ASOC from scrap. Как реализовать автоматизацию DevSecOps контролей за несколько вечеров, используя OpenSource и LLM
pro100broo только что ASOC from scrap. Как реализовать автоматизацию DevSecOps контролей за несколько вечеров, используя OpenSource и LLM Средний 13 мин 0 DevOps * IT-инфраструктура * Open source * Анализ и...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Вот важная новость с фронта ИИ: pro100broo только что ASOC from scrap. Как реализовать автоматизацию DevSecOps контролей за несколько вечеров, используя OpenSource и LLM Средний 13 мин 0 DevOps * IT-инфраструктура * Open source * Анализ и проектирование систем * Информационная безопасность * Туториал Из песочницы Рубрика: «Очумелые ручки»Привет, Хабр! Сегодня я хочу поделиться своим опытом разработки ASOC платформы.
В статье я расскажу о преимуществах такого решения, затем опишу особенности реализации всех ключевых компонентов. Моя цель показать, что разработка собственных ИБ инструментов сегодня не является сложной задачей и, возможно, вдохновить кого‑то на самостоятельное улучшение практик AppSec и DevSecOps в своей компании. ДисклеймерПрошу внимания.
Технические детали
Идея проекта возникла не на пустом месте. У меня имеется опыт разработки и сопровождения подобной платформы в продуктовой компании на объеме в ~6000 активных репозиториев и большим штатом разработчиков. Я долгое время хотел создать что‑то свое с учетом всех набитых шишек, и вот я здесь)Здесь я не пытаюсь изобрести велосипед и прекрасно осведомлен о существовании таких замечательных решений, как DefectDojo, Qualys и их аналогов.
В данной статье я делюсь своим опытом с теми, кто захочет разработать похожее решение с нуля самостоятельно. На текущий момент я не могу назвать разработанный инструмент production‑ready проектом. Для получения желаемого результата его нужно будет определенным образом «докручивать» в части автоматизации.
Так же я не претендую на истину в последней инстанции, в части архитектурных решений и программной реализации, так как не являюсь сеньорным сеньором. Открыт к любой критике и рекомендациям в комментариях)Почему нам не всегда достаточно pipeline сканированияРисунок 1 — Pipeline securityОдним из важнейших шагов к зрелым AppSec процессам является покрытие OWASP TOP 10 и других видов уязвимостей. К примеру, оставленных в коде секретов, уязвимых версией внешних зависимостей и так далееЗачастую внедрение практик сканирования реализуется через интеграцию DevSecOps сканеров в пайплайн сборки проекта (например, в GitLab).
В некоторых случаях, ответственные специалисты дополнительно кастомизируют выдаваемые отчеты для удобного взаимодействия с рядовыми разработчиками, но на этом, обычно, все заканчивается. Отмечу, что описанная выше реализация, обычно, необходима и достаточна для поддержания определенного уровня безопасности, но пользуясь только ей мы все же лишаемся некоторого важного функционала:Во‑первых мы сразу же теряем из виду Богом забытые (архивные) репозитории. В случае харденинга секретов для доступа к инфраструктуре или личных данных, нам важно, чтобы они было подчищены ВЕЗДЕ.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.
