Säkerhetspodcasten #250 - DevSecOps
Contents
Lyssna
- mp3, längd: 50:45
Innehåll
I dagens avsnitt diskuterar vi DevSecOps. Vad är det, hur funkar det i teorin och hur kan man införa det i en modern organisation.
Säkerhetspodcasten slog nytt världsrekord i Buzz Words, termer, produktnamn, referenser.
…vad f-n hände egentligen? Jag tror dom andra gjorde full denial of service attack mot min förmåga att skriva show-notes!
DevSecOps
- devsecops.org
- Stora drakar om DevSecOps
Dev Ops, Continous Delivery med mera
-
Adlibris: The Phoenix Project; Gene Kim, Kevin Behr, George Spafford
-
Acceptanstester i Continous Delivery
-
AWS: Testing stages in continuous integration and continuous delivery
- Build pipeline tester:
- Unit Testing
- Static Code Analysis
- Static Application Security Testing (SAST)
- Secrets Detection
- Software Composition Analysis (SCA)
- Software Bill of Materials (SBOM)
- Staging pipeline tester:
- Integration testing
- Component testing
- System testing
- Performance testing
- Compliance testing
- User acceptance testing
- Dynamic Application Security Testing (DAST)
- Build pipeline tester:
Skyddstekniker, produkter
- Falco - övervakning, kunna hitta anamolier i containers, kubernetes, moln.
- sysdig - incidenthantering i molnet.
- Kubernetes: Restrict a Container’s Access to Resources with AppArmor
- Stänga ner åtkomst till operativsystemet
- Stänga ner mount och annat som underlättar exploitering, “container escape”, med mera.
- Kubernetes: Network Policy
- Egress regler
- Ingress regler
- AWS - en liten okänd uppstickare inom molnteknik?
Säkerhetskoncept
- Least Privilege
- CISA: Secure By Design
- CISA: Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default
Containers
- Google: What are Containers? - “Containers are lightweight packages of your application code together with dependencies such as specific versions of programming language runtimes and libraries required to run your software services.”
Serverless
Shift Left
Team Storlek
Förslag:
- 4.6 (Hackman - han måste ju ha rätt om han heter Hackman!?)
- 5 eller färre (Jennifer Mueller)
- 3 till 9 (Scrum)
- 5 till 11 (Scaled Agile Framework)
- 7 magiskt nummer plus minus två: 5 till 9 (Wider accepted number)
Källa:
Enabler teams, stöd teams, stödfunktioner
Full stack!
- W3schools: What is Fullstack?
- Någon som kan frontend
- Någon som kan server
- Någon som kan databas
- ..verkar vara sjukt enkel och utdaterad lista?
- idag skall man ju kunna cloud, Kubernetes, containers, serverless, infrastruktur, nätverk, deployment och gud vet vad för att vara full stack?
Vem bär kostnaden egentligen?
- The Economics of Information Security; Ross Anderson and Tyler Moore. University of Cambridge
- Om hur felaktiga incitament och exernaliserade kostnader kan leda till knasiga beslut :-)
Data-sjöar för loggar…
Det är inte bara säkerhet som har det jobbigt…
Videos om hur microservices, events m.m. ofta är helt feldesignade i “moderna” lösningar;