Всем привет!
Рады сообщить вам, что вышло обновление фреймворка DAF! В новом релизе мы
- пересмотрели часть практик и их расположение в уровнях зрелости;
- актуализировали маппинг практик DAF на фреймворк BSIMM;
- обновили Пирамиду зрелости (ex - Кирилламида);
- добавили список документов для организации процессов безопасной разработки с предполагаемыми разделами в каждом из них;
- исправили опечатки, баги.
Также мы будем очень рады, если вы присоединитесь к совершенствованию DAF и станете его котрибьютором.
До встречи в чате 🙂 И пусть вся разработка станет безопасной и чтобы никто не ушел обиженным! (с)
И еще небольшая просьба: если вы используете наш фреймворк в коммерческих целях, в разработке локальных или государственных нормативных актов, в маркетинговых или иных публичных целях, если рассказываете об этом фреймворке в статьях или на конференциях — сообщайте, пожалуйста, нам (например, в чат или просто в почту).
Рады сообщить вам, что вышло обновление фреймворка DAF! В новом релизе мы
- пересмотрели часть практик и их расположение в уровнях зрелости;
- актуализировали маппинг практик DAF на фреймворк BSIMM;
- обновили Пирамиду зрелости (ex - Кирилламида);
- добавили список документов для организации процессов безопасной разработки с предполагаемыми разделами в каждом из них;
- исправили опечатки, баги.
Также мы будем очень рады, если вы присоединитесь к совершенствованию DAF и станете его котрибьютором.
До встречи в чате 🙂 И пусть вся разработка станет безопасной и чтобы никто не ушел обиженным! (с)
И еще небольшая просьба: если вы используете наш фреймворк в коммерческих целях, в разработке локальных или государственных нормативных актов, в маркетинговых или иных публичных целях, если рассказываете об этом фреймворке в статьях или на конференциях — сообщайте, пожалуйста, нам (например, в чат или просто в почту).
GitHub
GitHub - Jet-Security-Team/DevSecOps-Assessment-Framework: DevSecOps Assessment Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
🔥4
Друзья! Возможно, вы заметили, что теперь DAF распространяется под интересной лицензией🍺
И эта лицензия (по нашему собственному желанию) работает и в обратную сторону в виде поощрений контрибьютеров DAF:
Если вы просто посмотрели или применили DAF у себя в компании и нашли в нем то, что можно улучшить или уточнить*, то мы будем рады видеть вас в числе первых контрибьютеров. Пишите о своих идеях в наш чат и отправляйте Pull Request в репозиторий, мы постараемся учесть все ваши комментарии и пожелания, а также обязательно наградим приятными призами**!
*Например, уточнение описания практик, оцениваемые метрики в каждой из практик, предложения по маппингу с другими стандартами или, может быть, вы хотите добавить матрицу компетенций по указанным практикам
**Ни один PR не останется без должного внимания! Команда DAF обязательно наградит вас бокалом пенного (или даже не одним) или угостит чем-нибудь вкусным!
И эта лицензия (по нашему собственному желанию) работает и в обратную сторону в виде поощрений контрибьютеров DAF:
Если вы просто посмотрели или применили DAF у себя в компании и нашли в нем то, что можно улучшить или уточнить*, то мы будем рады видеть вас в числе первых контрибьютеров. Пишите о своих идеях в наш чат и отправляйте Pull Request в репозиторий, мы постараемся учесть все ваши комментарии и пожелания, а также обязательно наградим приятными призами**!
*
**
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7
DAF в формате .md!
Друзья, у нас отличная новость: мы перевели практики DAF, уровни зрелости и маппинг на другие стандарты в формат .md для вашего удобства! Теперь гораздо удобнее делать pull request`ы, если у вас есть желание предложить свои изменения в тексты практик.
И напоминаю, что активное участие в развитии фреймворка обязательно будет вознаграждено! 🙂
Друзья, у нас отличная новость: мы перевели практики DAF, уровни зрелости и маппинг на другие стандарты в формат .md для вашего удобства! Теперь гораздо удобнее делать pull request`ы, если у вас есть желание предложить свои изменения в тексты практик.
И напоминаю, что активное участие в развитии фреймворка обязательно будет вознаграждено! 🙂
GitHub
DevSecOps-Assessment-Framework/DAF.md at main · Jet-Security-Team/DevSecOps-Assessment-Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
🔥4
Forwarded from DevSecOps Talks
Новая версия DAF!
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
GitHub
GitHub - Jet-Security-Team/DevSecOps-Assessment-Framework: DevSecOps Assessment Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
🔥10👍3🥰2
Forwarded from DevSecOps Talks
Знакомьтесь, Шерлок!
Всем привет!
Меня зовут Антон Гаврилов, я один из авторов этого канала. Приятно познакомиться!
Последний год мы вместе с командой работаем над собственной ASOC/ASPM/Иное(мне не очень нравятся эти аббревиатуры 😊) системой, которая получила имя «Шерлок».
