1 of 24

DevSecOps на Open Source:

бурление в стакане

Вацлав Довнар

2 of 24

о коллективе авторов

Вацлав Довнар СитиМобил:

  • 8 лет в ИБ
  • 3 SIEM
  • DevSecOps
  • Пентестер

2

3 of 24

о коллективе авторов

этого доклада не было бы без помощи:

  • Максим Мошаров @httpnotonly - whitespots.io

  • Александр Вознесенский @true_hero - СитиМобил

3

4 of 24

Agenda

  1. 1Day знания и DevSecOps
  2. Скоуп проблем и проектов которые привели к этой презентации
  3. В предыдущих сериях….
  4. Security-пайплайн
  5. Выводы по построению DevSecOps c нуля

4

5 of 24

проблема

5

6 of 24

проблема

6

7 of 24

мой скоуп

7

https://anteelo.com/devsecops-importance-challenges-and-best-practices/

8 of 24

приземляемся

скоуп выступления

In scope

out of scope

  • поиск секретов
  • зависимости
  • линтеры
  • SAST
  • автоматизация

  • DAST
  • K8s security

8

9 of 24

когда ты внутри

Дано:

  • 90+ живых репозиториев
  • 20+ команд
  • 100+ выкаток в неделю
  • сильная степень изменения IT внутри

9

10 of 24

когда ты внутри

Дано:

  • 90+ живых репозиториев
  • 20+ команд
  • 100+ выкаток в неделю
  • сильная степень изменения IT внутри

Порождаемые потребности:

  • простота подключения новых проектов
  • обновление настроек запуска security-тулов
  • добавление тулов
  • тестирование тулов
  • сведение результатов
  • workflow разработчика
  • workflow безопасника

10

11 of 24

в предыдущих сериях

11

12 of 24

в предыдущих сериях

DevSecOps в такси

Видео - is.gd/vatclav1

Презентация: is.gd/vatclav2

12

13 of 24

13

AppSec USA 2015. Источник: OWASP Code Review Guide v2

Опрос: Отношение методов детектирования к основным типам уязвимостей

14 of 24

14

AppSec USA 2015. Источник: OWASP Code Review Guide v2

Опрос: Отношение способов детектирования к уязвимостям по OWASP TOP 10

Injection Acc Cntrl XSS IDOR Misconfig Sens Data Mis ACL CSRF Depndncy Redirects

15 of 24

common security pipeline

public-версия:

github.com/city-mobil/common_security_pipeline

is.gd/vatclav7

реализация в GitLab cloud:

gitlab.com/common_security_pipeline/common_security_pipeline

is.gd/vatslav6

15

16 of 24

common security pipeline:

диаграмма запуска

16

17 of 24

common security pipeline:

диаграмма запуска

17

  • gitleaks
  • trufflehog
  • dependency check
  • gosec
  • phpcs
  • semgrep
  • trivy (todo)

18 of 24

common security pipeline

cat .gitlab-ci.yml

18

19 of 24

common security pipeline

cat .gitlab-ci.yml

19

20 of 24

common security pipeline

cat .gitlab-ci.yml

20

21 of 24

common security pipeline

tree ./

21

22 of 24

common security pipeline

tree ./

22

23 of 24

TODO | выводы по итогу эксплуатации

  • нужно больше динамики:
    • настройки работы отдельных SAST под проект
      • вкл | откл правил
    • консоль | DefectDojo
  • к 15 сентября добавим trivy
  • при определенных условиях Open Source дает хорошие бенефиты
  • покупка космолета для выстраивания процессом - сомнительное дело
  • централизованный пайплайн дает значительные возможности. Количество возможностей все время хочется увеличивать :)

23

24 of 24

Q & A

@edgesec