Всем привет!
Рады сообщить вам, что вышло обновление фреймворка DAF! В новом релизе мы
- пересмотрели часть практик и их расположение в уровнях зрелости;
- актуализировали маппинг практик DAF на фреймворк BSIMM;
- обновили Пирамиду зрелости (ex - Кирилламида);
- добавили список документов для организации процессов безопасной разработки с предполагаемыми разделами в каждом из них;
- исправили опечатки, баги.
Также мы будем очень рады, если вы присоединитесь к совершенствованию DAF и станете его котрибьютором.
До встречи в чате 🙂 И пусть вся разработка станет безопасной и чтобы никто не ушел обиженным! (с)
И еще небольшая просьба: если вы используете наш фреймворк в коммерческих целях, в разработке локальных или государственных нормативных актов, в маркетинговых или иных публичных целях, если рассказываете об этом фреймворке в статьях или на конференциях — сообщайте, пожалуйста, нам (например, в чат или просто в почту).
Рады сообщить вам, что вышло обновление фреймворка DAF! В новом релизе мы
- пересмотрели часть практик и их расположение в уровнях зрелости;
- актуализировали маппинг практик DAF на фреймворк BSIMM;
- обновили Пирамиду зрелости (ex - Кирилламида);
- добавили список документов для организации процессов безопасной разработки с предполагаемыми разделами в каждом из них;
- исправили опечатки, баги.
Также мы будем очень рады, если вы присоединитесь к совершенствованию DAF и станете его котрибьютором.
До встречи в чате 🙂 И пусть вся разработка станет безопасной и чтобы никто не ушел обиженным! (с)
И еще небольшая просьба: если вы используете наш фреймворк в коммерческих целях, в разработке локальных или государственных нормативных актов, в маркетинговых или иных публичных целях, если рассказываете об этом фреймворке в статьях или на конференциях — сообщайте, пожалуйста, нам (например, в чат или просто в почту).
GitHub
GitHub - Jet-Security-Team/DevSecOps-Assessment-Framework: DevSecOps Assessment Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
🔥4
Друзья! Возможно, вы заметили, что теперь DAF распространяется под интересной лицензией🍺
И эта лицензия (по нашему собственному желанию) работает и в обратную сторону в виде поощрений контрибьютеров DAF:
Если вы просто посмотрели или применили DAF у себя в компании и нашли в нем то, что можно улучшить или уточнить*, то мы будем рады видеть вас в числе первых контрибьютеров. Пишите о своих идеях в наш чат и отправляйте Pull Request в репозиторий, мы постараемся учесть все ваши комментарии и пожелания, а также обязательно наградим приятными призами**!
*Например, уточнение описания практик, оцениваемые метрики в каждой из практик, предложения по маппингу с другими стандартами или, может быть, вы хотите добавить матрицу компетенций по указанным практикам
**Ни один PR не останется без должного внимания! Команда DAF обязательно наградит вас бокалом пенного (или даже не одним) или угостит чем-нибудь вкусным!
И эта лицензия (по нашему собственному желанию) работает и в обратную сторону в виде поощрений контрибьютеров DAF:
Если вы просто посмотрели или применили DAF у себя в компании и нашли в нем то, что можно улучшить или уточнить*, то мы будем рады видеть вас в числе первых контрибьютеров. Пишите о своих идеях в наш чат и отправляйте Pull Request в репозиторий, мы постараемся учесть все ваши комментарии и пожелания, а также обязательно наградим приятными призами**!
*
**
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7
DAF в формате .md!
Друзья, у нас отличная новость: мы перевели практики DAF, уровни зрелости и маппинг на другие стандарты в формат .md для вашего удобства! Теперь гораздо удобнее делать pull request`ы, если у вас есть желание предложить свои изменения в тексты практик.
И напоминаю, что активное участие в развитии фреймворка обязательно будет вознаграждено! 🙂
Друзья, у нас отличная новость: мы перевели практики DAF, уровни зрелости и маппинг на другие стандарты в формат .md для вашего удобства! Теперь гораздо удобнее делать pull request`ы, если у вас есть желание предложить свои изменения в тексты практик.
