DevSecOps资讯汇编 第十期

DevSecOps资讯汇编

第十期

DevSecOps

• DevSecOps生死抉择：自动化应用安全测试工具

  • 文章总结了目前devsecops的关注点，安全测试工具和安全控制过程能够很好的适应开发人员，而不是背道而驰。同时总结一些遇到的瓶颈：
    • 应用安全测试在CI/CD软件开发周期中的集成点
    • SAST 因效率差、误报率高无法敏捷的融入到 DevOps 中
    • DAST因适应场景有限及严重影响正常业务功能测试而无法融入到DevOps中
    • 被动型IAST是DevSecOps测试阶段实现自动化安全测试的最佳工具

• SDL已死，应用安全路在何方

  • 虽然我不认同这个标题，但是文章提出的问题确实是在SDL实现过程中可能会遇到的一些情况，需要进行反思的点。

• Attack matrix for Kubernetes | k8s 攻击矩阵

  • 微软出品，参考了ATT&CK的矩阵设计了Kubernetes攻击矩阵，包括初始访问、执行、维持、特权提升、清理痕迹、凭据访问、探测、横向移动、影响力9个方面。

• DevSecOps: 3 Mission-Critical Trends to Follow in 2020 | 2020年 DevSecOps 3个重要趋势

  • 文章介绍的三个关键趋势：
    1. 更好的工具
    2. 自动化
    3. 攻击面扩大

• Why implementing security as code is important for DevSecOps | 为什么安全即代码对于DevSecOps很重要

  • 文章提到了安全即代码的概念，是在IAC（基础设施即代码）上的安全性，旨在考虑代码以及基础设施变更的安全性，自动触发安全检查。
  • 文章还提到了六种建立在管道中的最佳实践和功能，是挺有价值的几条的建议，建议一读。

• vulnerability scanning for container images | 针对容器镜像扫描

  • 扫描容器映像中的已知漏洞

• EMERGING FROM THE TOOL SWAMP TO A UNIFIED APPSEC PLATFORM | 从工具沼泽到统一的应用安全平台

  • 文章指出传统的安全依赖零散的工具拼凑，需要一个统一化的平台来维护，除此之外文章还提出了一些工具集成的思路，例如集成工具到IDE环境

• Application Security? But I Have a WAF! | 拥有WAF是否还需要做应用安全

  • 拥有WAF仍需要做应用安全，文章从以下几个角度阐述了WAF失效的场景
    1. 未知类型的攻击绕过了WAF的规则
    2. 应用程序配置或者waf配置变更导致被绕过
    3. 过于复杂的配置导致正确告警和误报混杂从而被忽略
  • 有效的应用安全性需要多种技术，以不同的方式和生命周期的不同阶段来保护应用程序

• Dev + Sec +Ops！= DevSecOps | 开发、安全、运维简单糅合无法实现DevSecOps

  • 文章主要探讨如何正确去实现应用安全，处理三者之间的关系，主要有以下几个部分
    1. 应用安全在推进过程中的问题（与开发、运维的矛盾）
    2. 安全需要嵌入到开发工作流程（个人感觉用融入会更好点）
       • 基于git工作流进行介绍分析
    3. 安全需要嵌入运维流程（个人感觉用融入会更好点）
       • 证书泄露、配置不当的检测工具推荐

• The Disconnect Between Developers and Application Security | 开发者与应用安全之间脱节

  • 文章是以采访的形式，呈现从开发者角度看待应用安全，以下是几个角度：
    1. 开发人员不会成为安全专家，工具和安全团队应该帮助指导他们在制定安全性考虑的基础上进行决策
    2. 应用安全团队从发现问题中获得自豪，而不协助开发人员进行修复
    3. 应用安全团队要求修复所有的安全漏洞
  • 被采访者还是认可，安全是每个人的责任

Collected By Alkaid

PS： 目前国内的消息源有限，如果有相应方面（SDLC、自动化、DevSecOps、威胁建模、应用安全、云安全）的文章，可以邮件alkaid.guang@gmail.com ，谢谢