DevSecOps Assessment Framework (DAF) by Jet, 2025
Есть множество полезных фреймворков, позволяющих оценить процессы безопасной разработки, например, SAMM, BSIMM, DSOMM, MSDL. Также есть лучшие практики, бенчмарки, рекомендуемые подходы к защите контейнеров и сред контейнерной оркестрации, такие как NSA Kubernetes Hardening Guide, или, например CIS for Kubernetes. Помимо этого, существует множество инструментов, повышающих защищенность при формировании и совершенствовании процессов DevSecOps (SAST, DAST, SCA, Container security, Secret management и другие) со своими рекомендациями по настройкам и их использованию. Но нет чего-то одного, описывающего, что конкретно и в какой последовательности нужно делать, чтобы выстроить процесс безопасной разработки, а также чтобы объективно оценить существующий уровень зрелости безопасной разработки и понять, куда двигаться дальше.
Эту проблему призван решить DevSecOps Assessment Framework (DAF). Он включает в себя не просто набор рекомендаций и лучших подходов из разных областей DevSecOps, но еще и большой экспертный опыт нашего сообщества, структурированный и адаптированный под современные реалии. Некоторые практики из общеизвестных фреймворков не добавлены в DAF, но при этом сформированы новые и более детальные. Все модели, домены, поддомены и практики описаны понятным языком во избежание двусмысленностей и разных толкований.
❗️GitHub
#SecDevOps
Есть множество полезных фреймворков, позволяющих оценить процессы безопасной разработки, например, SAMM, BSIMM, DSOMM, MSDL. Также есть лучшие практики, бенчмарки, рекомендуемые подходы к защите контейнеров и сред контейнерной оркестрации, такие как NSA Kubernetes Hardening Guide, или, например CIS for Kubernetes. Помимо этого, существует множество инструментов, повышающих защищенность при формировании и совершенствовании процессов DevSecOps (SAST, DAST, SCA, Container security, Secret management и другие) со своими рекомендациями по настройкам и их использованию. Но нет чего-то одного, описывающего, что конкретно и в какой последовательности нужно делать, чтобы выстроить процесс безопасной разработки, а также чтобы объективно оценить существующий уровень зрелости безопасной разработки и понять, куда двигаться дальше.
Эту проблему призван решить DevSecOps Assessment Framework (DAF). Он включает в себя не просто набор рекомендаций и лучших подходов из разных областей DevSecOps, но еще и большой экспертный опыт нашего сообщества, структурированный и адаптированный под современные реалии. Некоторые практики из общеизвестных фреймворков не добавлены в DAF, но при этом сформированы новые и более детальные. Все модели, домены, поддомены и практики описаны понятным языком во избежание двусмысленностей и разных толкований.
❗️GitHub
#SecDevOps
🔥9👏2🤬1
Contrary to this mischaracterization, being a hacker is an identity, lifestyle, and mindset. It is not a fashion statement or a movie character. A hacker is an inquisitive critical thinker who solves complex problems in an unorthodox manner. The means by which these are solved — be it social, financial, economic, political, technological, or otherwise — is "hacking".
There's a subtle distinction between ethics and legality that fall into four categories: ethical/legal, ethical/illegal, unethical/legal, and unethical/illegal. We do not under any circumstance condone or support unethical/legal or unethical/illegal acts. We do however, condone and support ethical/legal acts and seek to reform policies which criminalize ethical/illegal acts.
We therefore assert that all hackers are implicitly ethical. It is not just the motive by which our persona should be characterized, it is the intent by which it should be. Hacking therefore, should not be a crime because hacking is NOT a crime. It is an ethical endeavor of exploration and problem solving that must be decriminalized for the betterment of society.
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥3👍1
Открыты предзаказы на бумажный выпуск «Хакера» за 2025 год 😒
После выпуска трех сборников с архивными статьями за 2015–2021 годы мы решили попробовать новый формат: журнал, в котором будут собраны лучшие статьи за год.
Что внутри:
😎 Более 20 статей, опубликованных на страницах «Хакера» в 2025 году: от разбора сетевых протоколов до хакерских применений LLM.
😎 Уникальные комментарии авторов и редакторов — с деталями, которые не попали в публикации.
