Регулярная (само)отчетность в канале по работам с DAF.

Привет, друзья! Мы решили сделать этот канал более живым, работу с DAF - более прозрачной и прогнозируемой, а развитие DAF - более структурированным. И, возможно, сподвигнуть небезразличных принять участие в развитии DAF 😉
Для этого раз в 2 недели планируем писать здесь о том
🦴 стратегические планы развития DAF
🦴какие ближайшие задачи по DAF у нас есть
🦴 внесенные изменения, которые мы обсуждаем в рамках еженедельных встреч по DAF (если у вас будет желание участвовать - дайте знать, обязательно вас
подключим)

Если у вас есть какие-либо пожелания или идеи относительно DAF - обязательно пишите нам (можно и в комментариях к постам)!
Stay tuned!

Промежуточные результаты изменений в DAF

Итак, в продолжение предыдущего поста:
🦴Изменены формулировки практик
-- P-ROLE-RESP-3-1. Теперь это "Разработана и используется RACI-матрица для всего процесса DSO"
-- P-ROLE-RESP-3-2. Теперь это "Постоянный пересмотр и актуализация дорожной карты DevSecOps с учетом бизнес-целей организации и внешних факторов"
🦴Сформирован детальный алгоритм работы с DAF (закрытая часть DAF, нет в github)
🦴Сформирован детальный роадмап по уровням Пирамиды зрелости 1-4 (закрытая часть DAF, нет в github)

Ближайшие и долгосрочные (стратегические) задачи:
🦴Автомаппинг DAF на BSIMM
🦴Маппинг DAF на раздел 7.4 Профиля Защиты ЦБ (ОУД4)
🦴Доделать детальный роадмап для уровней 5-7
🦴Переработать калькулятор FTE DevSecOps специалистов
🦴Перевести DAF на английский язык
🦴Добавить в DAF раздел по MLSecOps

Сроки по задачам мы пока не фиксируем, но рассчитываем, что все они (возможно, кроме перевода на английский язык) будут завершены к концу сентября.

Используете проверку подписей и хэшей компонентов у себя в разработке?

Практика T-CODE-SC-2-3 предполагает проверку цифровых подписей и контрольных сумм компонентов. Казалось бы, звучит логично и даже просто. Но как обстоят дела на практике?

Что можно использовать прямо сейчас:
🔍 npm: npm ci --verify-store-integrity
🔍 pip: hashin добавляет sha256 в requirements.txt
🔍 poetry: poetry.lock содержит sha256
🔍 maven: проверка jar — sha256sum -c lib.jar.sha256
🔍 GPG/PGP: gpg --verify lib.jar.asc lib.jar

Чаще всего приходится писать свои скрипты: в пайплайне, в CI/CD или обвязке пакетных менеджеров. Готового единого решения, которое проверяет всё — пока нет.

А у вас как ?
- Используете ли вы проверку хэшей/подписей?
- Где реализовали — в CI, на ARM, в IDE?
- Какие инструменты подошли?
- Есть ли ограничения, которые мешают внедрению?
- Считаете ли эту практику соответствующей 2 уровню зрелости по DevSecOps Assessment Framework?

Делитесь опытом в комментах — особенно интересно мнение тех, кто реально внедрил такую проверку в прод.

Обновление DevSecOps Assessment Framework (DAF)

Всем привет!

Настала очередь обновления DAF и вот основные изменения нового релиза:
🦴 Скорректировали опечатки и ошибки в формулах на всех листах
🦴 Актуализировали карту DAF
🦴 Перенесли на 4й уровень:
- T-CODE-IMG-3-1 -> T-CODE-IMG-4-1 Выполняется проверка цифровых подписей образов контейнеров
- T-ADI-DEP-3-3 -> T-ADI-DEP-4-1 Выполняется верификация цифровой подписи SBOM перед использованием зависимостей в сборке. Это может быть реализовано с помощью SCA решения
- T-ADI-ART-2-2 -> T-ADI-ART-4-4 Выполняется создание хэш сумм артефактов перед отправкой их в registry, а также их проверка при сборке
- T-ADI-ART-3-1 -> T-ADI-ART-4-3 Выполняется создание цифровых подписей всех артефактов перед их отправкой в registry
- T-ADI-ART-3-4 -> T-ADI-ART-4-1 Конвейер сборки (build pipeline) подписывает все артефакты, которые он создает
🦴 Удалили:
- T-ADI-DEP-4-2 Выполняется создание и проверка цифровой подписи собранных зависимостей. Например, с помощью Cosign
- T-ADI-DEP-4-3 Выполняется создание и проверка цифровой подписи на SBOM для собранных зависимостей. Например, с помощью Cosign

Наш фреймворк становится все более структурированным и комплексным. Качайте новую версию, анализируйте её и свои процессы безопасной разработки!

Мы всегда открыты к обратной связи и ждем новых контрибьюторов!

Мини-отчет о вносимых изменениях в DAF

Всем привет! Держим вас в курсе о внесенных, вносимых и планируемых к внесению изменениях 😊
1. T-CODE-SECDN-2-3. Было:

При обработке событий ИБ, связанных с найденными секретами используется ротация

Стало:

При обработке событий ИБ, связанных с найденными секретами, выполняется ротация (замена\перевыпуск) найденных секретов

2. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
3. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
4. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
5. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
6. Исправлены битые ссылки, опечатки, прочие косяки с визуалом и добавлены новые
7. Перевод DAF на английский язык запущен и ожидаем, что к концу октября выложим английскую версию в общий доступ
8. Переделываем формулы и оформление вкладки "Рассчет FTE DevSecOps"

Результаты аудита

Новое (дополнительное) представление Кирилламиды

Новый релиз DAF!

Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили.

Что добавилось и изменилось:
1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top!
3. Актуализировали Карту DAF
4. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
8. Исправили битые ссылки, опечатки, прочие косяки с визуалом и добавили новые

Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps"

Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом).

Ну и на сладкое 🍰
Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!

Мини-отчет о вносимых изменениях в DAF

Всем привет! 👋
Продолжаем держать вас в курсе доработок и улучшений DAF 😊

1. Проведены внутренние работы по систематизации способов и критериев выполнения каждой практики (это наша закрытая часть фреймворка - "банк задач и активностей" для формирования детального roadmap).
2. Пересмотрен и актуализирован маппинг DAF на все стандарты и фреймворки, в том числе на ГОСТ 56939-2024 — уточнены связи, устранены дубли и неточности
3. Добавлен новый автомаппинг на BSIMM v14— теперь можно сопоставлять практики DAF с индустриальной моделью зрелости AppSec
4. Исправлены старые косяки и добавлены новые

Работа над фреймворком продолжается — впереди новые улучшения и расширение маппингов!

PS: А еще мы планируем сделать web-формат для DAF и сейчас активно экспериментируем с этим 😉

Предновогодний релиз DAF!

С наступающим новым годом, друзья! Все подводят итоги года, а мы запрыгиваем в последний вагон трудовых будней 2025 года с очередным релизом DAF!

Первая часть релиза (что добавилось и изменилось):
1. Актуализировали маппинг на ГОСТ 56939-2024
2. Добавили автомаппинг на BSIMM. Теперь проводя аудит по DAF можно сразу же получать результат относительно 5 фреймворков - ГОСТ 56939, DSOMM, SAMM, BSIMM, PT Table Top
3. Отдельный лист "Карта DAF" решили вовсе убрать, т.к. есть отличное визуальное представление на вкладке "Общее, домены, поддомены" (в нем еще добавили часть MLSecOps)
4. Учли некоторые пожелания пользователей DAF:
- скорректировали формулировки некоторых практик (T-ADI-ART-4-3, T-DEV-SCM-4-3, T-ADI-DEP-3-2, T-DEV-SRC-2-2, T-DEV-SRC-2-3, T-DEV-SRC-3-4, T-DEV-SRC-3-6)
- в выпадающем списке на странице «Практики» добавили вариант «Не заполнено» и по-умолчанию проставили для всех практик (чтобы было явно заметно что именно нужно еще заполнить при аудите)
- добавили на странице «Практики» отдельный столбец "Область действия практики", чтобы можно было заполнить часть практик для одной команды, часть - для группы команд, а еще часть - для всей компании в целом (например, общие на всю компанию регламенты, процессы)
5. Сделали более приятное визуальное оформление
6. Ну и как обычно, исправили битые ссылки, опечатки, прочие косяки с визуалом и добавили новые

Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps" - к сожалению, 4й квартал нас не пощадил и мы не пришли внутри к общему мнению как же правильно считать. Поэтому переносим на весенний релиз

Вторая часть релиза.
Мы довольно долго обходили вниманием MLSecOps, хотя это направление очень-очень близко нашему классическому DevSecOps. В этом релизе DAF мы исправили это упущение и добавили:
- отдельную вкладку "Практики+MLSecOps" - в ней голубой заливкой выделены отдельные практики MLSecOps, наложенные на обычные практики нашего фреймворка. Это сделано для того, чтобы можно было пользоваться фреймворком как для аудита только DevSecOps (вкладка "Практики"), так и для аудита MLSecOps (вкладка "Практики+MLSecOps"), который является "надстройкой" над DevSecOps
- на вкладке "Результаты аудита" добавили результаты по MLSecOps (эти строки скрыты, раскройте их, нажав слева сверху цифру "2")
- актуализировали "Общее, домены, поддомены" с учетом добавления MLSecOps

Ну и если сделали два релиза (в одном), то почему бы не сделать и третий, верно?😉 Вышел релиз английской версии DAF! Лайк, шер, репост своим зарубежным коллегам!☺️

DevSecOps Assessment Framework (DAF) – A Fresh Approach to Secure Software Development

Good news everyone!
We are pleased to announce that the DevSecOps Assessment Framework (DAF) is now available in English for the international community.

There are many useful frameworks for evaluating the secure development processes, such as SAMM, BSIMM, DSOMM, and Microsoft SDL. However, there is no single framework that clearly describes what must be done and in which order to establish a secure development process, objectively assess existing maturity level, and identify next steps.
The DevSecOps Assessment Framework (DAF) aims to solve this problem. It consolidates recommendations and best practices from various areas of DevSecOps and integrates our community's extensive expertise structured and adapted to modern realities. Some practices from well-known frameworks are not included in DAF, but new and more detailed practices have been added instead. All models, domains, subdomains, and practices are described in clear language to avoid ambiguity and misinterpretation.

Like, share and repost! We would appreciate your feedback!