Мы продолжаем рассказывать о полезных ресурсах для ИТ-специалистов. В прошлый раз составили подборку для системных администраторов, сегодня — для специалистов, занимающихся автоматизацией разработки безопасных приложений. В список попали тематические справочники, сборники историй с фейлами, курируемый репозиторий на GitHub и тематический вебинар, который пройдет 22 июня.
Прежде чем перейти к разбору тематической литературы, пара слов о том, почему мы об этом говорим. Концепция DevSecOps подразумевает работу с ИБ на каждом этапе разработки приложений и сервисов — от проектирования до развертки и поддержки. Однако нельзя просто взять и поставить корпоративные процессы на новые рельсы.
Подход требует понимания технологий, инструментария и методов защиты приложений. Трудности с этим порой испытывают даже крупные корпорации. Так, на Hacker News обсуждали ситуацию, когда специалисты одного известного китайского телекома переопределили стандартные безопасные функции как потенциально небезопасные.
Материалы, которые мы приводим ниже, помогут познакомиться с темой поближе и избежать ошибок при адаптации практик DevSecOps.
Проект «Феникс». Как DevOps устраняет хаос и ускоряет развитие компании
Открывает нашу подборку книга, которая за относительно небольшое время стала классикой в отрасли и собрала тысячи положительных отзывов на маркетплейсах. Среди авторов «Проекта “Феникс”» числятся руководитель научно-исследовательской лаборатории Gartner Джордж Спаффорд, основатель независимой исследовательской организации Кевин Бер, а также инженер Ким Джин, который попадал в список 40 Under 40 по версии журнала ComputerWorld.
Материал представлен в формате истории об ИТ-менеджере выдуманной компании, который за три месяца должен реализовать проект, выходящий за рамки бюджета. На фоне этого нарратива авторы показывают, как пошагово внедрить методологию DevOps в компании. И по их мнению, работа в ай-ти имеет много общего с процессами на заводе.
В целом книга написана легким языком и помогает быстро погрузиться в культуру DevOps и безопасную разработку. Материал оценил даже основатель издательства O’Reilly — Тим О’Райли. Однако читатели отмечают и недостатки — местами рассказ может показаться поверхностным, а в английском издании встречаются грамматические ошибки.
Если вам понравится эта книга, то пользователи Reddit рекомендуют обратить внимание на роман «The Goal». Он в большей степени заточен под работу с процессами производственных предприятий, но они во многом пересекаются с ИТ-направлением.
Epic Failures in DevSecOps
Нужно учиться на своих ошибках, но еще лучше учиться на чужих. Поэтому DevSecOps-инженеры Марк Миллер и Эдвин Кван подготовили компактный сборник историй, в котором разработчики, DevOps-инженеры и проектные менеджеры именитых компаний делятся провальными кейсами. Каждый из них — это иллюстрация того, что ожидает организацию, если применять методологию DevSecOps неправильно.
И подобных историй в ИТ предостаточно, просто о них не принято говорить. Так, в 2020 году авторы выпустили свой второй сборник — Epic Failures in DevSecOps (Volume Two). Первая работа вызывала интерес в сообществе, поэтому в новый том попали более масштабные кейсы. Например, как в TD Bank боролись с «силосной культурой», и на какие грабли наступили Delta Airlines при внедрении DevSecOps.
Ultimate DevSecOps Library
Это не книга в классическом понимании, но курируемый репозиторий на GitHub с open source инструментами, посвящёнными методологии DevSecOps. Там можно найти утилиты моделирования угроз и поддержки жизненного цикла приложений вроде Pytm, Threagile или Talisman. Есть системы управления учетными данными, такие как GitLeaks и TruffleHog, а также инструменты для обеспечения безопасности CI/CD (ThreatMapper или OpenSCAP) и Kuberentes.
В отдельный пункт вынесены посты, научные статьи и обзоры методологий от DevSecOps-инженеров крупных западных корпораций — в том числе сервис-провайдеров. Например, вот лучшие практики по внедрению DevSecOps в облаке.
За четыре года существования репозиторий собрал более 2,5 тыс. звезд, и его форкнули почти четыреста раз. При этом каждый может предложить любимый DevSecOps-инструмент или тематический материал, чтобы куратор включил его в список — достаточно сформировать советующий pull request.
DevSecOps: A leader’s guide to producing secure software
Это — справочное руководство по внедрению DevSecOps в бизнес-процессы компании. Автор расскажет, на что обратить внимание при автоматизации тестов, как развивать культуру security-first и совершенствовать безопасность программных продуктов.
По мнению читателей, книга подойдет всем, кто хочет погрузиться в DevSecOps или развить свои навыки в этом направлении. Особенно полезна она будет инженерам, работающим в крупных корпорациях с запутанными бизнес-процессами. В рамках материала автор иногда озвучивает непопулярные точки зрения на индустрию, однако всегда подкрепляет свои выводы доказательствами и статистикой.
Advanced Persistent Threat Hacking
Специалистам из сферы информационной безопасности важно смотреть на потенциальные уязвимости глазами злоумышленника. Помочь с этим — задача книги Advanced Persistent Threat Hacking. Книга описывает инструменты и навыки, которые помогают злоумышленнику скомпрометировать инфраструктуру организации — включая социальную инженерию и вредоносный софт. Эти знания помогут DevSecOps-инженеру скорректировать или выстроить с нуля эффективную стратегию безопасной разработки приложений.
Хотя некоторые читатели отмечают, что часть аспектов автор раскрывает не полностью, и материал больше напоминает руководство по пентесту. Что в принципе неудивительно, учитывая обширный опыт автора — Тайлера Райтсона — в этой области.
Наш вебинар по DevSecOps
Мы в T1 Cloud ответственно относимся к безопасности собственных приложений и сервисов, и хотим поделиться знаниями в области DevSecOps. Поэтому 22 июня в 11:00 (МСК) мы проведем бесплатный тематический вебинар. Поговорим о нюансах внедрения процессов защищенной разработки, задачах управления ресурсами и на примерах покажем, как автоматизировать работу с инструментами статического анализа кода в облаке T1 Cloud. Спикеры курса — наши коллеги и приглашенные эксперты в области кибербезопасности из SolidLab.
Материал подойдет для разработчиков, желающих взглянуть на DevSecOps глазами ИБ-специалиста, DevOps-инженеров, занимающихся внедрением CI/CD, а также руководителей, которым часто приходится решать конфликты программистов и безопасников. Для участия в вебинаре достаточно зарегистрироваться на сайте мероприятия.
P.S. Больше полезной литературы для системных администраторов — в нашем блоге.
Автор:
cloudtrend