dyakimov Sep 14 2020 at 10:06

От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

21 min

16K

Swordfish Security corporate blogInformation Security*System administration*DevOps*Kubernetes*

+19

Comments 12

maxim_ge Sep 14 2020 at 10:49

Очень мощная статья, спасибо!

Многое хотелось бы видеть более расширено. Например:

Довольно простой инструмент для самостоятельного моделирования угроз. Пользователь отрисовывает архитектуру ПО, указывая на ней угрозы, которые могут следовать по методологии STRIDE.

Интересно, но непонятно, как это будет выглядеть на практике, хорошо бы простой пример рассмотреть. Статья по ссылке не дает понимания.

dyakimov Sep 14 2020 at 12:15

Спасибо за отзыв! Сейчас у нас в планах разобрать инструменты SAST, DAST, Vulnerability management детально в отдельных статьях. Учтем также ваши пожелания по threat modeling.

Myosotis Sep 14 2020 at 11:39

Для моделирования угроз я использую Microsoft Threat Modeling Tool

pavelkann Sep 14 2020 at 14:09

А Вы ее в рамках процесса используете или, так сказать, в личных целях? Интересно почитать про варианты ее внедрения и как сделать так, чтобы threat modeling приносил пользу в компании.

Myosotis Sep 14 2020 at 19:20

В рамках Secure Development Lifecycle в компании, где я работаю.

Protos Oct 22 2021 at 08:17

Можете показать пример скриншота обезличенный как это выглядит?

gecube Sep 14 2020 at 13:59

Отличная и очень детальная статья!
Большое спасибо!

Примечание. На мой взгляд, большой проблемой во многих open-source инструментах, особенно в SAST, так это отсутствие унификации по части вывода результатов. Очень малая часть этих инструментов предоставляет CWE к найденным срабатываниям, из-за чего возникают проблемы на уровне менеджмента уязвимостей. На текущий момент все коммерческие решения, которые я знаю, приводят результат найденных уязвимостей к CWE и CVE.

Действительно, есть такая проблема — интеграция результатов с различных инструментов. И проблема не только в приведении их к базе CWE/CVE. А немного более широкая. Гитлаб, кстати, в своих сканерах отчасти ее решает — в ключе общего формата для отображения в интерфейсе Web самого гитлаба результатов сканирования, но хочется большего. Чтобы было и нормальное отображение, и управление, и оповещения по новым уязвимостям и все такое.

Вроде бы Ваш коллега Шабалин Юрий рассказывал о наработках SwordFish в области интеграции различных инструментальных средств в AppSec HUB. Интересно — процесс ведь не закончился? Продукт получился?

dyakimov Sep 14 2020 at 14:07

Спасибо!

По поводу AppSec.Hub в этой статье я также немного коснулся нашего инструмента.

Мы в своих практиках используем коммерческое решение собственной разработки AppSec.Hub, которое помимо управления уязвимостями, умеет также создавать и экспортировать готовые DevSecOps-пайплайны в CI/CD системы.

Сейчас он активно развивается, продается и используется у наших заказчиков. Мы хотели отдельно написать статью по управлению уязвимостями и немного больше рассказать про оркестрацию и AppSec.Hub.

gecube Sep 14 2020 at 14:34

Ну, тогда очень ждем классных историй про AppSec.Hub!!! Удачи!!!

YSergeev Dec 21 2021 at 14:10

Уже вот тут:

https://habr.com/ru/company/swordfish_security/blog/596817/

Fi5t Sep 15 2020 at 16:43

Лучший обзор такого рода инструментов, что я когда-либо видел! Отличная работа!

dyakimov Sep 15 2020 at 17:29

Спасибо за отзыв! Буду продолжать в том же духе