Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
![Securing Serverless Architectures [Infographics] - DZone Security | Devops for Growth | Scoop.it](https://img.scoop.it/_8kGg-Db4_5OsRDEucaEVTl72eJkfbmt4t8yenImKBVvK0kTmF0xjctABnaLJIm9)
From web threats over IAM principles to auditing and monitoring, learn more about securing serverless architectures in this 2-parter infographic. 
No comment yet.
Sign up to comment
Scoop.it!
Wordpress, Drupal, Joomla, Typo3 sont des CMS (Content Management Systems) qui ont révolutionné le web en permettant de simplement publier du contenu ...A l’occasion de la publication de la version 2021 du référentiel des risques des applications web OWASP Top10, il nous a semblé judicieux de partager...
Mickael Ruau's insight:
Pour ne citer qu’un exemple d’actualité : nous avons récemment détecté une faille de type Cross-Site Request Forgery (CSRF) sur un site Wordpress. Annoncer aux développeurs qu’ils doivent configurer l’attribut SameSite du cookie d’authentification et implémenter un token anti-CSRF aurait probablement fait lever quelques sourcils… Il est préférable de montrer en référence les directives PHP pour ces 2 points (ici et là) et de pointer vers des solutions adaptées à ce CMS (1 et 2 pour la section “commentaires” par exemple). A partir du moment où le code est partagé avec des équipes sécurité spécialistes du développement Web, les chaînes d’intégration et de déploiement (CI/CD) peuvent inclure de nombreux tests de sécurité du code qui seront alors parfaitement exploités . Nous constatons cette tendance pour les entreprises les plus avancées qui s’appuient sur des offres cloud de type PaaS ou Serverless. Nous pouvons même aller encore plus loin : c’est l’équipe sécurité qui s’implique pour appliquer les mesures de correction (mitigation, mise à jour du CMS et de ses modules) et corriger le code qui serait en régression, contre refacturation aux métier afin de matérialiser le poids de la sécurité qui peut atteindre 25% du coût total d’un site web, là où souvent le choix d’un CMS est fait pour des raisons économiques. Et si au final cela n’était pas une façon de parvenir à une tendance récente : "l'introduction de la sécurité dans les projets”.
Scoop.it!
Les systèmes GNU/Linux offrent un grand nombre de combinaisons possibles. Des règles de configuration incontournables, recommandées par l’ANSSI, permettent d’obtenir un système raisonnablement sûr, tout en conservant les fonctionnalités requises, par le respect et l’application de certains principes fondamentaux.
Mickael Ruau's insight:
Le présent guide se concentre principalement sur des directives de configuration système génériques et des principes de bon sens qu’il convient d’appliquer lors du déploiement de services sur un système GNU/Linux. Il revient notamment sur les points suivants :
Ce document est également disponible en anglais. Certaines des versions ci-dessous sont obsolètes et proposées uniquement à des fins d’archivage.
Scoop.it!
Comment faire du security by design dans un projet agile ? Nos retours d'expérience pour bien conduire un atelier Cybersécurité agile ! Via Frederic GOUTH
Scoop.it!
SOPS est un outil en ligne de commande proposé par Mozilla qui permet de chiffrer des fichiers contenant ce qu’on appelle des « secrets », c’est-à-dire pour les développeurs, des clés API, noms d’utilisateurs, mots de passe, ce genre de trucs pour les devOps.
Mickael Ruau's insight:
Grâce à SOPS (Secrets OPerationS) vous pourrez chiffrer des fichiers YAML, JSON, ENV, INI ou encore binaires à l’aide de PGP ou si vous le désirez de AWS KMS (Amazon), GCP KMS (Google Cloud) ou encore Azure Key Vault (Microsoft). Cela vous permettra les « Oups la boulette, j’ai mis le fichier des clés API top secrètes sur le Github public » comme ça arrive environ 1 fois par minute dans le monde. Pour découvrir l’outil, je vous invite à regarder cet épisode de Securing DevOps qui en fait bien le tour.
