Перейти к содержанию

DevSecOps

Обучение

  • DevSecOps-Studio: DevSecOps Distribution - виртуальная среда для изучения DevSecOps

Инструменты

SAST (Static Application Security Testing)

  • SonarQube: Платформа для непрерывного анализа и измерения качества кода.
  • Checkmarx SAST: Коммерческое решение для статического анализа кода.
  • Fortify Static Code Analyzer: Инструмент статического анализа кода от Micro Focus.
  • Semgrep: Легковесный статический анализатор для многих языков программирования.
  • Bandit: Инструмент для поиска проблем безопасности в Python коде.
  • PT AI: Инструмент для статического анализа от Positive Technologies

DAST (Dynamic Application Security Testing)

  • OWASP ZAP: Бесплатный инструмент для динамического анализа веб-приложений.
  • Burp Suite: Популярная платформа для ручного тестирования безопасности веб-приложений.
  • Acunetix: Автоматизированный сканер уязвимостей веб-приложений.
  • Qualys Web Application Scanning: Облачное решение для динамического анализа веб-приложений.
  • Positive Technologies BlackBox: Решение для автоматизированного тестирования ресурсов методом чёрного ящика.

Управление уязвимостями

  • DefectDojo: DefectDojo - это инструмент корреляции уязвимостей приложений и оркестровки безопасности с открытым исходным кодом.
  • ArcherySec: ArcherySec - платформа управления уязвимостями.
  • VulnWhisperer: VulnWhisperer - это инструмент управления уязвимостями и агрегатор отчетов.
  • Pentest-Collaboration-Framework: Pentest-Collaboration-Framework - открытый, кроссплатформенный и портативный инструментарий для автоматизации рутинных процессов при проведении различных работ по тестированию.
  • Faraday: Faraday - это платформа управления уязвимостями.
  • Dradis: Dradis - это фреймворк для совместной работы с открытым исходным кодом, предназначенный для команд InfoSec.
  • Purify: Purify - yниверсальный инструмент для управления отчетами об уязвимостях из конвейеров AppSec.
  • SecObserve: SecObserve - это система управления уязвимостями с открытым исходным кодом для разработки программного обеспечения и облачных сред.
  • secureCodeBox: secureCodeBox - это модульная цепочка инструментов на базе kubernetes для непрерывного сканирования проекта.
  • Whitespots portal: Whitespots portal - Комерческая система для поиска и управления уязвимостями с функцией создания правил для валидации и скоринга уязвимостей, а также дедупликации уязвимостей пришедших от разных сканеров. Одним из компонентов платформы является своя CI система, на базе которой осуществляется запуск сканеров.
  • DependencyTrack: Dependency-Track - это интеллектуальная платформа анализа состава программного обеспечения (SCA), которая позволяет организациям выявлять и снижать риски, связанные с использованием компонентов сторонних разработчиков и компонентов с открытым исходным кодом.

Автоматизированное тестирование безопасности

  • mobsf-ci: Все, что требуется для запуска MobSF в ci
  • glue: Glue - это фреймворк для запуска ряда инструментов. В целом, он предназначен для автоматизации конвейера инструментов анализа безопасности.

Управление секретами

  • HashiCorp Vault: HashiCorp Vault - управление секретами.
  • Yopass: Yopass - безопасная передача секретов.
  • git-crypt: git-crypt - шифрует файлы и каталоги в репозитории Git.
  • blackbox: blackbox - позволяет управлять секретами в Git.

Безопасность контейнеров

  • CIS Docker Benchmark: Скрипт для проверки на соответствие best practice.
  • Dockle: Послойный анализ образа контейнера на соответствие best practice.
  • Trivy: Анализ образа контейнера на наличие CVE.
  • KICS: Ультимативная штука по анализу IaC. В отличии от других сканеров, может проверить и docker compose файлы на мисконфигурации.
  • Hadolint: Линтер Dockerfile.