Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DevSecOps: tips and tricks

DevOpsDaysMoscow
December 07, 2019
Technology
0
62

DevSecOps: tips and tricks

DevOpsDaysMoscow, 07-12-2019, Юрий Шабалин

Разработчики хотят быстро выкатываться в Production, безопасность хочет все проверять и не допускать уязвимостей, а бизнес хочет зарабатывать деньги. Как решить все эти задачи и не сойти с ума?

Об этом в докладе я не расскажу ???? Но, смогу от лица безопасника рассказать, с какими техническими и процессными проблемами нам довелось столкнуться во время построения DevSecOps и как именно мы эти проблемы решили. А именно реальные кейсы и действительно работающие решения.

Как сделать использование различных инструментов статического, динамического анализа и контроля Open-Source удобным как для разработчиков, так и для безопасности?

Какие интеграции возможны и как их использовать? Как встроить невстраиваемые инструменты безопасности в процесс, чтобы ими можно было пользоваться? Как при этом не остановить процесс разработки? Ну и конечно, как при этом не поседеть и остаться живым.

DevOpsDaysMoscow

December 07, 2019
Tweet

More Decks by DevOpsDaysMoscow

See All by DevOpsDaysMoscow
КАК МЫ ХОДИЛИ В ГОРЫ И УПАЛИ. Как я полюбил индустрию.
devopsdaysmoscow
0
78
Лаборатория для баз данных
devopsdaysmoscow
0
61
Выживет ли DevOps в эпоху цифровизации?
devopsdaysmoscow
0
58
Цифровой продукт
devopsdaysmoscow
0
25
DevOps в Enterprise
devopsdaysmoscow
0
140
Перестаньте использовать crond
devopsdaysmoscow
0
26
Используем Helm на полную
devopsdaysmoscow
0
38
Мы все DevOps
devopsdaysmoscow
0
43
Kubernetes против реальности
devopsdaysmoscow
0
140

Other Decks in Technology

See All in Technology
"君は見ているが観察していない"で考えるインシデントマネジメント
grimoh
4
1k
第23回Ques_タイミーにおけるQAチームの在り方 / QA Team in Timee
takeyaqa
0
180
Terraform Stacks入門 #HashiTalks
msato
0
120
[JAWS-UG金沢支部×コンテナ支部合同企画]コンテナとは何か
furuton
3
340
ZOZOTOWNのホーム画面をパーソナライズすることの難しさと裏話を語る
f6wbl6
1
470
「視座」の上げ方が成人発達理論にわかりやすくまとまってた / think_ perspective_hidden_dimensions
shuzon
2
16k
データの信頼性を支える仕組みと技術
chanyou0311
4
1.6k
DMARC 対応の話 - MIXI CTO オフィスアワー #04
bbqallstars
1
120
AIチャットボット開発への生成AI活用
ryomrt
0
120
株式会社島津製作所_研究開発(集団協業と知的生産)の現場を支える、OSS知識基盤システムの導入
akahane92
1
170
データ活用促進のためのデータ分析基盤の進化
takumakouno
2
160
Microsoft MVPになる前、なってから/Fukuoka_Tech_Women_Community_1_baba
nina01
0
170

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
268
27k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
390
Embracing the Ebb and Flow
colly
84
4.5k
The Cult of Friendly URLs
andyhume
78
6k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
What's new in Ruby 2.0
geeforr
343
31k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
360
Statistics for Hackers
jakevdp
796
220k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
810
YesSQL, Process and Tooling at Scale
rocio
168
14k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k

Transcript

  1. swordfishsecurity.com DevSecOps: tips and tricks Юрий Шабалин

  2. Whoami ▪ Разработка ▪ Внедрение SSDL ▪ Имплементация DevSecOps Юрий

    Шабалин Chief Security Architect 2

  3. Что хочет разработка? • Четкие требования • Быстрый деплой •

    Автоматическая сборка и тестирование • Отсутствие багов ☺ • Удобные инструменты • Что бы им не мешали разрабатывать • Решать интересные задачи

  4. • Быть уверенными, что они проверили всё • Выполнение требований

    ИБ • Отсутствие дефектов безопасности в продукте • Автоматизацию рутинных задач • Удобные инструменты • Решать интересные задачи Что хочет безопасность?

  5. Что хочет бизнес?

  6. Тут что-то про DevOps… DevOps

  7. Базовые практики ИБ • Статический анализ кода – SAST •

    Контроль библиотек с открытым кодом – OSA/SCA • Динамический анализ приложения – DAST / Fuzzing • Анализ бинарного кода – BCA • Автоматизация ПСИ – BAST

  8. Как постараться все это соединить?

  9. Quality Gates • Прозрачность • Повторяемость • Измеримость

  10. Security Gates • Прозрачность • Повторяемость • Измеримость

  11. Способ #1 – Подключение через Teamcity. Dependency и Triggers Статический

    анализ (SAST)

  12. Способ #1 – Подключение через Teamcity. Dependency и Triggers Статический

    анализ (SAST)

  13. Способ #2 (универсальный) – запрос к внешнему сервису Статический анализ

    (SAST)

  14. Способ #2 (универсальный) – запрос к внешнему сервису Статический анализ

    (SAST)

  15. Способ #3 – Подключение через Teamcity Meta-Runner Статический анализ (SAST)

  16. Способ #3 – Подключение через Teamcity Meta-Runner Статический анализ (SAST)

  17. Способ #3 – Подключение через Teamcity Meta-Runner Статический анализ (SAST)

  18. Способ #3 – Подключение через Teamcity Meta-Runner Статический анализ (SAST)

  19. Способ #4 – Раннее обнаружение уязвимостей, интеграция с Bitbucket Статический

    анализ (SAST)

  20. Способ #4 – Раннее обнаружение уязвимостей, интеграция с Bitbucket Статический

    анализ (SAST)

  21. Способ #4 – Раннее обнаружение уязвимостей, интеграция с Bitbucket Статический

    анализ (SAST)

  22. Зачем нужен анализ Open Source? • Формирование репозитория доверенных библиотек

    • Анализ зависимостей на известные уязвимости и лицензионную чистоту • Контроль появления новых уязвимостей в Production • Анализ образов Docker на старое и уязвимое ПО и зависимости Анализ Open Source

  23. Nexus Firewall – что это такое? Анализ Open Source

  24. Анализ Open Source Обычное описание обычной уязвимости

  25. Анализ Open Source Описание из Nexus IQ

  26. Анализ Open Source Разрешаем, но проверяем при помощи SAST Custom

    Rules

  27. Анализ Open Source (Production) Микро-сервисы на схеме

  28. Анализ Open Source (Production) Микро-сервисы в Production

  29. Анализ Open Source (Production) Решение – постоянный мониторинг новых уязвимостей

    в Production среде

  30. Динамический анализ (DAST)

  31. Как добиться максимального покрытия Динамический анализ (DAST) Тестировщики Автотесты Proxy

    Приложение

  32. Автоматизация сбора трафика через Proxy Динамический анализ (FAST)

  33. ▪ Остальные нюансы практик безопасной разработки ▪ Автоматическая проверка требований

    информационной безопасности (BAST) ▪ Анализ бинарного кода (BCA) ▪ Механизм контроля прохождения Quality и Security Gates ▪ Автоматизация анализа мобильных приложений ▪ Анализ Docker-контейнеров ▪ Сбор и анализ метрик ▪ Интеграция с дефект-трекерами ▪ Интерактивное обучение ▪ И многое другое Что осталось за кадром?

  34. Выводы Security Quality New Features

  35. @R1p4eg yshabalin@swordfishsecurity.com Вопросы?