Scoop.it!
From
dzone
With new data protection laws coming into play, and consumers more aware than ever before of how their privacy is being compromised, there is now a requirement for companies to adopt a compliant DevOps approach. Download this Refcard to discover the best practices to adopt compliant DevOps.
Scoop.it!
If you have a public IP, maximising security is vital if you’re to avoid any threats. In this workshop, Sebastien Meriot and Romain Beeckman provide hands-on demonstrations of how to avoid the attentions of the Abuse service, and also look at how we protect customers in the event of such complaints.
|
Scoop.it!
Why should you learn about the basics of DevSecOps even if you’re not a software developer? The short answer is to improve security at your business or company.
Scoop.it!
L’ANSSI est l'autorité nationale en matière de sécurité et de défense des systèmes d’information. Prévention, protection, réaction, formation et labellisation de solutions et de services pour la sécurité numérique de la Nation.
Scoop.it!
Plus de deux millions de secrets ont été détectés sur GitHub en 2020, soit une augmentation de 20 % par rapport à l’année précédente, selon un nouveau rapport. Il s’avère que 85 % de ces secrets se trouvent dans les dépôts personnels des développeurs, hors du contrôle des entreprises. Le rapport de GitGuardian montre que 15 % des fuites sur GitHub se produisent dans des dépôts publics appartenant à des organisations et 85 % des fuites se produisent dans les dépôt
Scoop.it!
Bien qu’il soit important de sauvegarder votre code dans le contrôle de source, il est tout aussi important que certains actifs de projet soient conservés out de votre référentiel. Certaines données, telles que les blobs binaires et les fichiers de configuration, sont mieux laissées en dehors du contrôle de source pour des raisons de performances et de convivialité. Mais plus important encore, les données sensibles telles que les mots de passe, les clés secrètes et les clés privées ne doivent jamais être archivées dans un référentiel sans protection pour des raisons de sécurité. Dans ce guide, nous allons d’abord parler de la manière de vérifier les données sensibles déjà enregistrées dans votre référentiel et de présenter des stratégies d’atténuation si du matériel est trouvé. Nous aborderons ensuite certains outils et techniques permettant d’empêcher l’ajout de secrets dans les référentiels, les moyens de chiffrer les données sensibles avant de les valider, ainsi que des solutions de rechange pour un stockage sécurisé.
Mickael Ruau's insight:
Vérifier votre référentiel Git pour des données sensiblesAvant de configurer un système pour gérer vos données sensibles, il est judicieux de vérifier si des informations secrètes sont déjà présentes dans vos fichiers de projet. Numérisation de vos projetsSi vous connaissez une chaîne exacte à rechercher, vous pouvez utiliser la fonctionnalité de recherche native de votre outil VCS pour vérifier si la valeur fournie est présente dans les validations. Par exemple, avec + git +, une commande comme celle-ci peut rechercher un mot de passe spécifique: git grep $(git rev-list --all) Ceci recherchera la totalité de l’historique de votre projet pour la chaîne spécifiée.
Scoop.it!
From
dzone
With DevSecOps, you can reach higher security standards while following DevOps principles. This Refcard will show you how to get started with DevSecOps with key themes, crucial steps to begin your journey, and a guide to choosing security tools and technologies to build your DevSecOps pipeline.
Scoop.it!
From
github
The Agile Operations methodology. Contribute to jdumars/agileops development by creating an account on GitHub.
Mickael Ruau's insight:
Note: This is the culmination of years of work managing and optimizing the practice of technical operations groups/DevOps at scale. These are proven tactics and techniques that can be applied across any technical value delivery organization of any size to increase efficiency, satisfaction, and enterprise agility. While I had hoped to write a book on this eventually (see the outline for what that would have looked like), I do not have the time to do so, and yet these topics are extremely relevant especially as the cloud native revolution takes hold. This is not a replacement of DevOps, but instead the overarching framework that DevOps is a part of.
|
