├── Awesome-DevSecOps.png
└── README.md


/Awesome-DevSecOps.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/Swordfish-Security/awesome-devsecops-russia/HEAD/Awesome-DevSecOps.png


--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
  1 | # Awesome DevSecOps на русском языке [![Awesome](https://cdn.rawgit.com/sindresorhus/awesome/d7305f38d29fed78fa85652e3a63e154dd8e8829/media/badge.svg)](https://github.com/sindresorhus/awesome)
  2 | 
  3 | ![DevSecOps-Russia](https://github.com/Swordfish-Security/awesome-devsecops-russia/blob/master/Awesome-DevSecOps.png)
  4 | 
  5 | Полная обновляемая подборка материалов по безопасной разработке, DevSecOps и SSDLC на русском языке
  6 | 
  7 | # Содержание
  8 | * [Каналы](#каналы)
  9 | * [Чаты](#чаты)
 10 | * [Статьи](#статьи)
 11 |   * [Dev](#dev)
 12 |   * [Ops](#ops)
 13 | * [Доклады](#доклады)
 14 |   * [Dev](#dev-1)
 15 |   * [Ops](#ops-1)
 16 |  * [Подкасты](#подкасты)
 17 |  * [Стандарты и нормативные документы](#стандарты-и-нормативные-документы)
 18 |  * [Курсы](#курсы)
 19 |  * [Инструменты](#инструменты)
 20 |    * [Инструменты для моделирования угроз (Threat modeling)](#инструменты-для-моделирования-угроз-threat-modeling)
 21 |    * [Статические анализаторы приложений (SAST)](#статические-анализаторы-приложений-sast)
 22 |    * [Динамические анализаторы приложений (DAST)](#динамические-анализаторы-приложений-dast)
 23 |    * [Поиск секретов](#поиск-секретов)
 24 |    * [Анализаторы сторонних компонентов (SCA)](#анализаторы-сторонних-компонентов-sca)
 25 |    * [Анализаторы open-source компонентов (OSA)](#анализаторы-open-source-компонентов-osa)
 26 |    * [Тестирование по принципам Behaviour Driven Development](#тестирование-по-принципам-behaviour-driven-development)
 27 |    * [Сканеры Docker образов](#сканеры-docker-образов)
 28 |    * [Проверка Docker / Kubernetes на соответствие](#проверка-docker--kubernetes-на-соответствие)
 29 |    * [Безопасность Kubernetes](#безопасность-kubernetes)
 30 |    * [Container Runtime](#container-runtime)
 31 |    * [Коммерческие комплексные решения Cloud Native Security Platform](#коммерческие-комплексные-решения-cloud-native-security-platform)
 32 |    * [Runtime Security](#runtime-security)
 33 |    * [IAST](#iast)
 34 |    * [Fuzzing](#fuzzing)
 35 |    * [MAST](#mast)
 36 |    * [Vulnerability Management](#vulnerability-management)
 37 |    * [ASOC](#application-security-orchestration-and-correlation-asoc)
 38 |    * [Compliance-as-code](#compliance-as-code)
 39 |    * [IAC Security](#iac-security)
 40 |    * [Безопасность AWS](#безопасность-aws)
 41 |    * [Безопасность GCP](#безопасность-gcp)
 42 |    * [Другие общие подборки по DevSecOps инструментам](#другие-общие-подборки-по-devsecops-инструментам)
 43 | 
 44 | ## Каналы
 45 | * [DevSecOps Wine](https://t.me/sec_devops)
 46 | * [DevSecOps Talks](https://t.me/devsecops_weekly)
 47 | * [Технологический Болт Генона](https://t.me/tech_b0lt_Genona)
 48 | * [k8s (in)security](https://t.me/k8security)
 49 | * [Mobile AppSec World](https://t.me/mobile_appsec_world)
 50 | * [Кавычка](https://t.me/webpwn)
 51 | * [AppSec Ezine (регулярные подборки)](https://github.com/Simpsonpt/AppSecEzine)
 52 | 
 53 | ## Чаты
 54 | * [DevSecOps - русскоговорящее сообщество](https://t.me/devsecops_ru)
 55 | * [DevSecOps Wine Chat](https://t.me/sec_devops_chat)
 56 | * [RU.CodeQL](https://t.me/codeql)
