьба с потенциальными уязвимостями, Андрей Карпов, PVS-Studio
- [2020-08-26] Внедрение SAST: теория vs практика, Ярослав Александров, Ростелеком-Solar
- [2020-07-30] DevSecOps. Чего нам не хватает. Сергей Белов, Acronis
- [2020-07-30] Мы начинаем DevSecOps, Юрий Шабалин, Swordfish Security
- [2020-06-01] DevSec. Встраивание ИБ в конвейер разработки, Александр Садыков,Станислав Косарев,Антон Гаврилов, «Инфосистемы Джет»
- [2020-05-12] DevSecOps. Общее погружение, Антон Гаврилов,Александр Краснов, «Инфосистемы Джет»
- [2019-12-25] DevSecOps или как встроить проверки информационной безопасности в микросервисы, Антон Башарин, Swordfish Security
- [2019-12-24] DevOps-SecOps, Анатолий Карпенко
- [2019-12-24] DevSecOps: tips and tricks, Юрий Шабалин, Swordfish Security
- [2019-08-23] AppSec как код, Антон Башарин и Юрий Шабалин, Swordfish Security
- [2019-07-03] SAST и Application Security: как бороться с уязвимостями в коде, Сергей Хренов, PVS-Studio
- [2019-07-03] Как построить безопасность SDLC без SDLC, Иван Афанасьев, BI.Zone
- [2018-09-23] Страх и ненависть DevSecOps, Юрий Шабалин, Swordfish Security, DevOps Moscow meetup, [слайды]
- [2018-09-23] Security Compliance & DevOps, Степан Носов, IPONWEB, DevOps Moscow meetup, [слайды]
- [2018-02-24] Теория и практика формального моделирования уязвимостей, Владимир Кочетков, PT,слайды
Ops
- [2020-12-04] Ломаем прил-е в Docker и строим безопасный пайплайн Gitlab, Денис Якимов, Павел Канн, Swordfish Security
- [2020-11-30] Защита Kubernetes со всех сторон, Даниил Бельтюков, Digital Security
- [2020-05-27] Облачный пентест: Методики тестирования Amazon AWS, Вадим Шелест, Digital Security
- [2020-05-27] Использование seccomp для защиты облачной инфраструктуры, Антон Жаболенко, Яндекс.Облако
- [2020-05-26] SecOps. Защита кластера. Юрий Семенюков, Анастасия Дитенкова, Виктор Пучков, «Инфосистемы Джет»
- [2020-04-22] Обеспечение безопасности микросервисной архитектуры в Kubernetes, Олег Маслеников, ЦИАН
- [2020-01-16] У вас есть кластер Kubernetes, но нет майнера на подах? Тогда мы идем к вам! Антон Булавин, Semrush
- [2019-12-10] Заделываем дыры в кластере Kubernetes, Павел Селиванов, Southbridge
- [2019-05-17] Непрерывный статический анализ, Иван Пономарев
- [2019-02-27] Безопасность в Kubernetes, Дмитрий Лазаренко, Mail.Ru Cloud Solutions
- [2019-02-08] Управление секретами при помощи Hashicorp Vault в Авито, Сергей Носков, Авито
- [2018-10-30] Мониторинг безопасности сайтов, Григорий Земсков, Ревизиум
- [2018-10-05] Безопасность в Kubernetes. Проект Kaniko. Лаборатория ПИТ
- [2018-07-23] Статический анализ: ищем ошибки... и уязвимости? Сергей Васильев, PVS-Studio
- [2017-04-22] Хайлоад и безопасность в мире DevOps: совместимы ли? Юрий Колесов, security-gu.ru
- [2016-07-04] Проникновение в Docker с примерами, Дмитрий Столяров, Flant
Подкасты
- SecOps - второе пришествие, Денис Якимов, Swordfish Security
- Про DevSecOps, Барух Садогурский, JFrog
- Мобильный SSDLC, Юрий Шабалин, Swordfish Security
- SDCast #96, Юрий Шабалин, Swordfish Security
Стандарты и нормативные документы
Модели зрелости
Стандарты
- "ГОСТ 58412 Разработка безопасного ПО. Угрозы безопасности информации при разработке ПО"
- "ГОСТ 56939 Разработка безопасного ПО. Общие требования."
