原文请参见：https://github.com/devsecops/awesome-devsecops

Awesome DevSecOps

灵感来自 GitHub 上很棒的趋势。这是一组文件、演示文稿、视频、培训材料、工具、服务和支持 DevSecOps 任务的一般指导。这些是基本的模块和细节, 可以帮助你安排一个 DevSecOps 实验或帮助你建立自己的 DevSecOps 程序。
这份名单并不全，会随着 DevSecOps 的成熟而改变。我们打算让它成为一个非常棒的列表, 随着社区的学习和改进 DevSecOps 的实施和采用, 它会不断增长和变化。要包括在此列表中, 信息、工具、供应商或创始人必须提供免费或开源的功能, 帮助实现 DevSecOps 任务。商用的链接用 a(P) 表示。
使用DocToc生成的目录

• 信息
  • 指南
  • 演示文稿
  • 倡议
  • 消息灵通
  • 安全多利地图
• 训练
  • 实验室
  • 易受攻击的测试目标
  • 会议
  • 播客
  • 书籍
• 工具
  • 仪表盘
  • 自动化
  • 寻求
  • 测试
  • 警报
  • 威胁情报
  • 攻击建模
  • 安全管理
  • 红队
  • 可视化
  • 共享
  • ChatOps

信息

我们一直在整个行业工作, 以了解更多的不同类型的 DevOps+ 安全计划。此集合已被拉在一起, 包括: 播客、视频、演示和其他媒体, 以帮助您了解有关 DevSecOps、SecDevOps、DevOpsSec 和/或 DevOps+ 安全的更多信息。

指南

虽然我们不是写文章的做事方式, 分享良好的建议和好的建议可以使软件更强大。我们的目标是通过代码使这些指南更好。

• Security Guide for Web Developers

演示文稿

现在, 许多对话的目标都添加安全到 DevOps 环境。我们在这里添加了一些最值得注意的部分。

• Veracode's Defending the Cloud from a Full Stack Hack

倡议

目前正在采取各种行动, 将安全和合规迁移到 DevOps。我们在这里包括了活动项目的链接:

• DevSecOps
• Rugged DevOps
• AWS Labs
• DevOps Audit Defense Toolkit

消息灵通

我们开发了一个邮件列表和通讯库,在这里 DevSecOps 像我们一样正在分享他们的技能和洞察力。

• Ruby Weekly

安全多利地图

人们继续发展他们的能力和分享共同理解的一种方式是开发多利地图。我们正在收集这些信息并提供一些好的例子。

• Introduction to Wardley Maps
• SOC Value Chain & Delivery Models
• Check out Figure 6 for Comparisons
• Security Industry Example
• DevSecOps Repo for Security Maps

训练

DevSecOps 需要学习的嗜好和快速获得新技能的敏捷。我们收集了这些链接, 帮助您学习如何做 DevSecOps。

实验室

实验室是在 Dev、Sec 和 Ops 中培养技能的亲身学习机会。所有的技能都是有用的, 需要成长, 这样你就可以有同理心, 知识来操作 DevSecOps 风格。

• Pentester Lab
• Infoseclabs
• Vulnhub
• DevSecOps Bootcamp
• Exercism
• Infrastructure Monitoring

易受攻击的测试目标

通过学习如何打破因安全错误而易受影响的应用程序, 建立这样的知识是很重要的。本节包含一个易受攻击的应用程序的列表, 可用于学习不做什么。通过补救有意的漏洞来了解如何防止攻击者获得底层基础结构或数据的访问权限, 可以使这些应用程序变得安全。

• Metasploitable (Linux)
• Mutillidae (PHP)
• NodeGoat (Node)
• LambHack (Lambda)
• RailsGoat (Rails)
• WebGoatPHP (PHP)
• WebGoat (Web App)
• WebGoat.Net (.NET)

会议

通过会议和聚会提供 DevOps 和安全的知识。这是一个简短的列表, 其中有议程的一部分。

• AWS re:Invent
• RSA Conference
• Goto Conference
• DevSecCon
• ISACA Ireland
• DevOps Connect
• DevOps Days
• IP Expo

播客

DevOps 和安全播客的小集合。

• Arrested DevOps
• Social Engineering Podcast
• Trusted Sec Podcast
• Defensive Security Podcast
• Brakeing Down Security Podcast
• Tenable Security Podcast
• Down The Security Rabbithole
• OWASP 24/7
• Take 1 Security Podcast
• DevOps Cafe
• Food Fight Show
• The Ship Show
• Risky Business
• The Secure Developer

书籍

关于 DevSecOps 书籍,把安全放在最重要的位置。

• Holistic Info-Sec for Web Developers

工具

此工具集可用于建立 DevSecOps 平台。我们将这些工具分为几个类别, 帮助 DevSecOps 的不同部门。

仪表盘

可视化是识别、共享和发展从创造性过程开始到操作的安全信息的重要元素。

• Kibana
• Grafana

自动化

自动化平台具有在出现安全缺陷时提供脚本化补救的优势。

• StackStorm

寻求

此工具列表提供了查找安全异常和识别应自动和扩展以支持规模要求的规则所必需的功能。

• Mirador
• osquery
• OSSEC
• GRR
• MozDef
• moloch
• osxcollector
• mig

测试

测试是 DevSecOps 程序的一个基本元素, 因为它有助于为团队准备稳定的操作, 并在它们被利用之前确定安全缺陷。

• Gauntlt
• Chef Inspec
• Snyk
• Node Security Platform
• npm-outdated
• npm-check
• David
• RetireJS
• Hakiri
• Brakeman
• OWASP ZAP
• OSS Fuzz
• IronWASP
• RIPS
• Infer
• OWASP OWTF
• Lynis

警报

一旦发现重要的事情, 响应时间对于修补安全缺陷所需的事件响应至关重要。这些链接包括一些提供警报和通知的项目。

• Elastalert
• 411
• Alerta

威胁情报

世界上有许多威胁情报的来源。其中一些来自 IP 智能, 其他来自恶意软件存储库。此类别包含用于捕获威胁智能并对其进行排序的工具。

• OpenTPX
• Passive Total
• Critical Stack
• IntelMQ Feeds

攻击建模

DevSecOps 需要一个共同的攻击建模能力, 以某种速度和规模执行的能力。谢天谢地, 我们正在努力创建这些有用的分类法, 帮助我们实施攻击建

模和防御。

• CAPEC
• Larry Osterman's Threat Modeling
• STIX
• SeaSponge

安全管理

要将安全性作为代码来支持, 需要使用自动化来管理、安全、维护和转换敏感的凭据和机密。下面的项目为 DevOps 团队提供了一些好的选项, 以确保在构建和部署完整的堆栈软件时使用的敏感细节。

• Vault
• BlackBox
• Transcrypt
• Keybase
• Git Secrets

红队

这些工具, 我们发现是有帮助的。本节中的项目有助于侦察、利用开发和在 Kill 链中常见的其他活动。

• Hound
• EyeWitness

可视化

利用所有的 api 和命令行工具,使 DevSecOps 的发现已经够难了。此列表提供了一些工具, 可以通过流程图、图表或地图来可视化您的工作。

• Gephi
• ShadowBuster

共享

帮助分享知识的工具集。

• Speaker Deck
• Gitbook

ChatOps

您可以在组织中进行的最大更改之一是无边界通信。设置 ChatOps 可以使每个人都聚集在一起并解决问题。

• Gitter
• Slack
• HipChat
• Riot

主贴直达： https://testerhome.com/topics/11290