И напоминаю, что активное участие в развитии фреймворка обязательно будет вознаграждено! 🙂
GitHub
DevSecOps-Assessment-Framework/DAF.md at main · Jet-Security-Team/DevSecOps-Assessment-Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
🔥4
Forwarded from DevSecOps Talks
Новая версия DAF!
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
GitHub
GitHub - Jet-Security-Team/DevSecOps-Assessment-Framework: DevSecOps Assessment Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
🔥10👍3🥰2
Forwarded from DevSecOps Talks
Знакомьтесь, Шерлок!
Всем привет!
Меня зовут Антон Гаврилов, я один из авторов этого канала. Приятно познакомиться!
Последний год мы вместе с командой работаем над собственной ASOC/ASPM/Иное(мне не очень нравятся эти аббревиатуры 😊) системой, которая получила имя «Шерлок».
В декабре 2024 года был выпущен первый релиз. И мне очень хочется показать его вам и всем, кому это будет интересно!
Если вы:
🍭 Хотите задавать каверзные вопросы
🍭 Хотите посмотреть на-еще-одно-отечественное-ПО
🍭 Продемонстрировать свой скепсис
🍭 Пожать руку, поделиться советом и пожелать удачи
🍭 …
То приходите на вебинар, который будет 13.02, начало в 11:00 (Мск). Да, будет небольшая презентация (для погружения в контекст), а основная часть будет посвящена «живой демонстрации».
Думаю, что на все про всё у нас уйдет часа 1,5. Но! Если вопросов будет много, то задержимся и найдем ответы на все 😊
Спасибо и до встречи!
Антон
P.S. Буду признателен за пересылку приглашения ☺️ Очень хочется узнать ваши мысли относительно того, что мы сделали и продолжаем делать!
Всем привет!
Меня зовут Антон Гаврилов, я один из авторов этого канала. Приятно познакомиться!
Последний год мы вместе с командой работаем над собственной ASOC/ASPM/Иное
В декабре 2024 года был выпущен первый релиз. И мне очень хочется показать его вам и всем, кому это будет интересно!
Если вы:
🍭 Хотите задавать каверзные вопросы
🍭 Хотите посмотреть на-еще-одно-отечественное-ПО
🍭 Продемонстрировать свой скепсис
🍭 Пожать руку, поделиться советом и пожелать удачи
🍭 …
То приходите на вебинар, который будет 13.02, начало в 11:00 (Мск). Да, будет небольшая презентация (для погружения в контекст), а основная часть будет посвящена «живой демонстрации».
Думаю, что на все про всё у нас уйдет часа 1,5. Но! Если вопросов будет много, то задержимся и найдем ответы на все 😊
Спасибо и до встречи!
Антон
P.S. Буду признателен за пересылку приглашения ☺️ Очень хочется узнать ваши мысли относительно того, что мы сделали и продолжаем делать!
❤5🔥4🥰4
Forwarded from DevSecOps Talks
Обновление DevSecOps Assessment Framework (DAF)
Всем привет!
Настала очередь обновления DAF и вот основные изменения нового релиза:
🦴 Появился маппинг DAF на DSOMM
🦴 Появился маппинг DAF на ГОСТ 56939-2024
🦴 Актуализировался маппинг DAF на BSIMM и SAMM
🦴 Появился автомаппинг DAF на PT Table top, SAMM и DSOMM. Работает так: вы заполняете практики в основной вкладке с практиками DAF (Вкладка "Маппинг со стандартами"), а эти же данные, но в разметке PT Table top, SAMM и DSOMM появляются на соответствующих вкладках. Таким образом, проводя аудит по DAF, вы проводите аудит сразу по еще трем другим фреймворкам
🦴 Дополнили вкладку с документами по безопасной разработке - теперь тут есть документы из ГОСТ 56939-2024
🦴 Актуализировали расчет FTE AppSec. Теперь расчеты более приближены к реальности
🦴 Скорректировали текст практик, добавили новые, переместили некоторые практики между уровнями, убрали и добавили новые опечатки
Наш фреймворк становится все более структурированным и комплексным. Качайте новую версию, анализируйте её и свои процессы безопасной разработки!
