devsecops/awesome-devsecops

# 极佳的 DevSecOps [](https://github.com/sindresorhus/awesome) 受 GitHub 上 awesome-* 趋势的启发。这是一系列支持 DevSecOps 使命的文档、演示文稿、视频、培训材料、工具、服务和通用领导力的集合。这些是基础的构建块和小知识，可以帮助您安排 DevSecOps 实验，或帮助您构建自己的 DevSecOps 计划。 这个列表不会完全全面，并且会随着 DevSecOps 的成熟而改变。我们打算让它成为一个极佳的列表，随着社区学习和改进 DevSecOps 的实施和采用方式而不断发展和变化。要被包含在此列表中，信息、工具、供应商或倡议必须提供有助于 DevSecOps 使命的免费或开源功能。指向商业内容的链接会以 (P) 标注。 **目录** *使用 [DocToc](https://github.com/thlorenz/doctoc) 生成* - [信息](#information) - [指南](#guidelines) - [演示文稿](#presentations) - [倡议](#initiatives) - [随时掌握动态](#keeping-informed) - [安全 Wardley 地图](#wardley-maps-for-security) - [培训](#training) - [实验室](#labs) - [漏洞测试靶场](#vulnerable-test-targets) - [会议](#conferences) - [播客](#podcasts) - [书籍](#books) - [工具](#tools) - [仪表板](#dashboards) - [自动化](#automation) - [威胁狩猎](#hunting) - [测试](#testing) - [告警](#alerting) - [威胁情报](#threat-intelligence) - [攻击建模](#attack-modeling) - [机密管理](#secret-management) - [红队](#red-team) - [可视化](#visualization) - [分享](#sharing) - [ChatOps](#chatops) # 信息 我们一直致力于跨行业学习，以了解更多关于不同类型的 DevOps + 安全倡议的信息。这个集合汇集了：播客、视频、演示文稿和其他媒体，以帮助您了解更多关于 DevSecOps、SecDevOps、DevOpsSec 和/或 DevOps + 安全的知识。 ## 指南 虽然我们不喜欢文书工作，但分享合理的建议和良好的建议可以使软件更强大。我们致力于通过代码来改进这些指南。 * [DevSecOps 简介 - DZone Refcard](https://dzone.com/refcardz/introduction-to-devsecops) * [安全冠军剧本](https://github.com/c0rdis/security-champions-playbook) * [Web 开发人员安全指南](https://github.com/FallibleInc/security-guide-for-developers) * [使用 OWASP Zap 构建 DAST 的实用指南](https://github.com/Soluto/owasp-zap-glue-ci-images) * [安全测试和工具简介](https://www.omerlh.info/2018/10/04/write-good-code-with-security-tests/) * [DevSecOps 中心](https://snyk.io/devsecops/) ## 演示文稿 现在许多演讲都着眼于将安全融入 DevOps 环境的变革。我们在这里添加了一些最值得关注的演讲。 * [DevSecOps：采用 DevOps 方法进行安全防护](https://www.slideshare.net/AlertLogic/alert-logic-and-chef-dev-ops-webinar) * [Mozilla 持续集成中的测试驱动安全](https://www.youtube.com/watch?v=e2axToBYD68) * [安全 DevOps - 在敏捷项目中保持安全](https://christian-schneider.net/slides/OWASP-AppSecEU-2015_SecDevOps.pdf) * [Veracode 的保护云免受全栈黑客攻击](https://www.rsaconference.com/writable/presentations/file_upload/csv-w03-_defending-the-cloud-from-the-full-stack-hack.pdf) * [让你的机器人去工作：Twitter 的安全自动化](https://vimeo.com/54250716) * [DevSecOps 的三个方面](https://www.infoq.com/presentations/devsecops-2019/) ## 倡议 目前正在进行各种倡议，以将安全性和合规性迁移到 DevOps 中。我们在这里包含了活跃项目的链接： * [AWS Labs](https://github.com/awslabs) * [DevOps 和审计资源](https://itsanicelife.com/2017/03/13/devops-and-audit-resources/) * [DevSecOps](http://devsecops.org) * [OpenDevSecOps](https://opendevsecops.org) * [Rugged DevOps](http://www.ruggedsoftware.org) ## 随时掌握动态 我们发现了大量的邮件列表和时事通讯，像我们这样的 DevSecOps 从业者正在其中分享他们的技能和见解。 * [AWS 安全](https://aws.amazon.com/security/) * [Azure 安全](https://azure.microsoft.com/en-us/overview/security/) * [Ruby 周刊](http://rubyweekly.com) * [安全通讯](https://securitynewsletter.co/) * [SRE 周刊](https://sreweekly.com/) ## 安全 Wardley 地图 人们继续发展其能力并分享共同理解的一种方式是开发 Wardley 地图。我们正在收集这些信息，并在此处提供一些优秀的示例。 * [查看图 6 以进行比较](http://www.cio.co.uk/it-strategy/introduction-wardley-value-chain-mapping-3604565/) * [安全地图的 DevSecOps 仓库](https://github.com/devsecops/wardley-maps) * [Wardley 地图简介](http://blog.gardeviance.org/2015/02/an-introduction-to-wardley-value-chain.html) * [安全行业示例](http://blog.gardeviance.org/2014_08_01_archive.html) * [SOC 价值链与交付模型](http://blog.blackswansecurity.com/2016/01/soc-value-chain-delivery-models/) # 培训 DevSecOps 需要对学习的渴望和快速掌握新技能的敏捷性。我们收集了这些链接，以帮助您学习如何与我们一起进行 DevSecOps。 ## 实验室 实验室是提升您在开发、安全和运维方面技能的动手实践机会。所有技能都很有用，需要不断发展，以便您能够拥有以 DevSecOps 风格运作的同理心、知识和行业诀窍。 * [DevSecOps 训练营](https://github.com/devsecops/bootcamp) * [Exercism](http://exercism.io/) * [Infoseclabs](http://www.infoseclabs.net) * [基础设施监控](https://github.com/appsecco/defcon24-infra-monitoring-workshop) * [Pentester 实验室](https://pentesterlab.com/exercises/) * [Vulnhub](https://www.vulnhub.com/) ## 漏洞测试靶场 通过学习如何破坏因安全错误而留下漏洞的应用程序来积累知识，这很重要。本部分包含一个易受攻击的应用程序列表，这些应用程序可以部署以了解不应该做什么。通过修复这些故意的漏洞，可以使这些相同的应用程序变得安全，从而学习如何防止攻击者访问底层基础设施或数据。 * [Damn Vulnerable Web Application](https://github.com/ethicalhack3r/DVWA) (PHP/MySQL) * [LambHack](https://github.com/wickett/lambhack) (Lambda) * [Metasploitable](https://community.rapid7.com/docs/DOC-1875) (Linux) * [Mutillidae](http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-top-10) (PHP) * [NodeGoat](https://github.com/owasp/nodegoat) (Node) * [OWASP Damn Vulnerable Serverless Application (DVSA)](https://github.com/owasp/dvsa) (AWS Serverless) * [OWASP Juice Shop](https://github.com/OWASP/glue) (NodeJS/Angular) * [RailsGoat](https://github.com/OWASP/railsgoat) (Rails) * [WebGoat](https://github.com/WebGoat/WebGoat) (Web App) * [WebGoat.Net](https://github.com/OWASP/WebGoat.NET) (.NET) * [WebGoatPHP](https://github.com/OWASP/OWASPWebGoatPHP) (PHP) ## 会议 关于结合 DevOps 和安全的知识体系已经通过会议和聚会传播。这是一个简短的场地列表，这些场地将部分议程专门用于此。 * [AWS re:Inforce](https://reinforce.awsevents.com/) * [AWS re:Invent](https://reinvent.awsevents.com) * [DevSecCon](http://devseccon.com) * [DevOps Connect](http://www.devopsconnect.com/) * [DevOps Days](http://www.devopsdays.org/) * [Goto 会议](http://gotocon.com) * [IP Expo](http://www.ipexpoeurope.com/) * [ISACA 爱尔兰](http://www.isaca.org/chapters5/Ireland/conference/pages/Agenda.aspx) * [RSA 会议](http://www.rsaconference.com) * [全天 DevOps](https://www.alldaydevops.com/) ## 播客 一小部分 DevOps 和安全播客的集合。 * [Arrested DevOps](https://www.arresteddevops.com/) * [Brakeing Down Security 播客](http://www.brakeingsecurity.com/) * [Darknet Diaries](https://darknetdiaries.com) * [Defensive Security 播客](http://www.defensivesecurity.org/) * [DevOps Cafe](http://devopscafe.org/) * [Down The Security Rabbithole](http://podcast.wh1t3rabbit.net/) * [Food Fight Show](http://foodfightshow.org/) * [OWASP 24/7](https://www.owasp.org/index.php/OWASP_Podcast) * [Risky Business](http://risky.biz/) * [社会工程学播客](http://www.social-engineer.org/category/podcast/) * [软件工程电台](http://www.se-radio.net/team/kim-carter/) * [Take 1 Security 播客](https://danielmiessler.com/podcast/) * [Tenable 安全播客](http://www.tenable.com/podcast) * [安全开发者](http://www.heavybit.com/library/podcasts/the-secure-developer/) * [Trusted Sec 播客](https://www.trustedsec.com/podcast/) ## 书籍 专注于 DevSecOps 的书籍，将安全焦点放在首位。 * [DevOpsSec](http://www.oreilly.com/webops-perf/free/devopssec.csp) * [Docker 安全 - 快速参考](https://binarymist.io/publication/docker-security/) * [Web 开发人员的整体信息安全](https://leanpub.com/b/holisticinfosecforwebdevelopers) * [Securing DevOps](https://securing-devops.com/book) * [DevOps 手册（第六部分）](https://www.oreilly.com/library/view/the-devops-handbook/9781457191381/) # 工具 这组工具对于建立 DevSecOps 平台非常有用。我们将工具划分为几个类别，以帮助处理 DevSecOps 的不同环节。 ## 仪表板 可视化是识别、共享和演进安全信息的重要元素，这些信息从创建过程的开端一直贯穿到运营阶段。 * [Grafana](http://grafana.org/) * [Kibana](https://www.elastic.co/products/kibana) ## 自动化 自动化平台的优势在于，当发现安全缺陷时，能够提供脚本化的补救措施。 * [Demisto](https://www.demisto.com/community/) * [OWASP Glue](https://github.com/OWASP/glue) * [StackStorm](https://github.com/StackStorm/st2) * [Insider CLI](https://github.com/insidersec/insider) ## 威胁狩猎 此工具列表提供了查找安全异常和识别规则所需的功能，这些规则应该被自动化和扩展以支持规模需求。 * [GRR](https://github.com/google/grr) * [kube-hunter](https://github.com/aquasecurity/kube-hunter) * [mig](https://github.com/mozilla/mig) * [Mirador](http://fathom.info/mirador/) * [moloch](https://github.com/aol/moloch) * [MozDef](https://github.com/mozilla/MozDef) * [osquery](https://osquery.io/) * [OSSEC](http://ossec.github.io/) * [osxcollector](https://github.com/Yelp/osxcollector) ## 测试 测试是 DevSecOps 计划的基本要素，因为它有助于让团队为 Rugged 运营做好准备，并在安全缺陷被利用之前发现它们。 * [Brakeman](http://brakemanscanner.org) * [Checkov](https://github.com/bridgecrewio/checkov/) * [Chef Inspec](https://github.com/chef/inspec) * [Contrast Security](https://www.contrastsecurity.com) * [Cohesion](https://secapps.com/cohesion) * [David](https://david-dm.org/) * [Deepfence ThreatMapper](https://github.com/deepfence/ThreatMapper) * [Gauntlt](http://gauntlt.org/) * [Hakiri](https://hakiri.io) * [HusckyCI](https://github.com/globocom/huskyci) * [Infer](http://fbinfer.com/) * [IronWASP](https://ironwasp.org/) * [kube-bench](https://github.com/aquasecurity/kube-bench) * [Lynis](https://cisofy.com/lynis/) * [microscanner](https://github.com/aquasecurity/microscanner) * [Node 安全平台](https://nodesecurity.io/) * [npm-check](https://www.npmjs.com/package/npm-check) * [npm-outdated](https://docs.npmjs.com/cli/outdated) * [OSS Fuzz](https://github.com/google/oss-fuzz) * [OWASP OWTF](https://www.owasp.org/index.php/OWASP_OWTF) * [OWASP ZAP](https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project) * [OWASP ZAP Node API](https://github.com/zaproxy/zap-api-nodejs) * [Progpilot](https://github.com/designsecurity/progpilot) * [PureSec（Serverless 安全）](https://www.puresec.io/) * [RetireJS](https://github.com/RetireJS/retire.js) * [RIPS](http://rips-scanner.sourceforge.net/) * [ShiftLeft Scan](https://slscan.io) * [Snyk](https://snyk.io) * [SourceClear](https://www.sourceclear.com) ## 告警 一旦您发现重要情况，响应时间是至关重要的，并且是修复安全缺陷所需的事件响应的基础。