В декабре 2024 года был выпущен первый релиз. И мне очень хочется показать его вам и всем, кому это будет интересно!
Если вы:
🍭 Хотите задавать каверзные вопросы
🍭 Хотите посмотреть на-еще-одно-отечественное-ПО
🍭 Продемонстрировать свой скепсис
🍭 Пожать руку, поделиться советом и пожелать удачи
🍭 …
То приходите на вебинар, который будет 13.02, начало в 11:00 (Мск). Да, будет небольшая презентация (для погружения в контекст), а основная часть будет посвящена «живой демонстрации».
Думаю, что на все про всё у нас уйдет часа 1,5. Но! Если вопросов будет много, то задержимся и найдем ответы на все 😊
Спасибо и до встречи!
Антон
P.S. Буду признателен за пересылку приглашения ☺️ Очень хочется узнать ваши мысли относительно того, что мы сделали и продолжаем делать!
Всем привет!
Меня зовут Антон Гаврилов, я один из авторов этого канала. Приятно познакомиться!
Последний год мы вместе с командой работаем над собственной ASOC/ASPM/Иное
В декабре 2024 года был выпущен первый релиз. И мне очень хочется показать его вам и всем, кому это будет интересно!
Если вы:
🍭 Хотите задавать каверзные вопросы
🍭 Хотите посмотреть на-еще-одно-отечественное-ПО
🍭 Продемонстрировать свой скепсис
🍭 Пожать руку, поделиться советом и пожелать удачи
🍭 …
То приходите на вебинар, который будет 13.02, начало в 11:00 (Мск). Да, будет небольшая презентация (для погружения в контекст), а основная часть будет посвящена «живой демонстрации».
Думаю, что на все про всё у нас уйдет часа 1,5. Но! Если вопросов будет много, то задержимся и найдем ответы на все 😊
Спасибо и до встречи!
Антон
P.S. Буду признателен за пересылку приглашения ☺️ Очень хочется узнать ваши мысли относительно того, что мы сделали и продолжаем делать!
❤5🔥4🥰4
Forwarded from DevSecOps Talks
Обновление DevSecOps Assessment Framework (DAF)
Всем привет!
Настала очередь обновления DAF и вот основные изменения нового релиза:
🦴 Появился маппинг DAF на DSOMM
🦴 Появился маппинг DAF на ГОСТ 56939-2024
🦴 Актуализировался маппинг DAF на BSIMM и SAMM
🦴 Появился автомаппинг DAF на PT Table top, SAMM и DSOMM. Работает так: вы заполняете практики в основной вкладке с практиками DAF (Вкладка "Маппинг со стандартами"), а эти же данные, но в разметке PT Table top, SAMM и DSOMM появляются на соответствующих вкладках. Таким образом, проводя аудит по DAF, вы проводите аудит сразу по еще трем другим фреймворкам
🦴 Дополнили вкладку с документами по безопасной разработке - теперь тут есть документы из ГОСТ 56939-2024
🦴 Актуализировали расчет FTE AppSec. Теперь расчеты более приближены к реальности
🦴 Скорректировали текст практик, добавили новые, переместили некоторые практики между уровнями, убрали и добавили новые опечатки
Наш фреймворк становится все более структурированным и комплексным. Качайте новую версию, анализируйте её и свои процессы безопасной разработки!
Как вы можете заметить, бо́льшая часть практик ГОСТ 56939-2024 и PT Table Top есть в DAF. Наш фреймворк вышел в сентябре 2023 года, и если вы ему следовали, то уже соответствуете новому и ГОСТ и Table Top 😉
Мы всегда открыты к обратной связи и ждем новых контрибьюторов!
Всем привет!
Настала очередь обновления DAF и вот основные изменения нового релиза:
🦴 Появился маппинг DAF на DSOMM
🦴 Появился маппинг DAF на ГОСТ 56939-2024
🦴 Актуализировался маппинг DAF на BSIMM и SAMM
🦴 Появился автомаппинг DAF на PT Table top, SAMM и DSOMM. Работает так: вы заполняете практики в основной вкладке с практиками DAF (Вкладка "Маппинг со стандартами"), а эти же данные, но в разметке PT Table top, SAMM и DSOMM появляются на соответствующих вкладках. Таким образом, проводя аудит по DAF, вы проводите аудит сразу по еще трем другим фреймворкам
🦴 Дополнили вкладку с документами по безопасной разработке - теперь тут есть документы из ГОСТ 56939-2024
🦴 Актуализировали расчет FTE AppSec. Теперь расчеты более приближены к реальности
🦴 Скорректировали текст практик, добавили новые, переместили некоторые практики между уровнями, убрали
Наш фреймворк становится все более структурированным и комплексным. Качайте новую версию, анализируйте её и свои процессы безопасной разработки!
Как вы можете заметить, бо́льшая часть практик ГОСТ 56939-2024 и PT Table Top есть в DAF. Наш фреймворк вышел в сентябре 2023 года, и если вы ему следовали, то уже соответствуете новому и ГОСТ и Table Top 😉
Мы всегда открыты к обратной связи и ждем новых контрибьюторов!
GitHub
Release 2025.07.08 · Jet-Security-Team/DevSecOps-Assessment-Framework
Список изменений:
Появился маппинг DAF на DSOMM
Появился маппинг DAF на ГОСТ 56939-2024
Актуализировался маппинг DAF на BSIMM и SAMM
Появился автомаппинг DAF на PT Table top, SAMM и DSOMM. Работае...
Появился маппинг DAF на DSOMM
Появился маппинг DAF на ГОСТ 56939-2024
Актуализировался маппинг DAF на BSIMM и SAMM
Появился автомаппинг DAF на PT Table top, SAMM и DSOMM. Работае...
🔥8❤2🥰2
Регулярная (само)отчетность в канале по работам с DAF.
Привет, друзья! Мы решили сделать этот канал более живым, работу с DAF - более прозрачной и прогнозируемой, а развитие DAF - более структурированным. И, возможно, сподвигнуть небезразличных принять участие в развитии DAF 😉
Для этого раз в 2 недели планируем писать здесь о том
🦴 стратегические планы развития DAF
🦴какие ближайшие задачи по DAF у нас есть
🦴 внесенные изменения, которые мы обсуждаем в рамках еженедельных встреч по DAF (если у вас будет желание участвовать - дайте знать, обязательно вас
подключим)
Если у вас есть какие-либо пожелания или идеи относительно DAF - обязательно пишите нам (можно и в комментариях к постам)!
Stay tuned!
Привет, друзья! Мы решили сделать этот канал более живым, работу с DAF - более прозрачной и прогнозируемой, а развитие DAF - более структурированным. И, возможно, сподвигнуть небезразличных принять участие в развитии DAF 😉
Для этого раз в 2 недели планируем писать здесь о том
🦴 стратегические планы развития DAF
🦴какие ближайшие задачи по DAF у нас есть
🦴 внесенные изменения, которые мы обсуждаем в рамках еженедельных встреч по DAF (если у вас будет желание участвовать - дайте знать, обязательно вас
подключим)
Если у вас есть какие-либо пожелания или идеи относительно DAF - обязательно пишите нам (можно и в комментариях к постам)!
Stay tuned!
👍3🔥2❤1
Промежуточные результаты изменений в DAF
Итак, в продолжение предыдущего поста:
🦴Изменены формулировки практик
-- P-ROLE-RESP-3-1. Теперь это "Разработана и используется RACI-матрица для всего процесса DSO"
-- P-ROLE-RESP-3-2. Теперь это "Постоянный пересмотр и актуализация дорожной карты DevSecOps с учетом бизнес-целей организации и внешних факторов"
🦴Сформирован детальный алгоритм работы с DAF (закрытая часть DAF, нет в github)
🦴Сформирован детальный роадмап по уровням Пирамиды зрелости 1-4 (закрытая часть DAF, нет в github)
Ближайшие и долгосрочные (стратегические) задачи:
🦴Автомаппинг DAF на BSIMM
🦴Маппинг DAF на раздел 7.4 Профиля Защиты ЦБ (ОУД4)
🦴Доделать детальный роадмап для уровней 5-7
🦴Переработать калькулятор FTE DevSecOps специалистов
🦴Перевести DAF на английский язык
🦴Добавить в DAF раздел по MLSecOps
Сроки по задачам мы пока не фиксируем, но рассчитываем, что все они (возможно, кроме перевода на английский язык) будут завершены к концу сентября.
Итак, в продолжение предыдущего поста:
🦴Изменены формулировки практик
-- P-ROLE-RESP-3-1. Теперь это "Разработана и используется RACI-матрица для всего процесса DSO"
-- P-ROLE-RESP-3-2. Теперь это "Постоянный пересмотр и актуализация дорожной карты DevSecOps с учетом бизнес-целей организации и внешних факторов"
🦴Сформирован детальный алгоритм работы с DAF (закрытая часть DAF, нет в github)
🦴Сформирован детальный роадмап по уровням Пирамиды зрелости 1-4 (закрытая часть DAF, нет в github)
Ближайшие и долгосрочные (стратегические) задачи:
🦴Автомаппинг DAF на BSIMM
🦴Маппинг DAF на раздел 7.4 Профиля Защиты ЦБ (ОУД4)
🦴Доделать детальный роадмап для уровней 5-7
🦴Переработать калькулятор FTE DevSecOps специалистов
🦴Перевести DAF на английский язык
🦴Добавить в DAF раздел по MLSecOps
Сроки по задачам мы пока не фиксируем, но рассчитываем, что все они (возможно, кроме перевода на английский язык) будут завершены к концу сентября.
👍5