DevSecOps

DevSecOps

Что такое DevOps

фф

Книги по DevOps

«Книга бизона»: культивирование DevOps-культуры в сообществе разработчиков

Книга бизона (названа так из-за зверя с обложки) — «самое удачное из ныне существующих пособий по формированию корпоративной DevOps-культуры». Чувствуешь, как от этих слов потянуло духом мутных психотренингов, коучинга, тимбилдингов и корпоративных гимнов? Тем не менее почитать ее стоит (если не веришь во всю эту фигню — то хотя бы чтобы знать врага в лицо и быть готовым, когда тебя захотят сделать членом большой и дружной семьи счастливых работников). Впрочем, достаточно критики с позиции рядового члена команды — с точки зрения руководителя (а ведь они нас тоже читают), в этой книге DevOps рассматривается как новый способ мышления и работы, позволяющий формировать «умные команды».

«Умные команды» отличаются от прочих тем, что их члены понимают особенности своего образа мышления и применяют это понимание с пользой для себя и для дела. Такая способность «умных команд» развивается в результате систематической практики ToM (Theory of Mind, наука самоосознания). ToM-компонент DevOps-культуры позволяет распознавать сильные стороны — свои и своих коллег; позволяет улучшать понимание себя и других. В результате способность людей сотрудничать и сопереживать друг другу увеличивается. Организации с развитой DevOps-культурой реже допускают ошибки, быстрее восстанавливаются после сбоев. Сотрудники этих организаций чувствуют себя более счастливо. А счастливые люди, как известно, более продуктивны. Поэтому цель DevOps — выработка взаимопонимания и общих целей, позволяющих установить долговременные и прочные рабочие взаимоотношения между отдельными сотрудниками и целыми департаментами.

DevOps-культура — это своеобразный фреймворк, располагающий к тому, чтобы обмениваться ценным практическим опытом и развивать между сотрудниками сопереживание. DevOps — это культурная ткань, сплетенная из трех нитей: непрерывного выполнения должностных обязанностей, развития профессиональных компетенций и личного самосовершенствования. Эта культурная ткань «обволакивает» как отдельных сотрудников, так и целые департаменты, позволяя им эффективно и непрерывно развиваться в профессиональном и личном плане. DevOps помогает уйти от «старого подхода» (культуры упреков и поиска виноватых) и прийти к «новому подходу» (использование неизбежных ошибок не для порицания, а для извлечения практических уроков). В результате в команде увеличивается прозрачность и доверие — что очень благотворно сказывается на способности членов команды сотрудничать друг с другом.

Таково краткое содержание книги. Теперь можешь встать и спеть свой корпоративный гимн, даже если никто не слышит.

Jennifer Davis, Ryn Daniels. Effective DevOps: Building a Culture of Collaboration, Affinity, and Tooling at Scale. 2016. 410 p.

«Красная книга»: справочник «красноармейца»

В RTFM приведен базовый синтаксис основных инструментов командной строки (для Windows и Linux). Освещаются и оригинальные варианты их использования, в комплексе с такими мощными инструментами, как Python и Windows PowerShell. RTFM будет снова и снова экономить тебе целую кучу времени и сил, избавляя от необходимости вспоминать/искать трудно запоминающиеся нюансы операционной системы, связанные с такими инструментами, как Windows WMIC, инструменты командной строки DSQUERY, значения ключей реестра, синтаксис планировщика Task Scheduler, Windows-скрипты и так далее. Кроме того, что еще более важно, RTFM помогает своему читателю перенять наиболее передовые «красноармейские» техники.

Ben Clark. RTFM: Red Team Field Manual. 2014. 96 p.

Что такое DevSecOps

Книги по DevSecOps

«Желтая паутина»: классическая подборка уязвимостей всемирной паутины

Всего каких-нибудь двадцать лет назад интернет был настолько же простым, насколько и бесполезным. Он представлял собой причудливый механизм, позволяющий небольшой кучке студентов и вундеркиндов посещать домашние странички друг друга. Подавляющее большинство таких страничек было посвящено науке, домашним питомцам и поэзии.

Архитектурные изъяны и недостатки реализации всемирной паутины, с которыми нам приходится мириться сегодня, — плата за историческую непредусмотрительность. Ведь это была технология, которая никогда не стремилась к тому глобальному статусу, который она получила сегодня. В итоге мы имеем очень уязвимую киберинфраструктуру: как выяснилось, стандарты, дизайн и протоколы всемирной паутины, которых было достаточно для домашних страничек с танцующими хомяками, совершенно недостаточно, скажем, для интернет-магазина, который ежегодно обрабатывает миллионы транзакций по кредитным картам.

Оглядываясь на прошлые два десятка лет, трудно не разочароваться: практически каждое сколь-нибудь полезное web-приложение, разработанное до сегодняшнего дня, было вынуждено заплатить кровавую цену за непредусмотрительность вчерашних архитекторов всемирной паутины. Мало того что интернет оказался куда более востребованным, чем это ожидалось, так мы еще и закрывали глаза на отдельные неудобные его характеристики, которые выходили за пределы зоны нашего комфорта. И ладно бы закрывали глаза в прошлом — мы продолжаем закрывать их и сейчас… Более того, даже очень хорошо спроектированные и тщательно проверенные веб-приложения все равно имеют гораздо больше проблем, чем их несетевые собратья.

Итак, мы порядком наломали дров. Пришло время покаяться. В целях такого покаяния эта книга и была написана. Это первая (и на данный момент лучшая в своем роде) книга, которая предоставляет систематический и тщательный анализ текущего (ну как «текущего», это скорее классика — 2012 год. — Прим. ред.) состояния безопасности веб-приложений. Для такого сравнительно небольшого объема текста количество рассмотренных нюансов просто ошеломительное. Более того, инженеры-безопасники, ищущие быстрых решений, порадуются наличию чит-листов, которые можно найти в конце каждого раздела. В этих чит-листах описываются эффективные подходы для решения наиболее злободневных проблем, с которыми сталкивается разработчик веб-приложений.

Michal Zalewski. The Tangled Web: A guide to Securing Modern Web Applications. 2012. 300 p.

«Коричневая книга»: книга «багоборца»

Одна из интереснейших книг, вышедших за последнее десятилетие. Ее посыл можно резюмировать следующими словами: «Дайте человеку эксплоит, и вы сделаете его хакером на один день, научите его эксплуатировать ошибки — и он останется хакером на всю жизнь».

Читая «Дневник багоборца», вы проследуете за практикующим экспертом кибербезопасности, который выявляет ошибки и эксплуатирует их в самых популярных на сегодняшний день приложениях, таких как Apple iOS, VLC-медиаплеер, веб-браузеры и даже ядро Mac OS X.

Читая эту уникальную в своем роде книгу, ты получишь глубокие технические знания и понимание того, какой у хакеров подход к трудноразрешимым проблемам, а также в каком экстазе они находятся в процессе охоты на баги.

Из книги вы узнаете:

  • как пользоваться проверенными временем методами поиска багов, такими как трассировка вводимых пользователем данных и реверс-инжиниринг;
  • как эксплуатировать уязвимости, такие как разыменование NULL-указателей, переполнение буфера, огрехи преобразования типов;
  • как писать код, демонстрирующий наличие уязвимости;
  • как грамотно уведомлять вендоров о выявленных в их софте багах.

«Дневник багоборца» испещрен реальными примерами уязвимого кода и авторскими программами, разработанными для облегчения поиска багов.

Ради какой бы цели вы ни охотились за багами, будь то развлечение, заработок или же альтруистическое стремление сделать мир более безопасным, эта книга поможет развить ценные навыки, поскольку с ее помощью вы заглядываете через плечо профессионала-багоборца, и не только на экран его монитора, но и в его голову. Максимальную отдачу от книги получат те, кто хорошо знаком с языком программирования C/C++ и x86-ассемблером.

Tobias Klein. A Bug Hunter ‘s Diary: A Guided Tour Through the Wilds of Software Security. 2011. 208 p.

«Книга возмездия»: библия безопасной разработки кода

Сегодня любой разработчик софта просто обязан обладать навыками написания безопасного кода. Эта книга вскрывает 24 принципиальных момента, очень некомфортных для разработчиков софта. Некомфортных в том плане, что разработчики практически всегда допускают тут серьезные огрехи. В книге представлены практические советы, каким образом при разработке софта избежать этих огрехов и как протестировать на их наличие уже имеющийся софт, написанный другими людьми. Повествование книги простое, доступное и основательное.

Эта книга будет ценной находкой для любого разработчика, независимо от языка, который он использует. Она будет интересна всем тем, кто заинтересован в разработке качественного, надежного и безопасного кода. В книге наглядно продемонстрированы наиболее распространенные и опасные огрехи сразу для нескольких языков (C++, C#, Java, Ruby, Python, Perl, PHP и другие), а также приведены проверенные временем и хорошо зарекомендовавшие себя техники, позволяющие искупить грехи долгих лет косячного, небезопасного программирования.

Руководители некоторых софтверных компаний используют эту книгу для проведения блиц-тренингов непосредственно перед началом разработки нового софта. Обязывают разработчиков прочитать из этой книги разделы, затрагивающие технологии, с которыми им предстоит иметь дело. Книга разделена на четыре «греховных» раздела, посвященных веб-софту, разработке, криптографии и сетевым проблемам.

Michael Howard, David LeBlanc,‎ John Viega. 24 Deadly Sins of Software Security: Programming Flaws and How to Fix Them. 2010. 394 p.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *