Inspirado pela trend "awesome-*" no GitHub. Esta é uma coleção de documentos, apresentações, vídeos, materiais de treinamento, ferramentas, serviços e liderança geral que apoiam a missão do DevSecOps. Estes são os blocos de construção e informações essenciais que podem ajudá-lo a organizar um experimento DevSecOps ou a desenvolver seu próprio programa DevSecOps.
Esta lista não será totalmente abrangente e mudará conforme o DevSecOps amadurece. Pretendo que seja uma lista incrível que cresça e mude à medida que a comunidade aprende e aprimora a forma como o DevSecOps é implementado e adotado. Para serem incluídos nesta lista, as informações, ferramentas, fornecedores ou iniciativas devem fornecer recursos gratuitos ou de código aberto que auxiliem na missão DevSecOps.
Abaixo o trecho do manisfesto de DevSecops, onde é compartilhado os pontos que fazem da abordagem uma cultura de apŕoximar a segurança sempre na fase de desenvolvimento de software (SDLC). Peço por gentileza que você leie e aplique no seu dia a dia esse pensamento.
Through Security as Code, we have and will learn that there is simply a better way for security practitioners, like us, to operate and contribute value with less friction. We know we must adapt our ways quickly and foster innovation to ensure data security and privacy issues are not left behind because we were too slow to change.
Many talks are now targeting the change of adding Security into the DevOps environment. I would like to share some of the most expressive talks.
- DevSecOps: Integrating Security in the Development Pipeline.
- Definindo sua pipeline de CI/CD no GitLab com o poderoso Checkov integrado ao Terraform - Amaury.
- Introdução Prática ao OWASP DevSecOps Guideline.
- DevSecOps - Introdução ao Desenvolvimento Seguro - Joas Antonio dos Santos.
- DevSecOps: O Caminho da Segurança Ágil | Daniel Melo.
- KCD Brasil
- OWASP Dependency-Check: analisando vulnerabilidades em packages e bibliotecas de suas aplicações
Listando alguns cursos que eu peguei e são ótimos para você começar na jornada de DevSecOps.
- DevSeOps Fundamentals.
- DevOps Foundations: DevSecOps.
- Roadmap DevSecops.
- DevSecOps com GitHub Actions.
- DevSecOps Tutorial for Beginners | CI Pipeline with GitHub Actions and Docker Scout.
- Web App Vulnerabilities - DevSecOps Course for Beginners.
Alguns livros que eu gostei e ler e que agregaram muito no meu aprendizado e que pode ajudar você na mesma pegada da ideia de DevSecOps.
- DevOpsSec.
- Docker Security.
- Securing DevOps.
- The DevOps Handbook.
- Alice and Bob Learn Application Security.
- Alice and Bob Learn Secure Coding.
Este conjunto de ferramentas é útil para estabelecer uma plataforma DevSecOps. Dividimos as ferramentas em diversas categorias que auxiliam nas diferentes áreas do DevSecOps.
Para dar suporte à segurança como código, credenciais e segredos confidenciais precisam ser gerenciados, protegidos, mantidos e rotacionados usando automação.
Integração Contínua/Implantação Contínua (CI/CD) é um método para entregar aplicativos com frequência aos clientes, introduzindo automação nas etapas de desenvolvimento. CI/CD é uma solução para os problemas que a integração de novo código pode causar às equipes de desenvolvimento e operações.
Inclui também alguns provedores de código fonte que são muito utilizados no mercado como um todo.
Descubra algumas ferramentas DevSecOps para segurança de aplicativos com recursos como varredura de dependências de código aberto, monitoramento em tempo real e correção de vulnerabilidades.
sasasas