Как вы можете заметить, бо́льшая часть практик ГОСТ 56939-2024 и PT Table Top есть в DAF. Наш фреймворк вышел в сентябре 2023 года, и если вы ему следовали, то уже соответствуете новому и ГОСТ и Table Top 😉
Мы всегда открыты к обратной связи и ждем новых контрибьюторов!
Всем привет!
Настала очередь обновления DAF и вот основные изменения нового релиза:
🦴 Появился маппинг DAF на DSOMM
🦴 Появился маппинг DAF на ГОСТ 56939-2024
🦴 Актуализировался маппинг DAF на BSIMM и SAMM
🦴 Появился автомаппинг DAF на PT Table top, SAMM и DSOMM. Работает так: вы заполняете практики в основной вкладке с практиками DAF (Вкладка "Маппинг со стандартами"), а эти же данные, но в разметке PT Table top, SAMM и DSOMM появляются на соответствующих вкладках. Таким образом, проводя аудит по DAF, вы проводите аудит сразу по еще трем другим фреймворкам
🦴 Дополнили вкладку с документами по безопасной разработке - теперь тут есть документы из ГОСТ 56939-2024
🦴 Актуализировали расчет FTE AppSec. Теперь расчеты более приближены к реальности
🦴 Скорректировали текст практик, добавили новые, переместили некоторые практики между уровнями, убрали
Наш фреймворк становится все более структурированным и комплексным. Качайте новую версию, анализируйте её и свои процессы безопасной разработки!
Как вы можете заметить, бо́льшая часть практик ГОСТ 56939-2024 и PT Table Top есть в DAF. Наш фреймворк вышел в сентябре 2023 года, и если вы ему следовали, то уже соответствуете новому и ГОСТ и Table Top 😉
Мы всегда открыты к обратной связи и ждем новых контрибьюторов!
GitHub
Release 2025.07.08 · Jet-Security-Team/DevSecOps-Assessment-Framework
Список изменений:
Появился маппинг DAF на DSOMM
Появился маппинг DAF на ГОСТ 56939-2024
Актуализировался маппинг DAF на BSIMM и SAMM
Появился автомаппинг DAF на PT Table top, SAMM и DSOMM. Работае...
Появился маппинг DAF на DSOMM
Появился маппинг DAF на ГОСТ 56939-2024
Актуализировался маппинг DAF на BSIMM и SAMM
Появился автомаппинг DAF на PT Table top, SAMM и DSOMM. Работае...
🔥8❤2🥰2
Регулярная (само)отчетность в канале по работам с DAF.
Привет, друзья! Мы решили сделать этот канал более живым, работу с DAF - более прозрачной и прогнозируемой, а развитие DAF - более структурированным. И, возможно, сподвигнуть небезразличных принять участие в развитии DAF 😉
Для этого раз в 2 недели планируем писать здесь о том
🦴 стратегические планы развития DAF
🦴какие ближайшие задачи по DAF у нас есть
🦴 внесенные изменения, которые мы обсуждаем в рамках еженедельных встреч по DAF (если у вас будет желание участвовать - дайте знать, обязательно вас
подключим)
Если у вас есть какие-либо пожелания или идеи относительно DAF - обязательно пишите нам (можно и в комментариях к постам)!
Stay tuned!
Привет, друзья! Мы решили сделать этот канал более живым, работу с DAF - более прозрачной и прогнозируемой, а развитие DAF - более структурированным. И, возможно, сподвигнуть небезразличных принять участие в развитии DAF 😉
Для этого раз в 2 недели планируем писать здесь о том
🦴 стратегические планы развития DAF
🦴какие ближайшие задачи по DAF у нас есть
🦴 внесенные изменения, которые мы обсуждаем в рамках еженедельных встреч по DAF (если у вас будет желание участвовать - дайте знать, обязательно вас
подключим)
Если у вас есть какие-либо пожелания или идеи относительно DAF - обязательно пишите нам (можно и в комментариях к постам)!
Stay tuned!
👍3🔥2❤1
Промежуточные результаты изменений в DAF
Итак, в продолжение предыдущего поста:
🦴Изменены формулировки практик
-- P-ROLE-RESP-3-1. Теперь это "Разработана и используется RACI-матрица для всего процесса DSO"
-- P-ROLE-RESP-3-2. Теперь это "Постоянный пересмотр и актуализация дорожной карты DevSecOps с учетом бизнес-целей организации и внешних факторов"
🦴Сформирован детальный алгоритм работы с DAF (закрытая часть DAF, нет в github)
🦴Сформирован детальный роадмап по уровням Пирамиды зрелости 1-4 (закрытая часть DAF, нет в github)
Ближайшие и долгосрочные (стратегические) задачи:
🦴Автомаппинг DAF на BSIMM
🦴Маппинг DAF на раздел 7.4 Профиля Защиты ЦБ (ОУД4)
🦴Доделать детальный роадмап для уровней 5-7
🦴Переработать калькулятор FTE DevSecOps специалистов
🦴Перевести DAF на английский язык
🦴Добавить в DAF раздел по MLSecOps
Сроки по задачам мы пока не фиксируем, но рассчитываем, что все они (возможно, кроме перевода на английский язык) будут завершены к концу сентября.
Итак, в продолжение предыдущего поста:
🦴Изменены формулировки практик
-- P-ROLE-RESP-3-1. Теперь это "Разработана и используется RACI-матрица для всего процесса DSO"
-- P-ROLE-RESP-3-2. Теперь это "Постоянный пересмотр и актуализация дорожной карты DevSecOps с учетом бизнес-целей организации и внешних факторов"
🦴Сформирован детальный алгоритм работы с DAF (закрытая часть DAF, нет в github)
🦴Сформирован детальный роадмап по уровням Пирамиды зрелости 1-4 (закрытая часть DAF, нет в github)
Ближайшие и долгосрочные (стратегические) задачи:
🦴Автомаппинг DAF на BSIMM
🦴Маппинг DAF на раздел 7.4 Профиля Защиты ЦБ (ОУД4)
🦴Доделать детальный роадмап для уровней 5-7
🦴Переработать калькулятор FTE DevSecOps специалистов
🦴Перевести DAF на английский язык
🦴Добавить в DAF раздел по MLSecOps
Сроки по задачам мы пока не фиксируем, но рассчитываем, что все они (возможно, кроме перевода на английский язык) будут завершены к концу сентября.
👍5
Используете проверку подписей и хэшей компонентов у себя в разработке?
Практика T-CODE-SC-2-3 предполагает проверку цифровых подписей и контрольных сумм компонентов. Казалось бы, звучит логично и даже просто. Но как обстоят дела на практике?
Что можно использовать прямо сейчас:
🔍 npm:
🔍 pip: hashin добавляет sha256 в requirements.txt
🔍 poetry: poetry.lock содержит sha256
🔍 maven: проверка jar —
🔍 GPG/PGP:
Чаще всего приходится писать свои скрипты: в пайплайне, в CI/CD или обвязке пакетных менеджеров. Готового единого решения, которое проверяет всё — пока нет.
А у вас как ?
- Используете ли вы проверку хэшей/подписей?
- Где реализовали — в CI, на ARM, в IDE?
- Какие инструменты подошли?
- Есть ли ограничения, которые мешают внедрению?
- Считаете ли эту практику соответствующей 2 уровню зрелости по DevSecOps Assessment Framework?
Делитесь опытом в комментах — особенно интересно мнение тех, кто реально внедрил такую проверку в прод.
Практика T-CODE-SC-2-3 предполагает проверку цифровых подписей и контрольных сумм компонентов. Казалось бы, звучит логично и даже просто. Но как обстоят дела на практике?
Что можно использовать прямо сейчас:
🔍 npm:
npm ci --verify-store-integrity🔍 pip: hashin добавляет sha256 в requirements.txt
🔍 poetry: poetry.lock содержит sha256
🔍 maven: проверка jar —
sha256sum -c lib.jar.sha256🔍 GPG/PGP:
gpg --verify lib.jar.asc lib.jarЧаще всего приходится писать свои скрипты: в пайплайне, в CI/CD или обвязке пакетных менеджеров. Готового единого решения, которое проверяет всё — пока нет.
А у вас как ?
- Используете ли вы проверку хэшей/подписей?
- Где реализовали — в CI, на ARM, в IDE?
- Какие инструменты подошли?
- Есть ли ограничения, которые мешают внедрению?
- Считаете ли эту практику соответствующей 2 уровню зрелости по DevSecOps Assessment Framework?
Делитесь опытом в комментах — особенно интересно мнение тех, кто реально внедрил такую проверку в прод.
GitHub
DevSecOps-Assessment-Framework/DAF.md at main · Jet-Security-Team/DevSecOps-Assessment-Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
👍3❤1🔥1
Используете проверку подписей и хэшей у себя в разработке?
Anonymous Poll
29%
Да, в CI/CD
2%
Да, в IDE
2%
Да, везде где возможно (делитесь в комментарии)
34%
Еще нет, но скоро внедрим
31%
Нет, зачем это нужно?
3%
Свой ответ (делитесь в комментариях)
Обновление DevSecOps Assessment Framework (DAF)
Всем привет!
Настала очередь обновления DAF и вот основные изменения нового релиза:
🦴 Скорректировали опечатки и ошибки в формулах на всех листах
🦴 Актуализировали карту DAF
🦴 Перенесли на 4й уровень:
- T-CODE-IMG-3-1 -> T-CODE-IMG-4-1 Выполняется проверка цифровых подписей образов контейнеров
- T-ADI-DEP-3-3 -> T-ADI-DEP-4-1 Выполняется верификация цифровой подписи SBOM перед использованием зависимостей в сборке. Это может быть реализовано с помощью SCA решения
- T-ADI-ART-2-2 -> T-ADI-ART-4-4 Выполняется создание хэш сумм артефактов перед отправкой их в registry, а также их проверка при сборке
- T-ADI-ART-3-1 -> T-ADI-ART-4-3 Выполняется создание цифровых подписей всех артефактов перед их отправкой в registry
- T-ADI-ART-3-4 -> T-ADI-ART-4-1 Конвейер сборки (build pipeline) подписывает все артефакты, которые он создает
🦴 Удалили:
- T-ADI-DEP-4-2 Выполняется создание и проверка цифровой подписи собранных зависимостей. Например, с помощью Cosign
- T-ADI-DEP-4-3 Выполняется создание и проверка цифровой подписи на SBOM для собранных зависимостей. Например, с помощью Cosign
Наш фреймворк становится все более структурированным и комплексным. Качайте новую версию, анализируйте её и свои процессы безопасной разработки!
Мы всегда открыты к обратной связи и ждем новых контрибьюторов!
Всем привет!
Настала очередь обновления DAF и вот основные изменения нового релиза:
🦴 Скорректировали опечатки и ошибки в формулах на всех листах
🦴 Актуализировали карту DAF
🦴 Перенесли на 4й уровень:
- T-CODE-IMG-3-1 -> T-CODE-IMG-4-1 Выполняется проверка цифровых подписей образов контейнеров
- T-ADI-DEP-3-3 -> T-ADI-DEP-4-1 Выполняется верификация цифровой подписи SBOM перед использованием зависимостей в сборке. Это может быть реализовано с помощью SCA решения
- T-ADI-ART-2-2 -> T-ADI-ART-4-4 Выполняется создание хэш сумм артефактов перед отправкой их в registry, а также их проверка при сборке
- T-ADI-ART-3-1 -> T-ADI-ART-4-3 Выполняется создание цифровых подписей всех артефактов перед их отправкой в registry
- T-ADI-ART-3-4 -> T-ADI-ART-4-1 Конвейер сборки (build pipeline) подписывает все артефакты, которые он создает
🦴 Удалили:
- T-ADI-DEP-4-2 Выполняется создание и проверка цифровой подписи собранных зависимостей. Например, с помощью Cosign
- T-ADI-DEP-4-3 Выполняется создание и проверка цифровой подписи на SBOM для собранных зависимостей. Например, с помощью Cosign
Наш фреймворк становится все более структурированным и комплексным. Качайте новую версию, анализируйте её и свои процессы безопасной разработки!
Мы всегда открыты к обратной связи и ждем новых контрибьюторов!
GitHub
Release 2025.08.18 · Jet-Security-Team/DevSecOps-Assessment-Framework
Список изменений:
Скорректировали опечатки и ошибки в формулах на всех листах
Актуализировали карту DAF
Перенесли на 4й уровень
T-CODE-IMG-3-1 -> T-CODE-IMG-4-1 Выполняется проверка цифровых п...
Скорректировали опечатки и ошибки в формулах на всех листах
Актуализировали карту DAF
Перенесли на 4й уровень
T-CODE-IMG-3-1 -> T-CODE-IMG-4-1 Выполняется проверка цифровых п...
👍6❤3🔥2
Мини-отчет о вносимых изменениях в DAF
Всем привет! Держим вас в курсе о внесенных, вносимых и планируемых к внесению изменениях 😊
1. T-CODE-SECDN-2-3. Было:
Стало:
2. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
3. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
4. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
5. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
6. Исправлены битые ссылки, опечатки, прочие косяки с визуаломи добавлены новые
7. Перевод DAF на английский язык запущен и ожидаем, что к концу октября выложим английскую версию в общий доступ
8. Переделываем формулы и оформление вкладки "Рассчет FTE DevSecOps"
Всем привет! Держим вас в курсе о внесенных, вносимых и планируемых к внесению изменениях 😊
1. T-CODE-SECDN-2-3. Было:
При обработке событий ИБ, связанных с найденными секретами используется ротация
Стало:
При обработке событий ИБ, связанных с найденными секретами, выполняется ротация (замена\перевыпуск) найденных секретов
2. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
3. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
4. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
5. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
6. Исправлены битые ссылки, опечатки, прочие косяки с визуалом
7. Перевод DAF на английский язык запущен и ожидаем, что к концу октября выложим английскую версию в общий доступ
8. Переделываем формулы и оформление вкладки "Рассчет FTE DevSecOps"
❤3👍2
Новый релиз DAF!
Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили.
Что добавилось и изменилось:
1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top!
3. Актуализировали Карту DAF
4. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
8. Исправили битые ссылки, опечатки, прочие косяки с визуаломи добавили новые
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps"
Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом).
Ну и на сладкое 🍰
Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!
Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили.
Что добавилось и изменилось:
1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top!
3. Актуализировали Карту DAF
4. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
8. Исправили битые ссылки, опечатки, прочие косяки с визуалом
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps"
Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом).
Ну и на сладкое 🍰
Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!
GitHub
Release 2025.09.30 · Jet-Security-Team/DevSecOps-Assessment-Framework
Список изменений:
Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка)...
Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка)...
🔥8👍1
Мини-отчет о вносимых изменениях в DAF
Всем привет! 👋
Продолжаем держать вас в курсе доработок и улучшений DAF 😊
1. Проведены внутренние работы по систематизации способов и критериев выполнения каждой практики (это наша закрытая часть фреймворка - "банк задач и активностей" для формирования детального roadmap).
2. Пересмотрен и актуализирован маппинг DAF на все стандарты и фреймворки, в том числе на ГОСТ 56939-2024 — уточнены связи, устранены дубли и неточности
3. Добавлен новый автомаппинг на BSIMM v14— теперь можно сопоставлять практики DAF с индустриальной моделью зрелости AppSec
4. Исправлены старые косякии добавлены новые
Работа над фреймворком продолжается — впереди новые улучшения и расширение маппингов!
PS: А еще мы планируем сделать web-формат для DAF и сейчас активно экспериментируем с этим 😉
Всем привет! 👋
Продолжаем держать вас в курсе доработок и улучшений DAF 😊
1. Проведены внутренние работы по систематизации способов и критериев выполнения каждой практики (это наша закрытая часть фреймворка - "банк задач и активностей" для формирования детального roadmap).
2. Пересмотрен и актуализирован маппинг DAF на все стандарты и фреймворки, в том числе на ГОСТ 56939-2024 — уточнены связи, устранены дубли и неточности
3. Добавлен новый автомаппинг на BSIMM v14— теперь можно сопоставлять практики DAF с индустриальной моделью зрелости AppSec
4. Исправлены старые косяки
Работа над фреймворком продолжается — впереди новые улучшения и расширение маппингов!
PS: А еще мы планируем сделать web-формат для DAF и сейчас активно экспериментируем с этим 😉
❤3🔥3👍1