 57 | * [r0 Crew (Fuzzing)](https://t.me/r0_fuzzing)
 58 | 
 59 | ## Статьи
 60 | ### Dev
 61 | *	[2021-05-13]	[DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза,Тимур Гильмуллин, PT](https://habr.com/ru/company/pt/blog/557142/)
 62 | *	[2021-02-09]	[CodeQL: SAST своими руками (и головой), часть 1, Павел Канн, Swordfish Security](https://habr.com/ru/company/swordfish_security/blog/541554/)
 63 | *	[2021-01-14]	[Лучшие практики при написании безопасного Dockerfile, Денис Якимов, Swordfish Security](https://habr.com/ru/company/swordfish_security/blog/537280/)
 64 | *	[2020-12-22]	[DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер,Тимур Гильмуллин, PT](https://habr.com/ru/company/pt/blog/534458/)
 65 | *	[2020-10-01]	[Как написать правила для Checkmarx и не сойти с ума, Юрий Шабалин, Swordfish Security](https://habr.com/ru/company/swordfish_security/blog/521396/)
 66 | *	[2020-09-18]	[Pysa: как избежать проблем безопасности в коде Python,перевод Graham Bleaney, Sinan Cepel,SkillFactory](https://habr.com/ru/company/skillfactory/blog/519702/)
 67 | *	[2020-09-17]	[Строим безопасную разработку в ритейлере. Опыт одного большого проекта, Иван Старосельский, Solar Security](https://habr.com/ru/company/solarsecurity/blog/519428/)
 68 | *	[2020-09-14]	[От Threat Modeling до безопасности AWS - 50+ open-source инструментов для выстраивания безопасности DevOps, Денис Якимов, Swordfish Security](https://habr.com/ru/company/swordfish_security/blog/518758/)
 69 | *	[2020-09-10]	[DevSecOps: организация фаззинга исходного кода, Дмитрий Евдокимов,Никита Кныжов,Павел Князев, Digital Security](https://habr.com/ru/company/dsec/blog/517596/)
 70 | *	[2020-08-26]	[DevSecOps: принципы работы и сравнение SCA. Часть первая, Денис Якимов, Swordfish Security](https://habr.com/ru/company/swordfish_security/blog/516660/)
 71 | *	[2020-08-20]	[Безопасность npm пакетов, Слава Фомин, ДомКлик](https://habr.com/ru/company/domclick/blog/515848/),[2](https://habr.com/ru/company/domclick/blog/516792/),[3](https://habr.com/ru/company/domclick/blog/518502/)
 72 | *	[2020-05-28]	[(S)SDLC, или Как сделать разработку безопаснее, Ярослав Александров, Ростелеком Solar](https://habr.com/ru/company/solarsecurity/blog/497864/),[2](https://habr.com/ru/company/solarsecurity/blog/499860/)
 73 | *	[2020-05-26]	[DevOps vs DevSecOps: как это выглядело в одном банке, Техносерв](https://habr.com/ru/company/technoserv/blog/503720/)
 74 | *	[2020-04-22]	[Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM, OZON](https://habr.com/ru/company/ozontech/blog/498272/)
 75 | *	[2020-03-24]	[Используем Zap Baseline Scan для непрерывного сканирования сайта на уязвимости, Александр Тютин](https://habr.com/ru/post/493778/)
 76 | *	[2020-02-04]	[Какая разница между DevOps и DevSecOps?](https://www.viva64.com/ru/b/0710/)
 77 | *	[2020-02-04]	[Статическое тестирование безопасности опенсорсными инструментами, Александра Сватикова, Одноклассники](https://habr.com/ru/company/odnoklassniki/blog/486722/), [[доклад]](https://youtu.be/E87YkXhdxAA)
 78 | *	[2020-01-13]	[Использование сканера уязвимостей в используемых библиотеках Dependency-Check в GitlabCI, Пацев Антон](https://habr.com/ru/post/483716/)
 79 | *	[2019-12-17]	[Практические ответы на нетривиальные вопросы, или Как внедрять DevSecOps в организации со сложным IT-ландшафтом, ВТБ](https://habr.com/ru/company/vtb/blog/479082/)
