hoe ziet het bouwen van een sec dev ops pipeline eruit
welke delen hieronder horen bij het deel plan van het bouwen van een sec dev ops pipeline:
- threat modeling
- secrets management
- securing the CI/CD pipeline
- static application security testing (SAST)
- risk analysis
- security requirements
- secure coding
- software composition analysis
- dynamic application security testing (DAST)
- container scanning
welke delen hieronder horen bij het deel build van het bouwen van een sec dev ops pipeline:
- threat modeling
- secrets management
- securing the CI/CD pipeline
- static application security testing (SAST)
- risk analysis
- security requirements
- secure coding
- software composition analysis
- dynamic application security testing (DAST)
- container scanning
welke delen hieronder horen bij het deel code van het bouwen van een sec dev ops pipeline:
- threat modeling
- secrets management
- securing the CI/CD pipeline
- static application security testing (SAST)
- risk analysis
- security requirements
- secure coding
- software composition analysis
- dynamic application security testing (DAST)
- container scanning
welke delen hieronder horen bij het deel deploy van het bouwen van een sec dev ops pipeline:
- threat modeling
- secrets management
- securing the CI/CD pipeline
- static application security testing (SAST)
- risk analysis
- security requirements
- secure coding
- software composition analysis
- dynamic application security testing (DAST)
- container scanning
welke delen hieronder horen bij het deel release van het bouwen van een sec dev ops pipeline:
- threat modeling
- secrets management
- securing the CI/CD pipeline
- static application security testing (SAST)
- risk analysis
- security requirements
- secure coding
- software composition analysis
- dynamic application security testing (DAST)
- container scanning
security requirements
welke soorten security requirements heb je + plaats deze 5 onderverdelingen bij elke soort:
- OWASP ASVS
- NIST 800-53
- ISF SOG
- OWASP WSTG
- CyFun
security requirements
geef 3 voorbeelden van security requirements
Logging requirements
Authentication requirements (SSO)
Encryption requirements
software composition analysis
wat is software composition analysis
software composition analysis
welke 3 core dingen doet software composition analysis
wat voor soort tools zijn deze:
OWASP dependency-check (free)
OWASP dependency-track (free)
Snyk
Wiz
Black Duck
GitHub dependencies
Software composition analysis tools
container scanning
welke dingen doet container scanning
wat voor soort tools zijn deze:
clair
anchore
dagda
falco
harbor
trivy
container scanning tools
SAST
wat is SAST
SAST (static application security testing) is a frequently used Application Security activity, which scans an application’s source, binary, or byte code. As white-box testing tool, it identifies the root cause of vulnerabilities and helps remediate the underlying security flaws
SAST
aantal voor- en nadelen van SAST
wat voor soort tools zijn deze:
puma security
nodejsscan
spotbugs
SAST tools
DAST
wat is DAST
DAST (dynamic application security testing) is the process of analyzing a web application through the front-end to find vulnerabilities through simulated attacks
DAST
aantal voor- en nadelen van DAST
wat voor soort tools zijn deze:
acunetix
burp suite
OWASP zed attack proxy
DAST tools
securing the CI/CD pipeline
waarom is een niet beveiligde pipeline slecht?
- Pipelines have access to source codes, secrets and deployment tools
- Pipelines offer direct access to production environments
securing the CI/CD pipeline
op welke 6 manieren kan je een pipeline securen
wat voor soort tools zijn deze:
github
jenkins
azure devops
securing the CI/CD pipeline tools
secrets management
wat is secrets management
Secret management allows to safely and securely store secret values and (binary) files such as passwords, tokens, Key files etc. in a central repository. Through Access Control Lists ONLY specific entities can be retrieved or decrypted
secrets management
welke 2 solutions zijn er voor secrets management
