Skip to content

Awesome DevSecOps на русском языке

Notifications You must be signed in to change notification settings

Swordfish-Security/awesome-devsecops-russia

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 
 
 
 
 

Repository files navigation

Awesome DevSecOps на русском языке Awesome

DevSecOps-Russia

Полная обновляемая подборка материалов по безопасной разработке, DevSecOps и SSDLC на русском языке

Содержание

Каналы

Чаты

Статьи

Dev

Ops

Доклады

Dev

Ops

Подкасты

Стандарты и нормативные документы

Модели зрелости

Стандарты

Курсы

Инструменты

Инструменты для моделирования угроз (Threat modeling)

Моделирование угроз в контексте Secure Development Lifecycle представляет из себя процесс анализа архитектуры ПО на предмет наличия в ней потенциальных уязвимостей и небезопасных технологий. Чтобы сократить расходы на добавление дополнительного функционала с точки зрения безопасности, решением может являться внедрение процесса проверок ИБ еще на этапе проектирования архитектуры. На этом же этапе формируются требования со стороны специалистов по безопасности приложений, которые в дальнейшем пойдут в backlog

Бесплатные / Open-source

Коммерческие / Enterprise

Другие подборки

Статические анализаторы приложений (SAST)

Статический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на исходные коды приложения

Бесплатные / Open-source универсальные средства

Коммерческие / Enterprise

Другие подборки с описанием SAST под конкретный язык

Динамические анализаторы приложений (DAST)

Динамический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на ответы сервера по заданным запросам

Бесплатные / Open-source

Коммерческие / Enterprise

Другие подборки

Поиск секретов

Инструменты для поиска чувствительной информации

Бесплатные / Open-source

Коммерческие / Enterprise

Анализаторы сторонних компонентов (SCA)

Анализатор сторонних компонентов - инструмент, который осуществляет поиск уязвимостей в сторонних open-source компонентах, подключенных к проекту

Бесплатные / Open-source

Коммерческие / Enterprise

Другие подборки

Анализаторы open-source компонентов (OSA)

Анализаторы open-source компонентов обеспечивает контроль безопасности компонент с открытым исходным кодом при попадании в периметр разработки

Коммерческие / Enterprise

Тестирование по принципам Behaviour Driven Development

Фреймворки, позволяющий описывать проверки по методологии BDD

Бесплатные / Open-source

Сканеры Docker образов

Инструменты, направленные на поиск уязвимостей в образах контейнеров

Бесплатные / Open-source

Коммерческие / Enterprise

Другие подборки

Проверка Docker / Kubernetes на соответствие

Инструменты для проверки хоста/dockerd/сборки на соответствие (CIS/PCI DSS и другие)

Бесплатные / Open-source

Безопасность Kubernetes

Инструменты для проверки безопасности Kubernetes

Бесплатные / Open-source

Другие подборки

Container Runtime

Инструменты для отслеживания поведения контейнеров в Runtime

Бесплатные / Open-source

Коммерческие комплексные решения Cloud Native Security Platform

Runtime Security

Инструменты для проверки веб-приложений в Runtime

Бесплатные / Open-source

Коммерческие / Enterprise

IAST

Инструменты, совмещающие практики SAST и DAST

Бесплатные / Open-source

Коммерческие / Enterprise

Fuzzing

Практика тестирования приложения, при которой на вход программе подаются данные, которые могут привести к неопределенному поведению

Бесплатные / Open-source

Другие подборки

MAST

Инструменты для проверки мобильных приложений

Бесплатные / Open-source

Коммерческие / Enterprise

Vulnerability Management

Инструменты, собирающие и агрегирующие результаты проверки сторонних инструментов

Бесплатные / Open-source

Коммерческие / Enterprise

Application Security Orchestration and Correlation (ASOC)

Инструменты, оркестрирующие проверки сторонних инструментов

Коммерческие / Enterprise

Compliance-as-code

Практика представления требований безопасности через декларативное описание в виде кода с целью дальнейшей непрерывной оценки на соответствие

Бесплатные / Open-source

IAC Security

Практика тестирования декларативного описания инфраструктуры через конфигурационные файлы на соответствие требования безопасности

Kubernetes YAML validating

Сравнение

Безопасность AWS

Инструменты для проверки безопасности AWS

Бесплатные / Open-source

Другие подборки

Безопасность GCP

Инструменты для проверки безопасности GCP

Бесплатные / Open-source

Другие общие подборки по DevSecOps инструментам