😎 240 страниц на плотной бумаге — вдвое толще старых номеров «Хакера» образца 2015 года.
Тираж ограничен, поэтому уже сейчас ты можешь зарезервировать один экземпляр журнала за собой по специальной цене или заранее позаботиться о подарках.
🏷 Цена — 1000 ₽ на время раннего предзаказа (без учета почтовых расходов).
🚩 Официальная страничка
🛒 Оформить предзаказ
После выпуска трех сборников с архивными статьями за 2015–2021 годы мы решили попробовать новый формат: журнал, в котором будут собраны лучшие статьи за год.
Что внутри:
Тираж ограничен, поэтому уже сейчас ты можешь зарезервировать один экземпляр журнала за собой по специальной цене или заранее позаботиться о подарках.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤1👍1
ALL CONTENT IS FOR EDUCATIONAL PURPOSES ONLY
Under no circumstances shall we be liable to you for any loss or damage of any kind incurred as a result of using the this Telegram Channel or using any information provided on the channel. You use the all content on channel and rely on any information provided on the channel entirely at your own risk.
The content on Telegram Channel may contain the site or apps or documents links to other websites or content belonging to or originating from third parties or links to websites and features in banners or other advertising. Such external links are not investigated, monitored, or checked for accuracy, adequacy, validity, reliability, availability or completeness by us.
We do not warrant, endorse, guarantee, or assume responsibility for the accuracy or reliability of any information offered by third-party websites, apps, documents linked through the site or any website or feature linked in any banner or other advertising. We will not be a party to or in any way be responsible for monitoring any transaction between you and third-party providers of products or services.
My role as author the channel is to support and assist you in reaching your own goals, but your success depends primarily on your own effort, motivation, commitment and follow-through. I cannot predict and I do not guarantee that you will attain a particular result, and you accept and understand that results differ for each individual. Each individual’s results depend on his or her unique background, dedication, desire, motivation, actions, and numerous other factors.
#info
Under no circumstances shall we be liable to you for any loss or damage of any kind incurred as a result of using the this Telegram Channel or using any information provided on the channel. You use the all content on channel and rely on any information provided on the channel entirely at your own risk.
The content on Telegram Channel may contain the site or apps or documents links to other websites or content belonging to or originating from third parties or links to websites and features in banners or other advertising. Such external links are not investigated, monitored, or checked for accuracy, adequacy, validity, reliability, availability or completeness by us.
We do not warrant, endorse, guarantee, or assume responsibility for the accuracy or reliability of any information offered by third-party websites, apps, documents linked through the site or any website or feature linked in any banner or other advertising. We will not be a party to or in any way be responsible for monitoring any transaction between you and third-party providers of products or services.
My role as author the channel is to support and assist you in reaching your own goals, but your success depends primarily on your own effort, motivation, commitment and follow-through. I cannot predict and I do not guarantee that you will attain a particular result, and you accept and understand that results differ for each individual. Each individual’s results depend on his or her unique background, dedication, desire, motivation, actions, and numerous other factors.
#info
👍6😁2👏1
Forwarded from CyberSecBastion
OWASP DevSecOps Verification Standard
The OWASP DevSecOps Verification Standard (DSOVS) is an open source framework that defines baseline requirements for any software project or organisation.
Official page
GitHub
#docs
The OWASP DevSecOps Verification Standard (DSOVS) is an open source framework that defines baseline requirements for any software project or organisation.
Official page
GitHub
#docs
👍1🤔1
Forwarded from CyberSecBastion
DevSecOps-VerificationStandard-v1.1.xlsx
77.5 KB
OWASP DevSecOps Verification Standard
👍3🤝1
Как стать программистом с нуля. После 30, без опыта, без образования, Борис Рузанов (ProIT), 2022
Книга предназначена в основном для людей, которые хотят сменить текущую профессию и перейти в IT после тридцати, но и более молодые читатели найдут ее полезной. Помимо теоретического и статистического материала, в ней можно найти много практических советов и лайфхаков.
Но главное, здесь развенчивается миф о том, что программирование – это очень сложно, и мало у кого хватит сил дойти до самого конца. Читатель сможет открыть волшебный ящик под названием «программирование», достать инструмент и понять, что никакого волшебства здесь нет. А есть обычный «молоток», с помощью которого создаются программы, и научиться им пользоваться сможет каждый.
#book #newbie
Книга предназначена в основном для людей, которые хотят сменить текущую профессию и перейти в IT после тридцати, но и более молодые читатели найдут ее полезной. Помимо теоретического и статистического материала, в ней можно найти много практических советов и лайфхаков.
Но главное, здесь развенчивается миф о том, что программирование – это очень сложно, и мало у кого хватит сил дойти до самого конца. Читатель сможет открыть волшебный ящик под названием «программирование», достать инструмент и понять, что никакого волшебства здесь нет. А есть обычный «молоток», с помощью которого создаются программы, и научиться им пользоваться сможет каждый.
#book #newbie
❤5👍2🔥1
Как_стать_программистом_с_нуля_2022_Борис_Рузанов.pdf
2.4 MB
Как стать программистом с нуля. После 30, без опыта, без образования, Борис Рузанов (ProIT), 2022
❤4👍2
Как стать программистом с нуля, Александр Ваньков, 2020
Книга в простой форме отвечает на вопрос: как стать разработчиком ПО, не имея для этого навыков и соответствующего образования? Сегодня много книг повествует об обучении конкретному языку программирования или технологии, но здесь читатель найдет такое руководство, которое объясняет, что именно делать, чтобы стать IT-специалистом (прежде всего разработчиком) с нуля на любом из языков программирования.
Книга не является справочником по конкретному языку программирования, это не учебник по алгоритмам, это книга о методах и инструментах перехода к IT-профессии.
#book #newbie
Книга в простой форме отвечает на вопрос: как стать разработчиком ПО, не имея для этого навыков и соответствующего образования? Сегодня много книг повествует об обучении конкретному языку программирования или технологии, но здесь читатель найдет такое руководство, которое объясняет, что именно делать, чтобы стать IT-специалистом (прежде всего разработчиком) с нуля на любом из языков программирования.
Книга не является справочником по конкретному языку программирования, это не учебник по алгоритмам, это книга о методах и инструментах перехода к IT-профессии.
#book #newbie
❤4😁1
Top 100 SOC Analyst Interview Questionsand Answers (ver. 2024), Prepared By Farhath Nathvi
The provided documents describe Farhat Nathvi's "Top 100 SOC Analyst Interview Questions And Answers (ver. 2024)" as a collection covering fundamental concepts like the CIA triad, OSI model, firewalls, SIEM, and cryptography, as well as more complex topics such as APT attacks, malware analysis, incident response, threat modeling, and security frameworks.
The questions are designed to assess a candidate's knowledge across various domains, including technical skills like network protocols and log analysis, and soft skills such as documentation and communication, relevant for a SOC analyst role.
✅ Updated 2025 year edition
#defensive
The provided documents describe Farhat Nathvi's "Top 100 SOC Analyst Interview Questions And Answers (ver. 2024)" as a collection covering fundamental concepts like the CIA triad, OSI model, firewalls, SIEM, and cryptography, as well as more complex topics such as APT attacks, malware analysis, incident response, threat modeling, and security frameworks.
The questions are designed to assess a candidate's knowledge across various domains, including technical skills like network protocols and log analysis, and soft skills such as documentation and communication, relevant for a SOC analyst role.
#defensive
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1😱1
100_SOC_analyst_interview_questions_1728374568.pdf
1.3 MB
Top 100 SOC Analyst Interview Questionsand Answers (ver. 2024), Prepared By Farhath Nathvi
👍2👏1
🔐 SOC Analyst Roadmap – Key Topics:
📌 1. Introduction – SOC role, layers of security
📌 2. Networking Basics – OSI, TCP/IP, ports, firewalls
📌 3. Cyber Threats – malware, phishing, DDoS, insider threats
📌 4. SOC Tools – SIEM, EDR, IDS/IPS, SOAR, Threat Intel
📌 5. Log Analysis – Windows/Linux logs, syslog, SIEM correlation
📌 6. Incident Detection – IOCs, IOAs, false positives, use cases
📌 7. Incident Response – phases, playbooks, case studies
📌 8. Threat Intelligence – MITRE ATT&CK, kill chain, OSINT
📌 9. Vulnerability Mgmt. – scanning, CVE, patching
📌 10. Malware Analysis (Basic) – static/dynamic, sandboxing
📌 11. Security Policies & Compliance – ISO 27001, GDPR, HIPAA
📌 12. Forensics (Intro) – evidence collection, memory/disk analysis
📌 13. Advanced SOC – threat hunting, UEBA, Zero Trust
📌 14. Soft Skills – reporting, communication, teamwork
📌 15. Career Path – SOC tiers, certs, labs, practice
#defensive
📌 1. Introduction – SOC role, layers of security
📌 2. Networking Basics – OSI, TCP/IP, ports, firewalls
📌 3. Cyber Threats – malware, phishing, DDoS, insider threats
📌 4. SOC Tools – SIEM, EDR, IDS/IPS, SOAR, Threat Intel
📌 5. Log Analysis – Windows/Linux logs, syslog, SIEM correlation
📌 6. Incident Detection – IOCs, IOAs, false positives, use cases
📌 7. Incident Response – phases, playbooks, case studies
📌 8. Threat Intelligence – MITRE ATT&CK, kill chain, OSINT
📌 9. Vulnerability Mgmt. – scanning, CVE, patching
📌 10. Malware Analysis (Basic) – static/dynamic, sandboxing
📌 11. Security Policies & Compliance – ISO 27001, GDPR, HIPAA
📌 12. Forensics (Intro) – evidence collection, memory/disk analysis
📌 13. Advanced SOC – threat hunting, UEBA, Zero Trust
📌 14. Soft Skills – reporting, communication, teamwork
📌 15. Career Path – SOC tiers, certs, labs, practice
#defensive
👍5❤2
Automate Your Job Application Process (outside Russia and CIS)
These tools scan job boards, personalize your resume and cover letters, and then fill out online application forms, freeing up your time and helping you apply to more jobs faster.
Benefits:
✅ Job Search Automation
✅ Autofill Applications
✅ Application Tracker
🔖 LazzyApply
🔖 JobCopilot
🔖 Huntr
🔖 BulkApply
#job
These tools scan job boards, personalize your resume and cover letters, and then fill out online application forms, freeing up your time and helping you apply to more jobs faster.
Benefits:
#job
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Mastering Windows Group Policy. Control and secure your Active Directory environment with Group Policy by Jordan Krause, 2018
Improve and reimagine your organization's security stance, desktop standards, and server administration with centralized management via Group Policy
This book begins with a discussion of the core material any administrator needs to know in order to start working with Group Policy. Moving on, we will also walk through the process of building a lab environment to start testing Group Policy today. Next we will explore the Group Policy Management Console (GPMC) and start using the powerful features available for us within that interface. Once you are well versed with using GPMC, you will learn to perform and manage the traditional core tasks inside Group Policy.
Included in the book are many examples and walk-throughs of the different filtering options available for the application of Group Policy settings, as this is the real power that Group Policy holds within your network. You will also learn how you can use Group Policy to secure your Active Directory environment, and also understand how Group Policy preferences are different than policies, with the help of real-world examples.
Finally we will spend some time on maintenance and troubleshooting common Group Policy-related issues so that you, as a directory administrator, will understand the diagnosing process for policy settings.
#book #windows
Improve and reimagine your organization's security stance, desktop standards, and server administration with centralized management via Group Policy
This book begins with a discussion of the core material any administrator needs to know in order to start working with Group Policy. Moving on, we will also walk through the process of building a lab environment to start testing Group Policy today. Next we will explore the Group Policy Management Console (GPMC) and start using the powerful features available for us within that interface. Once you are well versed with using GPMC, you will learn to perform and manage the traditional core tasks inside Group Policy.
Included in the book are many examples and walk-throughs of the different filtering options available for the application of Group Policy settings, as this is the real power that Group Policy holds within your network. You will also learn how you can use Group Policy to secure your Active Directory environment, and also understand how Group Policy preferences are different than policies, with the help of real-world examples.
Finally we will spend some time on maintenance and troubleshooting common Group Policy-related issues so that you, as a directory administrator, will understand the diagnosing process for policy settings.
#book #windows
👍2🔥1