Yandex Cloud Security Solution Library, Yandex, 2023

Yandex Cloud Security Solution Library — это набор примеров и рекомендаций, собранных в публичных репозиториях на GitHub. Они помогут компаниям, которые хотят построить безопасную инфруструктуру в Yandex Cloud и соответствовать требованиям различных регуляторов и стандартов.

Команда Yandex Cloud проработала самые распространённые задачи, которые возникают при построении безопасности в облаке, протестировала и подробно описала необходимые сценарии.

❗️GitHub

#SecDevOps

DevSecOps - Implementing Secure CI/CD Pipelines Video Series by Kunal Pachauri, 2019

This will provide an overview of how DevSecOps emerged and what a CI/CD pipeline looks like in an architechtural way

❗️See YouTube playlist

#education #SecDevOps

Awesome Cloud Security Labs by iknowjason, 2025

Awesome free cloud native security learning labs. Includes CTF, self-hosted workshops, guided vulnerability labs, and research labs

❗️GitHub

By category:
📌 AWS;
📌 Azure;
📌 GCP;
📌 Kubernetes;
📌 Container;
📌 Terraform;
📌 Research Labs;
📌 CI/CD.

See also:
➡️Awesome Cloud Security Resources

#SecDevOps

Новая методология AppSec Table Top: как эффективно и безболезненно выстроить процессы безопасной разработки

Отрасль AppSec (application security) в России находится в стадии активного развития. Даже компании со зрелыми процессами безопасной разработки сталкиваются с рядом уникальных вызовов:

📌 острой нехваткой специалистов и экспертизы;
📌 отсутствием методологии и модели оценки зрелости, приближенных к российским реалиям и учитывающих требования регуляторов;
📌 необходимостью разъяснять R&D-командам потребность во внедрении безопасной разработки в цикл создания ПО.

Это усложняет применение международных стандартных методов AppSec и требует адаптации к специфическим российским условиям.

Чтобы решить проблему, необходимо развивать местную экспертизу, разрабатывать свой подход к защите веб-приложений и создавать открытые ресурсы. Поэтому мы сформировали собственную методологию безопасной разработки — AppSec Table Top.


❗️ Официальная страница
⛳️ Статья на Хабре

#SecDevOps

Пример небезопасной network policy в default namespace для pod'ов в среде AWS (via K8s)

В примере указан базовый конфиг с построчными комментариями некоторых weak безопасности. А теперь в комментарии предложи свое видение - какие строки изменить\добавить команды или параметры что бы сделать этот конфиг максимально безопасным!

🔻 YAML файл с исходником смотри ниже 🔻

#SecDevOps

Practical Cloud Security Handbook: Secure cloud deployments with AWS, Azure, GCP, and IBM Cloud, Shiv Kumar, 2025

This handbook systematically guides you from cloud security fundamentals, including the shared responsibility model, through various cloud-native architectural patterns and top cloud workloads like IAM, VPC, and containerization. You will gain a deep understanding of core security concepts, such as encryption and protocols, and then explore the practical, multi-cloud configurations for securing storage, network services, and identity access management across AWS, Azure, IBM, and GCP. The book progresses to vital operational security aspects like monitoring, encryption application, and robust testing. It further explores modern approaches like security as code, offering best practices for both cloud-native and non-cloud-native implementations, integrates DevSecOps principles, and concludes with crucial compliance and regulatory considerations.

Upon completing this handbook, you will possess a comprehensive, hands-on understanding of cloud security, enabling you to design, implement, and maintain secure cloud environments and confidently address today's complex cybersecurity challenges.

What you will learn:
- Secure workloads across AWS, Azure, GCP, and IBM.
- Implement Zero Trust security architectures.
- Use infrastructure as code for secure deployments.
- Set up DevSecOps pipelines with Jenkins and GitHub.
- Explore IAM, encryption, and network security controls.
- Detect and respond to security breaches effectively.
- Apply DevSecOps, Zero Trust, and compliance best practices.

#book #SecDevOps

Примеры finding\security issues "Overly Permissive RBAC Configurations" и "Missing Network Segmentation Controls" для Kubernetes (default config) по классификатору OWASP K8S

Overly permissive RBAC means roles have more permissions than needed, potentially allowing attackers to escalate privileges.

Missing network segmentation controls mean workloads can freely communicate, increasing the risk of lateral movement in case of a breach.

See also:
📌 Kubernetes Hardening Best Practices You Can’t Ignore
📌 Kontra OWASP Top 10 for Kubernetes

#SecDevOps

DevSecOps Assessment Framework (DAF) by Jet, 2025

Есть множество полезных фреймворков, позволяющих оценить процессы безопасной разработки, например, SAMM, BSIMM, DSOMM, MSDL. Также есть лучшие практики, бенчмарки, рекомендуемые подходы к защите контейнеров и сред контейнерной оркестрации, такие как NSA Kubernetes Hardening Guide, или, например CIS for Kubernetes. Помимо этого, существует множество инструментов, повышающих защищенность при формировании и совершенствовании процессов DevSecOps (SAST, DAST, SCA, Container security, Secret management и другие) со своими рекомендациями по настройкам и их использованию. Но нет чего-то одного, описывающего, что конкретно и в какой последовательности нужно делать, чтобы выстроить процесс безопасной разработки, а также чтобы объективно оценить существующий уровень зрелости безопасной разработки и понять, куда двигаться дальше.

Эту проблему призван решить DevSecOps Assessment Framework (DAF). Он включает в себя не просто набор рекомендаций и лучших подходов из разных областей DevSecOps, но еще и большой экспертный опыт нашего сообщества, структурированный и адаптированный под современные реалии. Некоторые практики из общеизвестных фреймворков не добавлены в DAF, но при этом сформированы новые и более детальные. Все модели, домены, поддомены и практики описаны понятным языком во избежание двусмысленностей и разных толкований.

❗️GitHub

#SecDevOps

FREE DEVSECOPS COURSES AND TRAINING

Top free DevSecOps courses for 2026 include comprehensive, hands-on training, 7-day zero-to-hero challenges via YouTube, and specialized, self-paced learning paths from Google Skills, Cybrary, and Coursera focusing on cloud security, Docker, and CI/CD pipelines.

Fundamentals only, beginner entry:

✅ DevSecOps by Google Skills
✅ Free DevSecOps Course: 2026
✅ DevSecOps в облачном CI/CD (RUS)
✅ Бесплатный курс Cloud DevSecOps (RUS)

#education #SecDevOps