 80 | *	[2019-12-12]	[«Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости, Maxim Tyukov, DINS](https://habr.com/ru/company/dins/blog/477742/)
 81 | *	[2019-04-18]	[Страх и ненависть DevSecOps, доклад Юрия Шабалин, перевод в текст Александра Титова](https://habr.com/ru/company/oleg-bunin/blog/448488/)
 82 | *	[2018-01-11]	[Как внедрить Secure Development Lifecycle и не поседеть. Рассказ Яндекса на ZeroNights 2017, Яндекс](https://habr.com/ru/company/yandex/blog/346426/)
 83 | *	[2017-09-17]	[Мечтают ли WAF’ы о статанализаторах, Владимир Кочетков, PT](https://habr.com/ru/company/pt/blog/338110/)
 84 | *	[2016-07-08]	[Ищем уязвимости в коде: теория, практика и перспективы SAST, Владимир Кочетков, PT](https://habr.com/ru/company/pt/blog/305000/)
 85 | *	[2014-05-29]	[Об анализе исходного кода и автоматической генерации эксплоитов, Владимир Кочетков, PT](https://habr.com/ru/company/pt/blog/224547/)
 86 | ### Ops
 87 | *	[2021-10-13]	[Kubernetes Security Checklist and Requirements - All in One, Денис Якимов, Vinum Security](https://github.com/Vinum-Security/kubernetes-security-checklist/blob/main/README-RU.md)
 88 | *	[2020-09-23]	[Враг не пройдёт, или как помочь командам соблюдать стандарты разработки, Александр Токарев, Сбербанк](https://habr.com/ru/company/oleg-bunin/blog/328262/)
 89 | *	[2020-07-15]	[Валидация Kubernetes YAML на соответствие лучшим практикам и политикам, перевод Amit Saha, Flant](https://habr.com/ru/company/flant/blog/511018/)
 90 | *	[2020-06-10]	[Контейнеры для приложений: риски безопасности и ключевые решения по защите, Денис Якимов, КРОК](https://www.anti-malware.ru/Market_Analysis/Application-containers-security-risks-and-key-security-solutions)
 91 | *	[2020-03-10]	[Как автоматизировать безопасность контейнеров в стиле Policy as Code с помощью CRD, перевод Niteen Kole, Mail.ru](https://habr.com/ru/company/mailru/blog/490796/)
 92 | *	[2019-12-30]	[Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала, перевод Paulo Gomes, Flant](https://habr.com/ru/company/flant/blog/481114/)
 93 | *	[2019-09-27]	[Азбука безопасности в Kubernetes: аутентификация, авторизация, аудит, Олег Вознесенский, Flant](https://habr.com/ru/company/flant/blog/468679/)
 94 | *	[2019-09-12]	[Выход за пределы pod'а в Kubernetes через монтирование логов, перевод Daniel Sagi, Flant](https://habr.com/ru/company/flant/blog/466625/)
 95 | *	[2019-08-28]	[33+ инструмента для безопасности Kubernetes, перевод статьи Mateo Burillo, Flant](https://habr.com/ru/company/flant/blog/465141/)
 96 | *	[2019-08-07]	[Безопасность Helm, доклад Александра Хаерова, Chainstack](https://habr.com/ru/company/oleg-bunin/blog/462665/), [[доклад]](https://youtu.be/_8zNTJ1_R5I)
 97 | *	[2019-07-04]	[Способы и примеры внедрения утилит для проверки безопасности Docker, Павел Канн, Swordfish Security](https://swordfishsecurity.ru/docker-security-scanning-examples)
 98 | *	[2019-06-26]	[Обзор утилит безопасности Docker, Павел Канн, Swordfish Security](https://swordfishsecurity.ru/blog/obzor-utilit-bezopasnosti-docker)
 99 | *	[2019-05-29]	[Безопасность Docker, Павел Канн, Swordfish Security](https://swordfishsecurity.ru/blog/docker_security)
100 | *	[2019-04-29]	[Введение в сетевые политики Kubernetes для специалистов по безопасности, перевод статьи Reuven Harrison, Flant](https://habr.com/ru/company/flant/blog/443190/)
101 | *	[2019-04-21]	[Шпаргалки по безопасности: Docker, Acribia](https://habr.com/ru/company/acribia/blog/448704/)
102 | *	[2019-01-18]	[9 лучших практик по обеспечению безопасности в Kubernetes, Андрей Сидоров, Flant](https://habr.com/ru/company/flant/blog/436300/)
103 | *	[2018-09-11]	[Понимаем RBAC в Kubernetes, перевод статьи Javier Salmeron, Flant](https://habr.com/ru/company/flant/blog/422801/)
104 | *	[2018-07-25]	[11 способов (не) стать жертвой взлома в Kubernetes, перевод статьи Andrew Martin, Flant](https://habr.com/ru/company/flant/blog/417905/)
105 | *	[2017-10-03]	[Проблемы безопасности Docker, Перевод от Игоря Олемского, Southbridge](https://habr.com/ru/company/southbridge/blog/339126/)
106 | *	[2017-09-15]	[Обеспечение сетевой безопасности в кластере Kubernetes,перевод Ahmet Alp Balkan, Southbridge](https://habr.com/ru/company/southbridge/blog/337088/)
107 | *	[2017-02-17]	[Контейнеры и безопасность: seccomp, Андрей Емельянов, Selectel](https://habr.com/ru/company/selectel/blog/322046/)
108 | 		
109 | ## Доклады
110 | ### Dev
111 | *	[2020-08-26]	[SAST, борьба с потенциальными уязвимостями, Андрей Карпов, PVS-Studio](https://youtu.be/HYTizYEXmvs)
112 | *	[2020-08-26]	[Внедрение SAST: теория vs практика, Ярослав Александров, Ростелеком-Solar](https://youtu.be/gN4SCUD3smE)
113 | *	[2020-07-30]	[DevSecOps. Чего нам не хватает. Сергей Белов, Acronis](https://play.sonatype.com/watch/mDGzwBfMxsjX8iz7VsaFo5)
114 | *	[2020-07-30]	[Мы начинаем DevSecOps, Юрий Шабалин, Swordfish Security](https://play.sonatype.com/watch/mDGzwBfMxsjX8iz7VsaFo5)
115 | *	[2020-06-01]	[DevSec. Встраивание ИБ в конвейер разработки, Александр Садыков,Станислав Косарев,Антон Гаврилов, «Инфосистемы Джет»](https://youtu.be/jlOL1NkdH_U)
116 | *	[2020-05-12]	[DevSecOps. Общее погружение, Антон Гаврилов,Александр Краснов, «Инфосистемы Джет»](https://youtu.be/BrglJmPkvNg)
117 | *	[2019-12-25]	[DevSecOps или как встроить проверки информационной безопасности в микросервисы, Антон Башарин, Swordfish Security](https://youtu.be/0Gn8ONZnfU8)
118 | *	[2019-12-24]	[DevOps-SecOps, Анатолий Карпенко](https://youtu.be/u4HNIa-dWKk)
119 | *	[2019-12-24]	[DevSecOps: tips and tricks, Юрий Шабалин, Swordfish Security](https://youtu.be/l8jiV0DylRU)
120 | *	[2019-08-23]	[AppSec как код, Антон Башарин и Юрий Шабалин, Swordfish Security](https://youtu.be/wfHJyqhTW1o)
121 | *	[2019-07-03]	[SAST и Application Security: как бороться с уязвимостями в коде, Сергей Хренов, PVS-Studio](https://youtu.be/XnHVQBgOBM8)
122 | *	[2019-07-03]	[Как построить безопасность SDLC без SDLC, Иван Афанасьев, BI.Zone](https://youtu.be/Lrcgb9pm6ck)
123 | *	[2018-09-23]	[Страх и ненависть DevSecOps, Юрий Шабалин, Swordfish Security](https://youtu.be/ROH636e7Rx8), [DevOps Moscow meetup](https://www.meetup.com/DevOps-Moscow-in-Russian/), [[слайды]](https://speakerdeck.com/devopsmoscow/strakh-i-nienavist-devsecops)
124 | *	[2018-09-23]	[Security Compliance & DevOps, Степан Носов, IPONWEB](https://youtu.be/BtFeWnR1xXE), [DevOps Moscow meetup](https://www.meetup.com/DevOps-Moscow-in-Russian/), [[слайды]](https://speakerdeck.com/devopsmoscow/security-compliance-and-devops)
125 | *	[2018-02-24]	[Теория и практика формального моделирования уязвимостей, Владимир Кочетков, PT](https://youtu.be/h7SwURZNiWo),[слайды](https://speakerdeck.com/kochetkov/formal-noie-modielirovaniie-uiazvimostiei)
126 | ### Ops
127 | *	[2020-12-04]	[Ломаем прил-е в Docker и строим безопасный пайплайн Gitlab, Денис Якимов, Павел Канн, Swordfish Security](https://youtu.be/0_Lb9OVxmbw)
128 | *	[2020-11-30]	[Защита Kubernetes со всех сторон, Даниил Бельтюков, Digital Security](https://youtu.be/W3cdL7Gsey0)
129 | *	[2020-05-27]	[Облачный пентест: Методики тестирования Amazon AWS, Вадим Шелест, Digital Security](https://youtu.be/1LjeBUOd9_Y)
130 | *	[2020-05-27]	[Использование seccomp для защиты облачной инфраструктуры, Антон Жаболенко, Яндекс.Облако](https://youtu.be/n7ZVJarg4s8)
131 | *	[2020-05-26]	[SecOps. Защита кластера. Юрий Семенюков, Анастасия Дитенкова, Виктор Пучков, «Инфосистемы Джет»](https://youtu.be/caaMo9alIgA)
132 | *	[2020-04-22]	[Обеспечение безопасности микросервисной архитектуры в Kubernetes, Олег Маслеников, ЦИАН](https://youtu.be/aKUhXc1t-3o)
133 | *	[2020-01-16]	[У вас есть кластер Kubernetes, но нет майнера на подах? Тогда мы идем к вам! Антон Булавин, Semrush](https://youtu.be/kth2QVI2PmI)
134 | *	[2019-12-10]	[Заделываем дыры в кластере Kubernetes, Павел Селиванов, Southbridge](https://www.youtube.com/watch?v=Ik7VqbgpRiQ)
135 | *	[2019-05-17]	[Непрерывный статический анализ, Иван Пономарев](https://www.youtube.com/watch?v=SvN7ZwWw7pM&feature=youtu.be)
136 | *	[2019-02-27]	[Безопасность в Kubernetes, Дмитрий Лазаренко, Mail.Ru Cloud Solutions](https://youtu.be/62XWgBIYnJ8)
137 | *	[2019-02-08]	[Управление секретами при помощи Hashicorp Vault в Авито, Сергей Носков, Авито](https://youtu.be/oDdDPU6moTs)
138 | *	[2018-10-30]	[Мониторинг безопасности сайтов, Григорий Земсков, Ревизиум](https://youtu.be/NbN_uOxRHOo)
139 | *	[2018-10-05]	[Безопасность в Kubernetes. Проект Kaniko. Лаборатория ПИТ](https://youtu.be/14ZI3fcc59Q)
140 | *	[2018-07-23]	[Статический анализ: ищем ошибки... и уязвимости? Сергей Васильев, PVS-Studio](https://www.youtube.com/watch?v=ORygHFn2uJk)
141 | *	[2017-04-22]	[Хайлоад и безопасность в мире DevOps: совместимы ли? Юрий Колесов, security-gu.ru](https://youtu.be/JAQDnTDdugo)
142 | *	[2016-07-04]	[Проникновение в Docker с примерами, Дмитрий Столяров, Flant](https://youtu.be/hdVNKmru3LM)
143 | 
144 | ## Подкасты
145 | * [SecOps - второе пришествие, Денис Якимов, Swordfish Security](https://soundcloud.com/qaguild/s03e14)
146 | * [Про DevSecOps, Барух Садогурский, JFrog](https://soundcloud.com/qaguild/s3e07)
147 | * [Мобильный SSDLC, Юрий Шабалин, Swordfish Security](https://youtu.be/EGB8mstJlyA)
148 | * [SDCast #96, Юрий Шабалин, Swordfish Security](https://sdcast.ksdaemon.ru/2019/01/sdcast-96/)
149 | * [Qu3b3c: Немного про K8s и Cloud Native](https://music.yandex.ru/album/10321679/track/85503276)
150 | * [DevOps Курилка. "DevSecOps as Инфобезопасник 2.0".](https://t.me/sec_devops/495?comment=5932)
151 | 
152 | ## Стандарты и нормативные документы
153 | ### Модели зрелости
154 | * [BSIMM](https://www.bsimm.com/)
155 | * [OWASP SAMM](https://owaspsamm.org/model/)
156 | * [OWASP Devsecops Maturity Model](https://owasp.org/www-project-devsecops-maturity-model/)
157 | ### Стандарты
158 | * ["ГОСТ 58412 Разработка безопасного ПО. Угрозы безопасности информации при разработке ПО"](https://t.me/sec_devops_chat/460)
159 | * ["ГОСТ 56939 Разработка безопасного ПО. Общие требования."](https://t.me/sec_devops_chat/460)
160 | * [Проект стандарта "Руководство по реализации мер по разработке безопасного программного обеспечения"](https://t.me/sec_devops_chat/461)
161 | * [ISO IEC 27034](https://t.me/sec_devops_chat/462)
162 | 
163 | ## Курсы
