Безопасность разработки в Agile.pdf
4 MB
Безопасность разработки в Agile проектах, Лаура Белл, Майкл Брантон-Сполл, Рич Смит, Джим Бэрд.
Наконец попала в руки электронная версия книги "Безопасность разработки в Agile-проектах". До этого я ее публиковал только на английском языке.
Хорошая книга, которая слабо поможет в безопасности разработки с технической точки зрения, но даст ориентир в части организации процессов в компании. Тем не менее, здесь есть описание работы с BDD-Security, ZAP, Gauntlt. К тому же это отличный старт для тех, кто только погружается в тему.
#literature #dev #ops
Наконец попала в руки электронная версия книги "Безопасность разработки в Agile-проектах". До этого я ее публиковал только на английском языке.
Хорошая книга, которая слабо поможет в безопасности разработки с технической точки зрения, но даст ориентир в части организации процессов в компании. Тем не менее, здесь есть описание работы с BDD-Security, ZAP, Gauntlt. К тому же это отличный старт для тех, кто только погружается в тему.
#literature #dev #ops
Joren_Vrancken_4593847_A_Methodology_for_Penetration_Testing_Docker.pdf
1.7 MB
A Methodology for Penetration
Testing Docker Systems
Нашел неплохой документ от января этого года, собирающий все основные моменты по тестированию безопасности приложения в Docker.
#docker #literature #attack #ops #dev
Testing Docker Systems
Нашел неплохой документ от января этого года, собирающий все основные моменты по тестированию безопасности приложения в Docker.
#docker #literature #attack #ops #dev
securing_microservice_apis_sustainable_and_scalable_access_control.pdf
2.8 MB
Securing microservice APIs
Не так давно начал читать книгу Microservices Security in Action. Очень понравилась структура и подход к описанию. Есть и архитектура и сэмплы. Пока гуглил отдельные моменты, наткнулся на книгу Securing microservices API.
Содержание:
Microservice Architecture
- The Microservice API Landscape
- API Access Control for Microservices
- Microservice Architecture Qualities
Access Control for Microservices
- Establishing Trust
- Network-Level Controls
- Application-Level Controls
- Infrastructure
- Emerging Approaches
A General Approach to Microservice API Security
- Common Patterns in Microservice API Security Solutions
- Domain Hierarchy Access Regulation for Microservice
- Architecture (DHARMA)
- DHARMA Design Methodology
- A Platform-Independent DHARMA Implementation
- Developer Experience in DHARMA
Conclusion: The Microservice API Security Frontier
#ops #literature
Не так давно начал читать книгу Microservices Security in Action. Очень понравилась структура и подход к описанию. Есть и архитектура и сэмплы. Пока гуглил отдельные моменты, наткнулся на книгу Securing microservices API.
Содержание:
Microservice Architecture
- The Microservice API Landscape
- API Access Control for Microservices
- Microservice Architecture Qualities
Access Control for Microservices
- Establishing Trust
- Network-Level Controls
- Application-Level Controls
- Infrastructure
- Emerging Approaches
A General Approach to Microservice API Security
- Common Patterns in Microservice API Security Solutions
- Domain Hierarchy Access Regulation for Microservice
- Architecture (DHARMA)
- DHARMA Design Methodology
- A Platform-Independent DHARMA Implementation
- Developer Experience in DHARMA
Conclusion: The Microservice API Security Frontier
#ops #literature
Web Security for Developers.epub
18.7 MB
Web Security for Developers
Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.
Особенно полезно будет для AppSec.
#dev #literature #web
Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.
Особенно полезно будет для AppSec.
#dev #literature #web
Learn_Kubernetes_Security.epub
9.2 MB
Learn Kubernetes Security, Kaizhe Huang
Книга от ресерчера Sysdig, мейнтейнера Falco, kube-psp-advor и участника CNCF.
