Skip to content

DevSecOps-让业务,开发,安全,运维, 同病相怜, 肝胆相照, 荣辱与共

Notifications You must be signed in to change notification settings

aix-cn/DevSecOps

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

12 Commits
 
 
 
 
 
 
 
 

Repository files navigation

DevSecOps

定义

DevSecOps-让业务,开发,安全,运维, 同病相怜, 肝胆相照, 荣辱与共。

DevSecOps是DevOps的理念的扩展。DevSecOps的目标是将安全嵌入到DevOps的流水线之中,满足从需求,设计,开发,测试到运维等全过程的安全整合,实现安全的完全嵌入和左移,让所有的人为安全负责,主动的承担安全责任,最终让团队能更快,更高效的开发更安全的产品。 输入图片说明

DevSecOps Overview

  1. Zero-to-DevSecOps
  2. DevSecOps-What-Why-And-How
  3. Devsecops-Security-Test-automation

DOD DevSecOps

  1. DoD-Enterprise-DevSecOps-2.0-Fundamentals
  2. DoD-Enterprise-DevSecOps-2.0-Playbook
  3. DoD-Enterprise-DevSecOps-2.0-Strategy-Guide
  4. DoD-Enterprise-DevSecOps-2.0-Tools-and-Activities
  5. DoD-Enterprise-DevSecOps-Reference-Design-v2.0-CNCF-Kubernetes

DevSecOps-大厂的视角

  1. devsecops.org
  2. synopsys 定义的DevSecOps
  3. redhat-DevSecOps
  4. IBM-DevSecOps
  5. dynatrace-DevSecOps
  6. atlassian-DevSecOps
  7. csoonline-DevSecOps
  8. techtarget-DevSecOps
  9. jfrog-DevSecOps
  10. snyk-DevSecOps
  11. plutora-DevSecOps

DevSecOps 工具

  1. DevSecOps-Toolchain
  2. DevSecOps tools
Type Name Description
Build/SAST SonarQube SonarQube 是一个开源的代码分析平台, 用来持续分析和评测项目源代码的质量。 通过SonarQube我们可以检测出项目中重复代码, 潜在bug, 代码规范,安全性漏洞等问题;
Build/SAST codeql CodeQL 是一个语义代码分析引擎,它可以扫描发现代码库中的漏洞。使用 CodeQL,可以像对待数据一样查询代码。编写查询条件以查找漏洞的所有变体,并处理,同时可以分享个人查询条件。
Build/SAST semgrep Semgrep 是一个快速、开源的静态分析工具,用于在编辑、提交和 CI 时查找错误并执行代码标准。
Build/SAST sonarcloud-github-action 将SonarCloud代码分析集成到GitHub Actions
Build/SECRET-MANAGE kamus Kamus 能自动将零信任加密和解密合并到你的 GitOps 工作流中。与 Git-Secret 结合使用,你可以在不减慢 CI/CD 周期的情况下增强整个管道的安全性。
Build/SECRET-MANAGE secrets-sync-action 以将一个存储库中的机密同步到其他存储库中。通过此操作,维护人员可以在单个存储库中定义和旋转机密,并将其同步到Github组织或更高版本中的所有其他存储库。
Build/SECRET-MANAGE vault-action 秘钥管理工具
Design/THREAT owasp-threat-dragon-desktop Threat Dragon是一款免费的开源跨平台应用程序,包括系统图表和自动生成威胁/缓解措施的规则引擎。 这是一个。 该项目的重点是出色的UX,功能强大的规则引擎以及与其他开发生命周期工具的集成。
Design/THREAT pytm Pytm是一款Python风格的威胁建模框架,它可以帮助我们以Python语言风格的形式并使用pytm框架中的元素和属性来定义你的系统。根据我们的定义参数,pytm可以针对你的系统生成数据流图(DFD)、序列图以及威胁模型。
Design/THREAT seasponge 威胁建模工具
Design/THREAT threagile 敏捷威胁建模工具
Operate and Monitor/COMPONENT-ANALYSIS dependency-track Dependency-Track是一个智能组件分析平台,允许组织识别和降低软件供应链中的风险。Dependency-Track通过利用软件材料清单(SBOM)的功能,采取了一种独特且非常有益的方法。这种方法提供了传统软件组合分析(SCA)解决方案无法实现的功能。Dependency-Track监控其投资组合中每个应用程序所有版本的组件使用情况,以便主动识别整个组织的风险。该平台采用API优先设计,非常适合在CI/CD环境中使用。
Operate and Monitor/K8S kube-hunter 寻找 Kubernetes 集群中可利用的安全弱点。Kube-hunter 更有用的功能之一是能够利用它发现的漏洞来寻找进一步的漏洞。
Test/DAST action-baseline 运行OWASP ZAP 以查找Web应用程序中的漏洞的GitHub操作。 ZAP基线操作会扫描目标URL中的漏洞,并在GitHub存储库中维护已标识警报的问题。
Test/DAST action-dalfox DalFox是一款功能强大的XSS参数分析和扫描工具,该工具基于Golang开发,可以帮助广大研究人员通过分析参数,来寻找XSS漏洞,并基于DOM解析器来对找到的XSS漏洞进行验证。
Test/DAST action-full-scan A运行OWASPZAP完整扫描的GitHub操作,ZAP动作全扫描运行OWASPZAP以执行动态应用程序安全测试(DAST)的GitHub操作。
Test/DAST zaproxy 寻找Web应用程序漏洞的综合性渗透测试工具
Test/PENTEST faraday 渗透测试工具和漏洞管理平台
Test/PENTEST metasploit-framework 渗透测试框架
Test/PENTEST monkey 自动化的渗透测试工具
Test/PENTEST ptf 渗透测试框架

DevSecOps Labs

  1. Practical DevOps-The Lab
  2. DevSecOps bootcamp

DevSecOps 培训

  1. dsosec.com

欢迎加群讨论:

输入图片说明

About

DevSecOps-让业务,开发,安全,运维, 同病相怜, 肝胆相照, 荣辱与共

Topics

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published