- Проект стандарта "Руководство по реализации мер по разработке безопасного программного обеспечения"
- ISO IEC 27034
Курсы
Инструменты
Инструменты для моделирования угроз (Threat modeling)
Моделирование угроз в контексте Secure Development Lifecycle представляет из себя процесс анализа архитектуры ПО на предмет наличия в ней потенциальных уязвимостей и небезопасных технологий. Чтобы сократить расходы на добавление дополнительного функционала с точки зрения безопасности, решением может являться внедрение процесса проверок ИБ еще на этапе проектирования архитектуры. На этом же этапе формируются требования со стороны специалистов по безопасности приложений, которые в дальнейшем пойдут в backlog.
Бесплатные / Open-source
- OWASP Threat Dragon
- Pytm
- Materialize threats tool
- Threatspec
- Raindance
- Microsoft Threat Modeling Tool
- Theagile
Коммерческие / Enterprise
Другие подборки
Статические анализаторы приложений (SAST)
Статический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на исходные коды приложения.
Бесплатные / Open-source универсальные средства
Коммерческие / Enterprise
Другие подборки с описанием SAST под конкретный язык
Динамические анализаторы приложений (DAST)
Динамический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на ответы сервера по заданным запросам.
Бесплатные / Open-source
Коммерческие / Enterprise
- PortSwigger Burp Suite
- NetSparker
- Acunetix
- WebInspect
- PT AI
- Veracode Dynamic Analysis
- Tenable Web App Scanning
Другие подборки
Поиск секретов
Инструмент для поиска чувствительной информации.
Бесплатные / Open-source
Коммерческие / Enterprise
Анализаторы сторонних компонентов (SCA)
Анализатор сторонних компонентов - инструмент, который осуществляет поиск уязвимостей в сторонних open-source компонентах, подключенных к проекту.
Бесплатные / Open-source
Коммерческие / Enterprise
Другие подборки
Тестирование по принципам Behaviour Driven Development
Фреймворк, позволяющий описывать проверки по методологии BDD.
Бесплатные / Open-source
Сканеры Docker образов
Инструменты, направленные на поиск уязвимостей в образах контейнеров.
Бесплатные / Open-source
Коммерческие / Enterprise
Другие подборки
Проверка Docker / Kubernetes на соответствие
Инструмент для проверки хоста/dockerd/сборки на соответствии (CIS/PCI DSS и другие).
Бесплатные / Open-source
Безопасность Kubernetes
Инструмент для проверки безопасности Kubernetes.
Бесплатные / Open-source
Другие подборки
Container Runtime
Инструмент для отслеживания поведения контейнеров в Runtime.
Бесплатные / Open-source
Коммерческие комплексные решения Cloud Native Security Platform
- Aqua CSP
- Aqua CSPM
- Prisma Cloud Compute
- NeuVector
- Sysdig
- Tenable.io Container Security
- McAfee Container Security
- TrendMicro CloudOne
- Qualys Container Security
Runtime Security
Инструмент для проверки веб-приложений в режиме runtime
Бесплатные / Open-source
Коммерческие / Enterprise
IAST
Инструмент, совмещающий практики SAST и DAST.
Бесплатные / Open-source
Коммерческие / Enterprise
Fuzzing
Практика тестирования приложения, при которой на вход программе подаются данные, которые могут привести к неопределенному поведению.
Другие подборки
Vulnerability Management
Инструмент, собирающий и агрегирующий результаты проверки сторонних инструментов.
Бесплатные / Open-source
Коммерческие / Enterprise
Compliance-as-code
Практика представления требований безопасности через декларативное описание в виде кода с целью дальнейшей непрерывной оценки на соответствие.
Бесплатные / Open-source
IAC Security
Практика тестирования декларативного описания инфраструктуры через конфигурационные файлы на соответствие требования безопасности.
Kubernetes YAML validating
Сравнение
Безопасность AWS
Инструменты для проверки безопасности AWS.
Бесплатные / Open-source
Другие подборки
- My-arsenal-of-aws-security-tools
- Awesome AWS S3 Tools
- Cloud Security Tools by Cloudberry Engineering
Безопасность GCP
Инструменты для проверки безопасности GCP.
Бесплатные / Open-source
Другие общие подборки по DevSecOps инструментам
Note that the project description data, including the texts, logos, images, and/or trademarks,
for each open source project belongs to its rightful owner.
If you wish to add or remove any projects, please contact us at [email protected].