Перейти к содержанию

DevSecOps

Обучение

  • DevSecOps-Studio: DevSecOps Distribution - виртуальная среда для изучения DevSecOps

Инструменты

Управление уязвимостями

  • DefectDojo: DefectDojo - это инструмент корреляции уязвимостей приложений и оркестровки безопасности с открытым исходным кодом.
  • ArcherySec: ArcherySec - платформа управления уязвимостями.
  • VulnWhisperer: VulnWhisperer - это инструмент управления уязвимостями и агрегатор отчетов.
  • Pentest-Collaboration-Framework: Pentest-Collaboration-Framework - открытый, кроссплатформенный и портативный инструментарий для автоматизации рутинных процессов при проведении различных работ по тестированию.
  • Faraday: Faraday - это платформа управления уязвимостями.
  • Dradis: Dradis - это фреймворк для совместной работы с открытым исходным кодом, предназначенный для команд InfoSec.
  • Purify: Purify - yниверсальный инструмент для управления отчетами об уязвимостях из конвейеров AppSec.
  • SecObserve: SecObserve - это система управления уязвимостями с открытым исходным кодом для разработки программного обеспечения и облачных сред.
  • secureCodeBox: secureCodeBox - это модульная цепочка инструментов на базе kubernetes для непрерывного сканирования проекта.
  • Whitespots portal: Whitespots portal - Комерческая система для поиска и управления уязвимостями с функцией создания правил для валидации и скоринга уязвимостей, а также дедупликации уязвимостей пришедших от разных сканеров. Одним из компонентов платформы является своя CI система, на базе которой осуществляется запуск сканеров.
  • DependencyTrack: Dependency-Track - это интеллектуальная платформа анализа состава программного обеспечения (SCA), которая позволяет организациям выявлять и снижать риски, связанные с использованием компонентов сторонних разработчиков и компонентов с открытым исходным кодом.

Автоматизированное тестирование безопасности

  • mobsf-ci: Все, что требуется для запуска MobSF в ci
  • glue: Glue - это фреймворк для запуска ряда инструментов. В целом, он предназначен для автоматизации конвейера инструментов анализа безопасности.

Управление секретами

  • HashiCorp Vault: HashiCorp Vault - управление секретами.
  • Yopass: Yopass - безопасная передача секретов.
  • git-crypt: git-crypt - шифрует файлы и каталоги в репозитории Git.
  • blackbox: blackbox - позволяет управлять секретами в Git.

Безопасность контейнеров

  • CIS Docker Benchmark: Скрипт для проверки на соответствие best practice.
  • Dockle: Послойный анализ образа контейнера на соответствие best practice.
  • Trivy: Анализ образа контейнера на наличие CVE.
  • KICS: Ультимативная штука по анализу IaC. В отличии от других сканеров, может проверить и docker compose файлы на мисконфигурации.
  • Hadolint: Линтер Dockerfile.