Контакты
Подписка 2024

Краткий дайджест новинок в области безопасной разработки

Денис Якимов, 25/01/21

Мир программной разработки стремительно развивается, и его сегмент, представляющий инструменты для контроля и повышения безопасности выпускаемого программного обеспечения, старается не отставать от насущных потребностей рынка. Представляю вашему вниманию дайджест наиболее интересных, с моей точки зрения, событий за последние недели.

Автор: Денис Якимов, ведущий телеграм-канала @sec_devops

Сборник практик по безопасности Cloud Native-приложений

Фонд CNCF выпустил сборник лучших практик по части безопасности Cloud Native-приложений1, рассчитанный на CTO и CISO. Если посмотреть на оглавление документа, можно заметить, что затронуто много вопросов:

  • SSDL вместе с разными способами тестирования;
  • защита артефактов;
  • Run-Time-безопасность;
  • контроль доступа;
  • моделирование угроз.

И хотя конкретики представлено не очень много, документ определенно может стать хорошей отправной точкой для быстрого погружения в тему Cloud Native-приложений.

Спрос на специалистов в области AppSec растет, а следом растет и спрос на тех, кто понимает и умеет применять DevSecOps.

Инструменты для оценки надежности проектов Open Source

Open Source Security Foundation выпустила набор инструментов под названием Security Scorecard2 для автоматизации анализа и принятия решений об использовании Open Source-проектов на платформе GitHub. Security Scorecard выполняет набор проверок, отвечая, в частности, на вопросы:

  • присутствует ли в проекте политика безопасности;
  • использует ли проект статические анализаторы кода (например, CodeQL);
  • использует ли проект OSS-Fuzz от Google;
  • выпускался ли новый релиз и коммит за последние 90 дней;
  • подписываются ли релизы;
  • являются ли контрибьюторы членами разных организаций.

Результат каждой проверки оценивается по десятибалльной шкале, где 0 означает "невозможно получить ответ", а 10 – "инструмент уверен в результате".

CVE Benchmark для сравнения SAST-инструментов

OpenSSF также выпустила проект OpenSSF CVE Benchmark3. Основная цель проекта – сравнение инструментов класса SAST при сканировании на реальных кодовых базах, в которых была найдена CVE, до и после патча. CVE Benchmark запускает поддерживаемые SAST-анализаторы – ESLint, NodeJSScan и CodeQL для различных Оpen Source-проектов, расположенных на GitHub и использующих JavaScript или TypeScript. После сканирования автоматически генерируется сравнительная таблица с указанием на выявленные ложные срабатывания. В планах – добавление новых инструментов и поддержка большего количества уязвимостей.

Кстати, похожий проект четыре года назад делала команда OWASP. Они написали более 2 тыс. тестовых кейсов на Java и запустили для них различные SASTи DAST-инструменты, включая коммерческие инструменты. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репозиторий.

Kubernetes Threat Modeling Simulator

Kubernetes Threat Modeling Simulator4 – тестовый стенд, на котором можно попрактиковаться в реализации различных сценариев атаки и защиты в Kubernetes. Сюда входят атаки на секреты, RBAC (Role-Based Access Control), Etcd и многое другое. В случае, если что-то не получается, можно воспользоваться подсказками сервиса.

Для получения теоретической базы можно ознакомиться с K8s Attack Tree5 – это набор сценариев различных атак в виде деревьев на базе методологии моделирования угроз STRIDE, а также с известным проектом ATT&CK Matrix Kubernetes6.

CloudSecDocs

Один из замечательных инженеров, Марко Ланчини, за активностью которого слежу, открыл проект cloudsecdocs.com – это большая Интернет-энциклопедия по безопасности облаков.

Вот что уже можно в ней прочитать:

  • Secure SDLC: сканеры, работа с секретами, Compliance as Code, лабы, моделирование угроз, метрики, логирование.
  • Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим.
  • Моделирование угроз для Docker и Kubernetes.
  • Опиcание RBAC.
  • Описание важных компонентов с точки зрения безопасности Kubernetes.
  • Атаки на контейнеры и пентест.
  • Компоненты AWS и Azure, а также их защита.
  • Угрозы и методология тестирования облаков.

  1. https://github.com/cncf/sig-security/blob/master/securitywhitepaper/CNCF_cloud-native-security-whitepaper-Nov2020.pdf 
  2. https://github.com/ossf/scorecard 
  3. https://openssf.org/blog/2020/12/09/introducing-the-openssfcve-benchmark/ 
  4. https://github.com/kubernetes-simulator/simulator 
  5. https://github.com/cncf/financial-user-group/tree/master/projects/k8s-threat-model 
  6. https://www.microsoft.com/security/blog/2020/04/02/attackmatrix-kubernetes/ 
Темы:Безопасная разработкаDevSecOpsAppSec

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать