Журнал "Information Security/ Информационная безопасность" #6, 2020

• 51 БЕЗОПАСНАЯ РАЗРАБОТКА www.itsec.ru Спрос на специалистов в области AppSec растет, а следом растет и спрос на тех, кто понимает и умеет применять DevSecOps. Сборник практик по безопасности Cloud Native- приложений Фонд CNCF выпустил сборник лучших практик по части безопас- ности Cloud Native-приложений 1 , рассчитанный на CTO и CISO. Если посмотреть на оглавление документа, можно заметить, что затронуто много вопросов: l SSDL вместе с разными спо- собами тестирования; l защита артефактов; l Run-Time-безопасность; l контроль доступа; l моделирование угроз. И хотя конкретики представ- лено не очень много, документ определенно может стать хоро- шей отправной точкой для быстрого погружения в тему Cloud Native-приложений. Инструменты для оценки надежности проектов Open Source Open Source Security Foundation выпустила набор инструментов под названием Security Scorecard 2 для автоматизации анализа и при- нятия решений об использовании Open Source-проектов на плат- форме GitHub. Security Scorecard выполняет набор проверок, отве- чая, в частности, на вопросы: l присутствует ли в проекте политика безопасности; l использует ли проект стати- ческие анализаторы кода (например, CodeQL); l использует ли проект OSS- Fuzz от Google; l выпускался ли новый релиз и коммит за последние 90 дней; l подписываются ли релизы; l являются ли контрибьюторы членами разных организаций. Результат каждой проверки оце- нивается по десятибалльной шкале, где 0 означает "невозмож- но получить ответ", а 10 – "инстру- мент уверен в результате". CVE Benchmark для сравнения SAST-инструментов OpenSSF также выпустила про- ект OpenSSF CVE Benchmark 3 . Основная цель проекта – сравне- ние инструментов класса SAST при сканировании на реальных кодовых базах, в которых была найдена CVE, до и после патча. CVE Benchmark запускает под- держиваемые SAST-анализато- ры – ESLint, NodeJSScan и CodeQL для различных Оpen Source-проектов, расположенных на GitHub и использующих JavaScript или TypeScript. После сканирования автоматически генерируется сравнительная таб- лица с указанием на выявленные ложные срабатывания. В пла- нах – добавление новых инстру- ментов и поддержка большего количества уязвимостей. Кстати, похожий проект четы- ре года назад делала команда OWASP. Они написали более 2 тыс. тестовых кейсов на Java и запустили для них различные SAST- и DAST-инструменты, включая коммерческие инстру- менты. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репозиторий. Kubernetes Threat Modeling Simulator Kubernetes Threat Modeling Simulator 4 – тестовый стенд, на кото- ром можно попрактико- ваться в реализации различных сценариев атаки и защиты в Kubernetes. Сюда входят атаки на секреты, RBAC (Role-Based Access Control), Etcd и многое другое. В случае, если что-то не получается, можно восполь- зоваться подсказками сервиса. Для получения теоретической базы можно ознакомиться с K8s Attack Tree 5 – это набор сцена- риев различных атак в виде деревьев на базе методологии моделирования угроз STRIDE, а также с известным проектом ATT&CK Matrix Kubernetes 6 . CloudSecDocs Один из замечательных инже- неров, Марко Ланчини, за актив- ностью которого слежу, открыл проект cloudsecdocs.com – это большая Интернет-энциклопе- дия по безопасности облаков. Вот что уже можно в ней про- читать: l Secure SDLC: сканеры, работа с секретами, Compliance as Code, лабы, моделирование угроз, метрики, логирование. l Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим. l Моделирование угроз для Docker и Kubernetes. l Опиcание RBAC. l Описание важных компонен- тов с точки зрения безопасности Kubernetes. l Атаки на контейнеры и пен- тест. l Компоненты AWS и Azure, а также их защита. l Угрозы и методология тести- рования облаков. l Краткий дайджест новинок в области безопасной разработки ир программной разработки стремительно развивается, и его сегмент, представляющий инструменты для контроля и повышения безопасности выпускаемого программного обеспечения, старается не отставать от насущных потребностей рынка. Представляю вашему вниманию дайджест наиболее интересных, с моей точки зрения, событий за последние недели. М Денис Якимов, ведущий телеграм-канала @sec_devops Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://github.com/cncf/sig-security/blob/master/security- whitepaper/CNCF_cloud-native-security-whitepaper-Nov2020.pdf 2 https://github.com/ossf/scorecard 3 https://openssf.org/blog/2020/12/09/introducing-the-openssf- cve-benchmark/ 4 https://github.com/kubernetes-simulator/simulator 5 https://github.com/cncf/financial-user-group/tree/master/pro- jects/k8s-threat-model 6 https://www.microsoft.com/security/blog/2020/04/02/attack- matrix-kubernetes/