Мир программной разработки стремительно развивается, и его сегмент, представляющий инструменты для контроля и повышения безопасности выпускаемого программного обеспечения, старается не отставать от насущных потребностей рынка. Представляю вашему вниманию дайджест наиболее интересных, с моей точки зрения, событий за последние недели.
Автор: Денис Якимов, ведущий телеграм-канала @sec_devops
Сборник практик по безопасности Cloud Native-приложений
Фонд CNCF выпустил сборник лучших практик по части безопасности Cloud Native-приложений [1], рассчитанный на CTO и CISO. Если посмотреть на оглавление документа, можно заметить, что затронуто много вопросов:
- SSDL вместе с разными способами тестирования;
- защита артефактов;
- Run-Time-безопасность;
- контроль доступа;
- моделирование угроз.
И хотя конкретики представлено не очень много, документ определенно может стать хорошей отправной точкой для быстрого погружения в тему Cloud Native-приложений.
Спрос на специалистов в области AppSec растет, а следом растет и спрос на тех, кто понимает и умеет применять DevSecOps.
Инструменты для оценки надежности проектов Open Source
Open Source Security Foundation выпустила набор инструментов под названием Security Scorecard [2] для автоматизации анализа и принятия решений об использовании Open Source-проектов на платформе GitHub. Security Scorecard выполняет набор проверок, отвечая, в частности, на вопросы:
- присутствует ли в проекте политика безопасности;
- использует ли проект статические анализаторы кода (например, CodeQL);
- использует ли проект OSS-Fuzz от Google;
- выпускался ли новый релиз и коммит за последние 90 дней;
- подписываются ли релизы;
- являются ли контрибьюторы членами разных организаций.
Результат каждой проверки оценивается по десятибалльной шкале, где 0 означает “невозможно получить ответ”, а 10 — “инструмент уверен в результате”.
CVE Benchmark для сравнения SAST-инструментов
OpenSSF также выпустила проект OpenSSF CVE Benchmark [3]. Основная цель проекта — сравнение инструментов класса SAST при сканировании на реальных кодовых базах, в которых была найдена CVE, до и после патча. CVE Benchmark запускает поддерживаемые SAST-анализаторы — ESLint, NodeJSScan и CodeQL для различных Оpen Source-проектов, расположенных на GitHub и использующих JavaScript или TypeScript. После сканирования автоматически генерируется сравнительная таблица с указанием на выявленные ложные срабатывания. В планах — добавление новых инструментов и поддержка большего количества уязвимостей.
Кстати, похожий проект четыре года назад делала команда OWASP. Они написали более 2 тыс. тестовых кейсов на Java и запустили для них различные SASTи DAST-инструменты, включая коммерческие инструменты. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репозиторий.
Kubernetes Threat Modeling Simulator
Kubernetes Threat Modeling Simulator [4] — тестовый стенд, на котором можно попрактиковаться в реализации различных сценариев атаки и защиты в Kubernetes. Сюда входят атаки на секреты, RBAC (Role-Based Access Control), Etcd и многое другое. В случае, если что-то не получается, можно воспользоваться подсказками сервиса.
Для получения теоретической базы можно ознакомиться с K8s Attack Tree [5] — это набор сценариев различных атак в виде деревьев на базе методологии моделирования угроз STRIDE, а также с известным проектом ATT&CK Matrix Kubernetes [6].
CloudSecDocs
Один из замечательных инженеров, Марко Ланчини, за активностью которого слежу, открыл проект cloudsecdocs.com — это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно в ней прочитать:
- Secure SDLC: сканеры, работа с секретами, Compliance as Code, лабы, моделирование угроз, метрики, логирование.
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим.
- Моделирование угроз для Docker и Kubernetes.
- Опиcание RBAC.
- Описание важных компонентов с точки зрения безопасности Kubernetes.
- Атаки на контейнеры и пентест.
- Компоненты AWS и Azure, а также их защита.
- Угрозы и методология тестирования облаков.
Оригинальная публикация: Журнал “Информационная безопасность”
