Мир программной разработки стремительно развивается, и его сегмент, представляющий инструменты для контроля и повышения безопасности выпускаемого программного обеспечения, старается не отставать от насущных потребностей рынка. Представляю вашему вниманию дайджест наиболее интересных, с моей точки зрения, событий за последние недели.
Автор: Денис Якимов, ведущий телеграм-канала @sec_devops
Фонд CNCF выпустил сборник лучших практик по части безопасности Cloud Native-приложений1, рассчитанный на CTO и CISO. Если посмотреть на оглавление документа, можно заметить, что затронуто много вопросов:
И хотя конкретики представлено не очень много, документ определенно может стать хорошей отправной точкой для быстрого погружения в тему Cloud Native-приложений.
Спрос на специалистов в области AppSec растет, а следом растет и спрос на тех, кто понимает и умеет применять DevSecOps.
Open Source Security Foundation выпустила набор инструментов под названием Security Scorecard2 для автоматизации анализа и принятия решений об использовании Open Source-проектов на платформе GitHub. Security Scorecard выполняет набор проверок, отвечая, в частности, на вопросы:
Результат каждой проверки оценивается по десятибалльной шкале, где 0 означает "невозможно получить ответ", а 10 – "инструмент уверен в результате".
OpenSSF также выпустила проект OpenSSF CVE Benchmark3. Основная цель проекта – сравнение инструментов класса SAST при сканировании на реальных кодовых базах, в которых была найдена CVE, до и после патча. CVE Benchmark запускает поддерживаемые SAST-анализаторы – ESLint, NodeJSScan и CodeQL для различных Оpen Source-проектов, расположенных на GitHub и использующих JavaScript или TypeScript. После сканирования автоматически генерируется сравнительная таблица с указанием на выявленные ложные срабатывания. В планах – добавление новых инструментов и поддержка большего количества уязвимостей.
Кстати, похожий проект четыре года назад делала команда OWASP. Они написали более 2 тыс. тестовых кейсов на Java и запустили для них различные SASTи DAST-инструменты, включая коммерческие инструменты. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репозиторий.
Kubernetes Threat Modeling Simulator4 – тестовый стенд, на котором можно попрактиковаться в реализации различных сценариев атаки и защиты в Kubernetes. Сюда входят атаки на секреты, RBAC (Role-Based Access Control), Etcd и многое другое. В случае, если что-то не получается, можно воспользоваться подсказками сервиса.
Для получения теоретической базы можно ознакомиться с K8s Attack Tree5 – это набор сценариев различных атак в виде деревьев на базе методологии моделирования угроз STRIDE, а также с известным проектом ATT&CK Matrix Kubernetes6.
Один из замечательных инженеров, Марко Ланчини, за активностью которого слежу, открыл проект cloudsecdocs.com – это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно в ней прочитать: