DevSecOps - 究極の開発SecOpsライブラリ

(Ultimate DevSecOps library)

Created at: 2018-06-28 04:45:44
Language:
License: MIT

究極の開発SecOpsライブラリ

貢献ルール

この知識ライブラリに貢献したい場合は、次の一連のルールに従って、追加する内容を説明する適切なPR(プルリクエスト)を作成してください。

  • PRの明確な説明(どのツール、理由、星の数、成熟度、トピック)
  • シンプルに保つ - 説明を適切に記入してください
  • 感情や個人的な意見よりも事実
  • ソースを追加し、ライブラリスタイルに従います
  • 重複を避ける - 1つのツール、1つのトピック
  • ツールリンクでより大きな更新を行うようにしてください
  • 現在はオープンソースのみ
  • アクティブなプロジェクトのみを追加する
  • セキュリティ ツールのみを追加する
  • タイプミスをPRではなく問題として報告します。

手記:現在、これはライブラリの初期バージョンです。最初の公式リリース後のPRをお勧めします。

DevSecOps ライブラリ情報:

星 ウォッチャー ウォッチャー

このライブラリには、リソースに付随するツールと方法論のリストが含まれています。主な目標は、オープンソースのDevSecOpsツールを通じてエンジニアにガイドを提供することです。このリポジトリは、クラウドとDevSecOpsスコープのサイバーセキュリティのみをカバーしています。

目次

DevSecOps とは

DevSecOps は、DevOps - リリース - SDLC サイクル中のセキュリティの自動化、テスト、および適用に重点を置いています。この方法論の背後にある全体的な意味は、開発、セキュリティ、および運用を結び付けることです。DevSecOpsは、主に開発者/セキュリティの経験に焦点を当てたツールに裏打ちされたさまざまな方法、手法、およびプロセスを提供する方法論です。

DevSecOpsは、セキュリティがDevOpsループのすべての段階(計画、コーディング、ビルド、テスト、リリース、デプロイ、運用、監視)の一部であるように注意します。

さまざまな定義:

ツーリング

コミット前時間ツール

このセクションでは、ライフサイクル ヘルパー、プリコミット フック ツール、脅威モデリング ツールについて説明します。脅威モデリング ツールはそれ自体が特定のカテゴリであり、ソフトウェアの開発を開始する前またはプロセス中に潜在的なギャップをシミュレートして検出できます。

最新の DevSecOps ツールを使用すると、脅威モデリングをコードとして使用したり、既存のコード注釈に基づいて脅威モデルを生成したりできます。

名前 リンク 説明: __________ メタ
git-secrets https://github.com/awslabs/git-secrets シークレットを git リポジトリにコミットできないようにする AWS ラボツール Git シークレット
ギットハウンド https://github.com/tillson/git-hound gitの検索者の秘密 ギットハウンド
ゴSDL https://github.com/slackhq/goSDL セキュリティ開発ライフサイクルのチェックリスト ゴSDL
脅威プレイブック https://github.com/we45/ThreatPlaybook コードとしての脅威モデリング ギットリークス
脅威ドラゴン https://github.com/OWASP/threat-dragon OWASP 脅威モデリング ツール 脅威ドラゴン
脅威スペック https://github.com/threatspec/threatspec コードとしての脅威モデリング 脅威スペック
ティッカー https://github.com/izar/pytm 脅威モデリングのための Python フレームワーク ティッカー
スレジャイル https://github.com/Threagile/threagile 脅威モデリングのための Go フレームワーク スレジャイル
マルラン https://mal-lang.org/#what 特定のドメイン向けのサイバー脅威モデリングシステムを作成するための言語 マル
マイクロソフト脅威モデリング ツール https://docs.microsoft.com/en-us/azure/security/develop/threat-modeling-tool マイクロソフトの脅威モデリング ツール MS 脅威モデリング ツール
タリスマン https://github.com/thoughtworks/talisman シークレットを検出してチェックインされないようにするツール タリスマン
鎮静 https://github.com/OWASP/SEDATED SEDATED® プロジェクト (開示を排除するための機密エンタープライズ データ アナライザー) は、ユーザーの資格情報やトークンなどの機密データが Git にプッシュされるのを防ぐことに重点を置いています。 タリスマン
ソナリント https://github.com/SonarSource/sonarlint-core IDE用のソナーリンティングユーティリティ ソナリント
デヴスキム https://github.com/microsoft/DevSkim DevSkim は、インライン セキュリティ分析を提供する IDE 拡張機能と言語アナライザーのフレームワークです。 デヴスキム
シークレットの検出 https://github.com/Yelp/detect-secrets コードベース内のシークレットを検出します デヴスキム
トリント https://github.com/terraform-linters/tflint プラグ可能なテラフォームリンター トリント

シークレット管理

シークレット管理には、管理、バージョン管理、暗号化、検出、ローテーション、パスワード、証明書、構成値、およびその他の種類のシークレットのプロビジョニングが含まれます。

名前 リンク 説明: __________ メタ
ギットリークス https://github.com/zricethezav/gitleaks Gitleaksは、ハードコードされたシークレットを検出するためのスキャンツールです ギットリークス
グシールド https://github.com/gitguardian/ggshield GitGuardianシールド(ggshield)は、ローカル環境またはCI環境で実行されるCLIアプリケーションであり、350 +種類以上のシークレットと機密ファイルを検出するのに役立ちます。 グシールド
トリュフ豚 https://github.com/trufflesecurity/truffleHog TruffleHogは、ハードコードされたシークレットを検出するためのスキャンツールです トリュフ豚
ハシコープボールト https://github.com/hashicorp/vault ハシコープボールトシークレット管理 ボールト
Mozilla SOPS https://github.com/mozilla/sops Mozilla Secrets Operations ソップス
AWS シークレットマネージャーの GH アクション https://github.com/marketplace/actions/aws-secrets-manager-actions AWS シークレットマネージャーのドキュメント AWS シークレットマネージャーアクション
ギトロブ https://github.com/michenriksen/gitrob Gitrobは、Githubのパブリックリポジトリにプッシュされた潜在的に機密性の高いファイルを見つけるのに役立つツールです ギトロブ
ギットワイルドハント https://github.com/d1vious/git-wild-hunt GitHub で資格情報を探すためのツール ギットワイルドハント
aws-vault https://github.com/99designs/aws-vault AWS Vault は、開発環境で AWS 認証情報を安全に保存してアクセスするためのツールです。 aws-vault
ノックス https://github.com/pinterest/knox Knoxは、他のサービスで使用されるシークレット、キー、およびパスワードを保存およびローテーションするためのサービスです ノックス
シェフボールト https://github.com/chef/chef-vault Chefデータバッグアイテムを暗号化できます シェフボールト
Ansible Vault アンシブルボールトのドキュメント Ansibleデータファイルの暗号化/復号化ユーティリティ Ansible Vault

OSS と依存関係の管理

依存関係のセキュリティテストと分析は、サプライチェーン攻撃を検出する上で非常に重要な部分です。SBOM の作成とそれに続く依存関係スキャン (ソフトウェア コンポジション分析) は、継続的インテグレーション (CI) の重要な部分です。データ系列とデータ傾向の追跡は、CI ツールの一部である必要があります。ライブラリとパッケージのコンテキストで何を生成し、何を消費するかを知る必要があります。

名前 リンク 説明: __________ メタ
サイクロンDX https://github.com/orgs/CycloneDX/repositories SBOMのサイクロンDXフォーマット サイクロンDX
ティッカー https://github.com/AppThreat/cdxgen サイクロンDXSBOMを生成し、多くの言語とパッケージマネージャーをサポートします。 サイクロンDX
ティッカー https://github.com/spdx/spdx-spec SBOMのSPDXフォーマット-ソフトウェアパッケージデータ交換 SpDX
スニク https://github.com/snyk/snyk Snykは、プロジェクトのセキュリティの脆弱性をスキャンして監視します スニク
ヴァルンコスト https://github.com/snyk/vulncost VSコード用のセキュリティスキャナー ヴァルンコスト
依存関係コンボビュレータ https://github.com/apiiro/combobulator ヒューリスティックと分析情報エンジンによる依存関係関連の攻撃の検出と防止 (複数の依存関係スキームをサポート) コンボビュレーター
依存関係トラック https://github.com/DependencyTrack/dependency-track 依存関係セキュリティ追跡プラットフォーム 依存関係トラック
依存関係チェック https://github.com/jeremylong/DependencyCheck CIに適したシンプルな依存関係セキュリティスキャナー 依存関係チェック
引退.js https://github.com/retirejs/retire.js/ 開発者が既知の脆弱性を持つJSライブラリバージョンの使用を検出するのに役立ちます 引退.js
PHPセキュリティチェッカー https://github.com/fabpot/local-php-security-checker PHPの依存関係の脆弱性をチェックする 引退.js
バンドラー監査 https://github.com/rubysec/bundler-audit バンドラーのパッチレベルの検証 バンドラー監査
ゲムナジウム https://gitlab.com/gitlab-org/security-products/analyzers/gemnasium Gemnasiumに基づく依存性スキャンアナライザー
ディペンダボット https://github.com/dependabot/dependabot-core セキュリティアラートを提供するGitHubに組み込まれた自動依存関係の更新 ディペンダボット
リノベートボット https://github.com/renovatebot/renovate 依存関係の更新、パッチのマルチプラットフォームおよび多言語 リノベートボット
npm-check https://www.npmjs.com/package/npm-check 古い依存関係、正しくない依存関係、未使用の依存関係を確認します。 npm-check

サプライチェーン固有のツール

サプライチェーンはしばしば攻撃の標的になります。どのライブラリを使用するかは、最終製品 (成果物) のセキュリティに大きな影響を与える可能性があります。CI (継続的インテグレーション) は、パイプライン ステップのタスクとジョブ内で監視する必要があります。整合性チェックはシステムから保存する必要があり、理想的な場合には、整合性ハッシュ/または構成証明の比較を伴ういくつかの検証実行を実行する必要があります。

名前 リンク 説明: __________ メタ
テクトンチェーン https://github.com/tektoncd/chains Tektonでサプライチェーンのセキュリティを管理できるKubernetesカスタムリソース定義(CRD)コントローラー。 鎖
イントト https://github.com/in-toto/attestation/tree/v0.1.0/spec to-to-to構成証明は、1つ以上のソフトウェアアーティファクトに関する認証済みメタデータです イントト
ティッカー 公式 GitHub リンク ソフトウェアアーティファクトのサプライチェーンレベル ティッカー
クリティス https://github.com/grafeas/kritis Kubernetes アプリのソフトウェア サプライ チェーンを保護するためのソリューション クリティス
批准する https://github.com/deislabs/ratify アーティファクト批准フレームワーク 批准する

サスト

ソースコードを操作し、メソッド、変数、クラス、ライブラリの既知のパターンと関係を探す静的コードレビューツール。SASTは生のコードで動作し、通常はビルドパッケージでは機能しません。

名前 リンク 説明: __________ メタ
ブレーキマン https://github.com/presidentbeef/brakeman Brakeman は Ruby on Rails アプリケーションのセキュリティ脆弱性をチェックする静的解析ツールです。 ブレーキマン
セムグレップ https://semgrep.dev/ 高品質のオープンソース、17 +言語で動作します セムグレップ
山賊 https://github.com/PyCQA/bandit Python 固有の SAST ツール 山賊
リブサスト https://github.com/ajinabraham/libsast セキュリティエンジニア向けの汎用SASTです。正規表現ベースのパターンマッチャーとセマンティック対応のセムグレップを搭載 リブサスト
ESLint https://eslint.org/ JavaScript コードの問題を見つけて修正する
ノードスキャン https://github.com/ajinabraham/nodejsscan GUI 付き NodeJs SAST スキャナー NodeJSscan
検索セキュリティバグ https://find-sec-bugs.github.io/ Java ウェブアプリケーションのセキュリティ監査のための SpotBugs プラグイン 検索セキュリティバグ
ソナーキューブコミュニティ https://github.com/SonarSource/sonarqube 静的アプリケーション・セキュリティ・テスト(SAST)によるコード・レビューでセキュリティ問題の検出 ソナーキューブ
ゴセック https://github.com/securego/gosec Go AST をスキャンして、ソース コードのセキュリティ問題を検査します。 ソナーキューブ

手記:Semgrepは無料のCLIツールですが、一部のルールセット(https://semgrep.dev/r)にはさまざまなライセンスがあり、一部は無料で使用でき、商用にすることができます。

OWASPが厳選したSASTツールのリスト:https://owasp.org/www-community/Source_Code_Analysis_Tools

ダスト

動的アプリケーション・セキュリティ・テスト(DAST)は、アプリケーション・テストの一種(ほとんどの場合Web)であり、注入された入力に基づいて応答のアクティブな通信と分析を行うことにより、外部からアプリケーションをチェックします。DASTツールは、入力と出力に依存して動作します。DASTツールは、これらを使用して、ソフトウェアが実際に実行され、サーバー(またはサーバーレス機能)にアクティブにデプロイされている間に、セキュリティの問題をチェックします。

名前 リンク 説明: __________ メタ
ザッププロキシ https://owasp.org/www-project-zap/ CI / CDパイプライン用のさまざまなドッカーコンテナを提供するZapプロキシ 殺す
ワピティ https://github.com/wapiti-scanner/wapiti ライトパイプライン対応スキャンツール ワピティ
https://github.com/projectdiscovery/nuclei テンプレートベースのセキュリティスキャンツール 核
パープルチーム https://github.com/purpleteam-labs/purpleteam CLI DAST ツールインキュベータープロジェクト パープルチーム
オスファズ https://github.com/google/oss-fuzz OSS-Fuzz: オープンソースソフトウェアのための連続ファジング オスファズ
ニクト https://github.com/sullo/nikto ニクトウェブサーバースキャナー ニクト
スキップフィッシュ https://code.google.com/archive/p/skipfish/ スキップフィッシュはアクティブなWebアプリケーションセキュリティ偵察ツールです スキップフィッシュ

継続的デプロイのセキュリティ

名前 リンク 説明: __________ メタ
セキュアコードボックス https://github.com/secureCodeBox/secureCodeBox アプリケーションとインフラストラクチャを継続的にスキャンするためのツールチェーン ティッカー
オープンスキャップ https://github.com/OpenSCAP/openscap オープンソースのセキュリティコンプライアンスソリューション オスキャップ
脅威マッパー https://github.com/deepfence/ThreatMapper ThreatMapperは、本番プラットフォームの脆弱性を探し出し、エクスプロイトのリスクに基づいてこれらの脆弱性をランク付けします。 キューブハンター

Kubernetes

名前 リンク 説明: __________ メタ
クビスカン https://github.com/cyberark/KubiScan Kubernetes クラスターをスキャンして危険なアクセス許可を検出するためのツール クビスカン
クベ監査 https://github.com/Shopify/kubeaudit さまざまなセキュリティ上の懸念についてKubernetesクラスターを監査する 久部監査
クブエスケープ https://github.com/armosec/kubescape KubernetesがNSA-CISAとMITRE ATT&CK®に従って展開されているかどうかをテストするための最初のオープンソースツール。 クブエスケープ
クベセック https://github.com/controlplaneio/kubesec Kubernetes リソースのセキュリティ リスク分析 クベセック
クベベンチ https://github.com/aquasecurity/kube-bench Kubernetes ベンチマーク ツール クビスカン
神戸スコア https://github.com/zegl/kube-score Kubernetes オブジェクト定義の静的コード分析 神戸スコア
キューブハンター https://github.com/aquasecurity/kube-hunter k8s用アクティブスキャナー(紫) キューブハンター
更紗 https://github.com/projectcalico/calico Calicoは、コンテナ用のオープンソースネットワーキングおよびネットワークセキュリティソリューションです 更紗
キヴェルノ https://github.com/kyverno/kyverno/ KyvernoはKubernetes用に設計されたポリシーエンジンです キヴェルノ
クレーン https://github.com/appvia/krane シンプルな Kubernetes RBAC 静的分析ツール クレイン
右舷 https://github.com/aquasecurity/starboard スターボードは、Kubernetes CRDへの出力によってセキュリティツールを組み込みます 右舷
https://github.com/open-policy-agent/gatekeeper k8sのオープンポリシーエージェントゲートキーパー 閽
インスペクターガジェット https://github.com/kinvolk/inspektor-gadget k8をデバッグおよび検査するためのツール(またはガジェット)のコレクション インスペクター
クベリンター https://github.com/stackrox/kube-linter Kubernetes の静的分析 クベリンター
ミズアピトラフィックビューア https://github.com/up9inc/mizu Kubernetes 用のシンプルでありながら強力な API トラフィック ビューアーを使用すると、マイクロサービス間のすべての API 通信を表示して、回帰のデバッグとトラブルシューティングに役立てることができます。 GitHub の星
ヘルムスニク https://github.com/snyk-labs/helm-snyk Snyk 用の Helm プラグインは、イメージをテストするためのサブコマンドを提供します。 GitHub の星
クベワルデン https://github.com/orgs/kubewarden/repositories SUSEからのkubernetesのコードとしてのポリシー。 GitHub の星
Kubernetes-sigs BOM https://github.com/kubernetes-sigs/bom Kubernetes BOM ジェネレーター GitHub の星
カプセル https://github.com/clastix/capsule Kubernetes 向けのマルチテナントおよびポリシーベースのフレームワーク GitHub の星
バッドロボット https://github.com/controlplaneio/badrobot BadrobotはKubernetes Operatorの監査ツールです。 GitHub の星

コンテナー

名前 リンク 説明: __________ メタ
https://github.com/goharbor/harbor 信頼できるクラウドネイティブレジストリプロジェクト 港
アンカレ https://github.com/anchore/anchore-engine コンテナイメージの検査、分析、認証のための一元化されたサービス アンカレ
クレア https://github.com/quay/clair ドッカー脆弱性スキャナー クレア
ディープフェンス脅威マッパー https://github.com/deepfence/ThreatMapper Apache v2、kubernetes、仮想マシン、サーバーレス向けの強力なランタイム脆弱性スキャナー。 脅威マッパー
ドッカーベンチ https://github.com/docker/docker-bench-security CISに対するDockerベンチマーク ドッカーベンチ
ファルコ https://github.com/falcosecurity/falco コンテナーのランタイム保護 ファルコ
トリビー https://github.com/aquasecurity/trivy コンテナイメージの脆弱性に対する包括的なスキャナー トリビー
公証人 https://github.com/notaryproject/notary ドッカー署名 公証人
連署 https://github.com/sigstore/cosign コンテナーの署名 連署
望楼 https://github.com/containrrr/watchtower コンテナー化されたアプリの実行中のバージョンを更新します 望楼

マルチクラウド

名前 リンク 説明: __________ メタ
クラウドスプロイト https://github.com/aquasecurity/cloudsploit クラウドインフラストラクチャのセキュリティリスクの検出 クラウドスプロイト
ScoutSuite https://github.com/nccgroup/ScoutSuite NCCgroup mutlicloud scanning tool ScoutSuite
CloudCustodian https://github.com/cloud-custodian/cloud-custodian/ Multicloud security analysis framework CloudCustodian
CloudGraph https://github.com/cloudgraphdev/cli GraphQL API + Security for AWS, Azure, GCP, and K8s CloudGraph

AWS

AWS specific DevSecOps tooling. Tools here cover different areas like inventory management, misconfiguration scanning or IAM roles and policies review.

Name URL Description Meta
Dragoneye https://github.com/indeni/dragoneye Dragoneye Indeni AWS scanner Dragoneye
Prowler https://github.com/toniblyx/prowler Prowler is a command line tool that helps with AWS security assessment, auditing, hardening and incident response. Prowler
aws-inventory https://github.com/nccgroup/aws-inventory Helps to discover all AWS resources created in an account aws-inventory
PacBot https://github.com/tmobile/pacbot Policy as Code Bot (PacBot) pacbot
Komiser https://github.com/mlabouardy/komiser Monitoring dashboard for costs and security komiser
Cloudsplaining https://github.com/salesforce/cloudsplaining IAM analysis framework cloudsplaining
ElectricEye https://github.com/jonrau1/ElectricEye Continuously monitor your AWS services for configurations ElectricEye
Cloudmapper https://github.com/duo-labs/cloudmapper CloudMapper helps you analyze your Amazon Web Services (AWS) environments cloudmapper
cartography https://github.com/lyft/cartography Consolidates AWS infrastructure assets and the relationships between them in an intuitive graph cartography
policy_sentry https://github.com/salesforce/policy_sentry IAM Least Privilege Policy Generator policycentry
AirIAM https://github.com/bridgecrewio/AirIAM IAM Least Privilege anmalyzer and Terraformer AirIam
StreamAlert https://github.com/airbnb/streamalert AirBnB serverless, real-time data analysis framework which empowers you to ingest, analyze, and alert StreamAlert
CloudQuery https://github.com/cloudquery/cloudquery/ AirBnB serverless, real-time data analysis framework which empowers you to ingest, analyze, and alert CloudQuery
S3Scanner https://github.com/sa7mon/S3Scanner/ A tool to find open S3 buckets and dump their contents S3Scanner
aws-iam-authenticator https://github.com/kubernetes-sigs/aws-iam-authenticator/ A tool to use AWS IAM credentials to authenticate to a Kubernetes cluster authenticator
kube2iam https://github.com/jtblin/kube2iam/ A tool to use AWS IAM credentials to authenticate to a Kubernetes cluster kube2iam
AWS open source security samples Official AWS opensource repo Collection of official AWS open-source resources Amazon AWS
AWS Firewall factory Globaldatanet FMS automation Deploy, update, and stage your WAFs while managing them centrally via FMS Globaldatanet Firewall factory
Parliment Parliment Parliament is an AWS IAM linting library IAM linting
Yor Yor Adds informative and consistent tags across infrastructure-as-code frameworks such as Terraform, CloudFormation, and Serverless Yor

Google cloud platform

GCP specific DevSecOps tooling. Tools here cover different areas like inventory management, misconfiguration scanning or IAM roles and policies review.

Name URL Description Meta
Forseti https://github.com/forseti-security/forseti-security Complex security orchestration and scanning platform Forseti

Policy as code

Policy as code is the idea of writing code in a high-level language to manage and automate policies. By representing policies as code in text files, proven software development best practices can be adopted such as version control, automated testing, and automated deployment. (Source: https://docs.hashicorp.com/sentinel/concepts/policy-as-code)

Name URL Description Meta
Open Policy agent https://github.com/open-policy-agent/opa General-purpose policy engine that enables unified, context-aware policy enforcement across the entire stack OPA
Inspec https://github.com/inspec/inspec Chef InSpec is an open-source testing framework for infrastructure with a human- and machine-readable language for specifying compliance, security and policy requirements. Inspec
Cloud Formation guard https://github.com/aws-cloudformation/cloudformation-guard Cloud Formation policy as code cf-guard

Chaos engineering

Chaos Engineering is the discipline of experimenting on a system in order to build confidence in the system’s capability to withstand turbulent conditions in production.

Reading and manifestos: https://principlesofchaos.org/

Name URL Description Meta
chaos-mesh https://github.com/chaos-mesh/chaos-mesh It is a cloud-native Chaos Engineering platform that orchestrates chaos on Kubernetes environments Chaos mesh
Chaos monkey https://netflix.github.io/chaosmonkey/ Chaos Monkey is responsible for randomly terminating instances in production to ensure that engineers implement their services to be resilient to instance failures. Chaos monkey
Chaos Engine https://thalesgroup.github.io/chaos-engine/ The Chaos Engine is a tool that is designed to intermittently destroy or degrade application resources running in cloud based infrastructure. These events are designed to occur while the appropriate resources are available to resolve the issue if the platform fails to do so on it's own. Chaos Engine
chaoskube https://github.com/linki/chaoskube Test how your system behaves under arbitrary pod failures. chaoskube
Kube-Invaders https://github.com/lucky-sideburn/KubeInvaders Gamified chaos engineering tool for Kubernetes chaoskube
kube-monkey https://github.com/asobti/kube-monkey Gamified chaos engineering tool for Kubernetes kube-monkey
Gremlin https://github.com/gremlin/gremlin-python Chaos enginnering SaaS platform with free plan and some open source libraries Gremlin
AWS FIS samples https://github.com/aws-samples/aws-fault-injection-simulator-samples AWS Fault injection simulator samples AWS
CloudNuke https://github.com/gruntwork-io/cloud-nuke CLI tool to delete all resources in an AWS account CloudNuke

Infrastructure as code security

Scanning your infrastructure when it is only code helps shift-left the security. Many tools offer in IDE scanning and providing real-time advisory do Cloud engineers.

Name URL Description Meta
KICS https://github.com/Checkmarx/kics Checkmarx security testing opensource for IaC Checkmarx
Checkov https://github.com/bridgecrewio/checkov Checkov is a static code analysis tool for infrastructure-as-code Checkov
tfsec https://github.com/aquasecurity/tfsec tfsec uses static analysis of your terraform templates to spot potential security issues. Now with terraform CDK support tfsec
terrascan https://github.com/accurics/terrascan Terrascan is a static code analyzer for Infrastructure as Code terrascan
cfsec https://github.com/aquasecurity/cfsec cfsec scans CloudFormation configuration files for security issues cfsec
cfn_nag https://github.com/stelligent/cfn_nag Looks for insecure patterns in CloudFormation cfnag
Sysdig IaC scanner action https://github.com/sysdiglabs/cloud-iac-scanner-action Scans your repository with Sysdig IAC Scanner and report the vulnerabilities. sysdig iac scanner

Orchestration

Event driven security help to drive, automate and execute tasks for security processes. The tools here and not dedicated security tools but are helping to automate and orchestrate security tasks or are part of most modern security automation frameworks or tools.

Name URL Description Meta
StackStorm https://github.com/StackStorm/st2 Platform for integration and automation across services and tools supporting event driven security StackStorm
Camunda https://github.com/camunda/camunda-bpm-platform Workflow and process automation Camunda
DefectDojo https://github.com/DefectDojo/django-DefectDojo Security orchestration and vulnerability management platform DefectDojo
Faraday https://github.com/infobyte/faraday Security suite for Security Orchestration, vulnerability management and centralized information Faraday

Methodologies, whitepapers and architecture

List of resources worth investigating:

AWS DevOps whitepapers:

AWS blog:

Microsoft whitepapers:

GCP whitepapers:

その他 __________

以前のカテゴリに当てはまらない他のリンクとリソースは次のとおりです。彼らは時間内に複数のカテゴリーを満たすか、あなたの学習を助けることができます。

名前 リンク 説明: __________ メタ
自動セキュリティ ヘルパー (ASH) https://github.com/aws-samples/automated-security-helper ASHはセキュリティスキャナーのワンストップショップであり、インストールは必要ありません。さまざまなフレームワークを識別し、関連する最新のツールをダウンロードします。ASHは分離されたDockerコンテナで実行され、単一の集計レポートでユーザー環境をクリーンに保ちます。次のフレームワークがサポートされています: Git、Python、Javascript、Cloudformation、Terraform、Jupyter Notebooks。 灰
モバイルセキュリティフレームワーク https://github.com/MobSF/Mobile-Security-Framework-MobSF SAST、DAST、モバイルアプリ用侵入テストツール モブSF

トレーニング-https://www.practical-devsecops.com/devsecops-university/

DevSecOps ビデオ - Hackitect playground

ライセンス

MITライセンス

マレク・ショットル (c) 2022