这些链接包括一些提供告警和通知的项目。 * [411](https://github.com/kiwiz/411) * [Alerta](https://github.com/guardian/alerta) * [Elastalert](https://github.com/yelp/elastalert) * [MozDef](https://github.com/mozilla/MozDef) ## 威胁情报 世界上有许多威胁情报来源。其中一些来自 IP 情报，另一些来自恶意软件存储库。此类别包含用于捕获威胁情报并进行整理的工具。 * [Alien Vault OTX](https://otx.alienvault.com/) * [Critical Stack](https://intel.criticalstack.com) * [IBM X-Forcehttps://exchange.xforce.ibmcloud.com) * [IntelMQ Feeds](https://github.com/certtools/intelmq-feeds-documentation) * [OpenTPX](https://www.opentpx.org) * [Passive Total](https://www.passivetotal.org) * [STIX, TAXII](https://oasis-open.github.io/cti-documentation/) * [Threat Connect](https://threatconnect.com/) ## 攻击建模 DevSecOps 需要一种能够快速且大规模执行的通用攻击建模能力。幸运的是，目前有一些正在进行的工作旨在创建这些有用的分类法，帮助我们将攻击建模和防御操作化。 * [CAPEC](https://capec.mitre.org) * [IriusRisk](https://www.continuumsecurity.net/threat-modeling-tool/) * [Larry Osterman 的威胁建模](https://blogs.msdn.microsoft.com/larryosterman/2007/10/01/some-final-thoughts-on-threat-modeling/) * [SDL 威胁建模工具](https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.aspx) * [SeaSponge](http://mozilla.github.io/seasponge/) * [威胁风险建模](https://www.owasp.org/index.php/Threat_Risk_Modeling) ## 机密管理 为了支持安全即代码，敏感凭证和机密需要使用自动化进行管理、安全防护、维护和轮换。下面的项目为 DevOps 团队提供了一些保护在构建和部署全栈软件部署中使用的敏感细节的绝佳选择。 * [BlackBox](https://github.com/StackExchange/blackbox) * [Conjur](https://github.com/cyberark/conjur) * [CredStash](https://github.com/fugue/credstash) * [Git Secrets](https://github.com/awslabs/git-secrets) * [Keybase](https://keybase.io) * [Sops](https://github.com/mozilla/sops) * [Transcrypt](https://github.com/elasticdog/transcrypt) * [Vault](https://www.hashicorp.com/blog/vault.html) ## 红队 这些是我们在红队和实战演习期间发现有用的工具。本节中的项目有助于侦察、漏洞利用开发以及杀伤链中常见的其他活动。 * [EyeWitness](https://github.com/ChrisTruncer/EyeWitness) * [Hound](https://github.com/etsy/hound) ## 可视化 面对所有的 API 和命令行工具，发现 DevSecOps 的问题已经够难了。此列表提供了通过流程图、图形或地图将您的工作可视化的工具。 * [Gephi](https://gephi.org) * [ShadowBuster](https://github.com/indeedops/ShadowBuster) * [Wazuh](https://wazuh.com/) ## 分享 一系列帮助分享知识和讲述故事的工具。 * [Gitbook](https://www.gitbook.com) * [Speaker Deck](https://speakerdeck.com) ## ChatOps 您在组织中可以做出的最大改变之一就是无边界沟通。建立 ChatOps 可以让每个人聚在一起解决问题。 * [Gitter](https://gitter.im) * [HipChat](https://hipchat.com) * [MatterMost](https://mattermost.com/) * [Riot](https://riot.im/) * [Slack](https://slack.com)

标签：AD攻击面, Alerting, ChatOps, DevSecOps, Gradle, Hunting, Mutation, 上游代理, 可视化, 威胁情报, 安全仪表盘, 安全培训, 安全工具集, 安全测试, 安全资源列表, 开发者工具, 攻击建模, 攻击性安全, 数据展示, 数据隔离, 漏洞测试, 秘密管理, 红队, 网络安全, 防御加固, 隐私保护