Изучение Kubernetes Security начинается со знакомства с архитектурой Kubernetes и сетевой моделью. Затем автор переходит к модели угроз Kubernetes и защите кластеров. Поднимаются такие темы, как аутентификация, авторизация, сканирование образов, мониторинг ресурсов, защита компонентов кластера (kube-apiserver, CoreDNS и kubelet) и подов (усиление образа, контекста безопасности и PodSecurityPolicy). Есть также практические примеры как использовать инструменты Anchore, Prometheus, OPA и Falco.
#k8s #literature #ops
Книга от ресерчера Sysdig, мейнтейнера Falco, kube-psp-advor и участника CNCF.
Изучение Kubernetes Security начинается со знакомства с архитектурой Kubernetes и сетевой моделью. Затем автор переходит к модели угроз Kubernetes и защите кластеров. Поднимаются такие темы, как аутентификация, авторизация, сканирование образов, мониторинг ресурсов, защита компонентов кластера (kube-apiserver, CoreDNS и kubelet) и подов (усиление образа, контекста безопасности и PodSecurityPolicy). Есть также практические примеры как использовать инструменты Anchore, Prometheus, OPA и Falco.
#k8s #literature #ops
How GitOps Improves the Security of Your Development Pipelines
Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:
- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security
Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:
- Securing GitOps Pipeline
В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.
Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:
- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book)
Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.
UPD. Книгу можно взять здесь. Спасибо подписчикам <3
#ops #k8s #literature
Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:
- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security
Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:
- Securing GitOps Pipeline
В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.
Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:
- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book)
Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.
UPD. Книгу можно взять здесь. Спасибо подписчикам <3
#ops #k8s #literature
DevSecOps_A_leaders_guide_to_producing_secure_software_without_compromising.pdf
2.2 MB
DevSecOps, A leader's guide to producing secure software without compromising flow, feedback and continuous improvement, Glenn Wilson
#literature #dev #ops
#literature #dev #ops
Red_Hat_and_IT_Security.pdf
2.8 MB
Red Hat and IT Security
Обзорная книга по безопасности в DevOps в связке с продуктами Red Hat от 2021 года.
Из интересного и не заезженного - обзор в связке с безопасностью:
- Red Hat Hyperconverged Infrastructure (HCI)
- Red Hat OpenStack Platform (RHOSP)
- Red Hat Smart Management
- Red Hat Insights.
#literature #ops
Обзорная книга по безопасности в DevOps в связке с продуктами Red Hat от 2021 года.
Из интересного и не заезженного - обзор в связке с безопасностью:
- Red Hat Hyperconverged Infrastructure (HCI)
- Red Hat OpenStack Platform (RHOSP)
- Red Hat Smart Management
- Red Hat Insights.
#literature #ops
Security-Chaos-Engineering-Verica-.pdf
2.4 MB
Security Chaos Engineering, Gaining Confidence in Resilience and Safety at Speed and Scale
Давно ждал эту книгу от Verica и рад, что она есть в открытом доступе. В книге описано подробно про Chaos Engineering в разрезе безопасности с примерами тестов. Прошлый пост с другими материалами по данной теме можно почитать здесь.
#ops #literature
Давно ждал эту книгу от Verica и рад, что она есть в открытом доступе. В книге описано подробно про Chaos Engineering в разрезе безопасности с примерами тестов. Прошлый пост с другими материалами по данной теме можно почитать здесь.
#ops #literature
Cloud_Native_Security.pdf
5.6 MB
Cloud Native Security
Свежая книга по cloud native безопасности (kubernetes, aws) с упоминанием некоторых DevSecOps-подходов (есть даже про "deprecation of PSP"). В основном все строится на практической составляющей с вводом-выводом на консоль и примерами интеграций конкретных инструментов.
#literature #dev #ops #k8s #aws
Свежая книга по cloud native безопасности (kubernetes, aws) с упоминанием некоторых DevSecOps-подходов (есть даже про "deprecation of PSP"). В основном все строится на практической составляющей с вводом-выводом на консоль и примерами интеграций конкретных инструментов.
#literature #dev #ops #k8s #aws