No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

No se trata de lo que quieres comprar, sino de quién quieres ser. Aprovecha el precio especial.

Antes: $249

Currency
$209

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Suscríbete

Termina en:

14 Días
13 Hrs
23 Min
19 Seg

Introducción a DevSecOps

35/53
Recursos

En el pasado, el equipo de Seguridad actuaba aislado y actuaba únicamente al final del proceso de desarrollo, un flujo de waterfall. Esto funcionaba porque eran ciclos de desarrollo que llevaban meses o años.

DevSecOps significa pensar en la seguridad de la aplicación a lo largo del proceso, desde el principio. Se trata de automatizar la seguridad e incluirla en el ciclo de vida de la aplicación (no más seguridad externa y en perímetros)

Aportes 13

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

El manifiesto del devsecops

  • Leaning in over Always Saying “No”
  • Data & Security Science over Fear, Uncertainty and Doubt
  • Open Contribution & Collaboration over Security-Only Requirements
  • Consumable Security Services with APIs over Mandated Security Controls & Paperwork
  • Business Driven Security Scores over Rubber Stamp Security
  • Red & Blue Team Exploit Testing over Relying on Scans & Theoretical Vulnerabilities
  • 24x7 Proactive Security Monitoring over Reacting after being Informed of an Incident
  • Shared Threat Intelligence over Keeping Info to Ourselves
  • Compliance Operations over Clipboards & Checklists

Suelo utilizar herramientas gratuitas para la ejecución de pruebas de seguridad en mis pipelines, ya las he podido implementar con éxito en CI Tools como Gitlab CI, Jenkins y Azure DevOps:

Análisis de dependencias: OWASP Dependency Check
Análisis estático de seguridad: Shift Left Scan
Análisis de infraestructura de contenedores: Clair
Análisis dinámico de seguridad: OWASP ZAP

herramientas como sonarqube te perminten ver la calidad de codigo y seguridad del mismo , cosas como no exponer el password de la dtb o dejar punteros sin cerrar, sin embargo otro tipo de pruebas como , pruebas de stress ,xss , sqli , ic , no las hace , pero las podemos programar nosotros en scripts y ejecutarlos con ci

MANIFESTO DEVSECOPS

  • Inclinarse sobre Siempre Decir “No”

  • Ciencia de datos y seguridad por encima del miedo, la incertidumbre y la duda

  • Contribución abierta y colaboración sobre los requisitos de seguridad únicamente

  • Servicios de seguridad consumibles con API sobre los controles de seguridad obligatorios y el papeleo

  • Puntuaciones de seguridad impulsadas por el negocio sobre la seguridad del sello de goma

  • Equipo rojo y azul Aprovechar las pruebas en lugar de confiar en exploraciones y vulnerabilidades teóricas

  • Monitoreo de seguridad proactivo 24x7 en lugar de reaccionar después de ser informado de un incidente

  • Inteligencia de amenazas compartida sobre mantener información para nosotros mismos

  • Operaciones de cumplimiento en portapapeles y listas de verificación

Usamos sonarqube en los pipeline de Jenkins. Sería interesante combinar GitLab con Jenkins para mejoras las pruebas de seguridad. Ahora solo usamos GitLab como repositorio de código.

como demostrar que tienes conocimiento de seguridad?
Hagan un buen scaneo de nmap antes de la entrevista de trabajo y expliquen los resultados

En mi actual empleo, en la parte de Operaciones, implementamos el UFW la herramienta de configuración por defecto de Ubuntu, y además la herramienta fail2ban, estas se pueden automatizar con DevSecOps, o ¿que herramientas de seguridad existen automatizadas?

En donde trabajo, hacemos escaneo de las imágenes de contenedores con una herramienta que se llama Clair. Y con eso podemos estar siempre al dia de las vulnerabilidades que vayan surgiendo.

Just my two cents!

Es interesante pero puedes usar varias plataformas para hacer esto, tanto gitlab, github y bitbucker puedes implemantarlos.

Estoy en proceso de implementar **dependency-check** sugerido por OWASP para el analisis de vulnerabilidades en las dependencias de terceros que utiliza el sistema. Tiene su opción de CLI lo cual lo hace amigable con la integración con Gitlab CI. Les dejó la info por si quieren darle una mirada: <https://github.com/jeremylong/DependencyCheck>

Caso del FBI

Interesante !!