164 | * ["Основные сведения об обеспечении безопасности с помощью моделирования угроз", Microsoft](https://docs.microsoft.com/ru-ru/learn/paths/tm-threat-modeling-fundamentals/#)
165 | * [FuzzingLabs](https://www.youtube.com/@fuzzinglabs)
166 | * [Яндекс ШКИБ 2018](https://www.youtube.com/playlist?list=PLQC2_0cDcSKD_JHWtEJGIFQUVh7Z5JM8E)
167 | * [Яндекс ШКИБ 2023](https://www.youtube.com/watch?v=jp7rF3dsdMo&list=PLQC2_0cDcSKD_JHWtEJGIFQUVh7Z5JM8E&index=1)
168 | 
169 | ## Инструменты
170 | ### Инструменты для моделирования угроз (Threat modeling)
171 | Моделирование угроз в контексте Secure Development Lifecycle представляет из себя процесс анализа архитектуры ПО на предмет наличия в ней потенциальных уязвимостей и небезопасных технологий. Чтобы сократить расходы на добавление дополнительного функционала с точки зрения безопасности, решением может являться внедрение процесса проверок ИБ еще на этапе проектирования архитектуры. На этом же этапе формируются требования со стороны специалистов по безопасности приложений, которые в дальнейшем пойдут в backlog
172 | #### Бесплатные / Open-source
173 | * [OWASP Threat Dragon](https://owasp.org/www-project-threat-dragon/)
174 | * [Pytm](https://github.com/izar/pytm)
175 | * [Materialize threats tool](https://github.com/secmerc/materialize_threats)
176 | * [Threatspec](https://github.com/threatspec/threatspec)
177 | * [Raindance](https://github.com/devsecops/raindance)
178 | * [Microsoft Threat Modeling Tool](https://docs.microsoft.com/en-gb/azure/security/develop/threat-modeling-tool)
179 | * [Theagile](https://github.com/Threagile/threagile)
180 | #### Коммерческие / Enterprise 
181 | * [Irius Risks](https://iriusrisk.com/)
182 | * [ThreatModeler](https://threatmodeler.com/)
183 | #### Другие подборки
184 | * [Awesome threat modeling](https://github.com/hysnsec/awesome-threat-modelling)
185 | 
186 | ### Статические анализаторы приложений (SAST)
187 | Статический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на исходные коды приложения
188 | #### Бесплатные / Open-source универсальные средства
189 | * [ShiftLeft Scan](https://github.com/ShiftLeftSecurity/sast-scan)
190 | * [Salus](https://github.com/coinbase/salus)
191 | * [Semgrep](https://semgrep.dev/editor)
192 | * [HuskyCI](https://github.com/globocom/huskyci)
193 | * [CodeQL](https://securitylab.github.com/tools/codeql)
194 | * [Joern](https://github.com/joernio/joern)
195 | * [Graudit](https://github.com/wireghoul/graudit/)
196 | * [RIPS](https://github.com/robocoder/rips-scanner)
197 | #### Коммерческие / Enterprise 
198 | * [Checkmarx](https://www.checkmarx.com/)
199 | * [FortifySAST](https://www.microfocus.com/en-us/cyberres/application-security/static-code-analyzers)
200 | * [PT AI](https://www.ptsecurity.com/ww-en/products/ai/)
201 | * [PVS-Studio](https://pvs-studio.ru/ru/pvs-studio/sast/)
202 | * [Solar AppScreener](https://rt-solar.ru/products/solar_appscreener/)
203 | * [Veracode Static Analysis](https://www.veracode.com/products/binary-static-analysis-sast)
204 | * [Svace](https://www.ispras.ru/technologies/svace/)
205 | #### Другие подборки с описанием SAST под конкретный язык
206 | * [OWASP Source Code Analysis Tools](https://owasp.org/www-community/Source_Code_Analysis_Tools)
207 | * [Static Analysis Tools](https://github.com/analysis-tools-dev/static-analysis)
208 | 
209 | ### Динамические анализаторы приложений (DAST)
210 | Динамический анализатор кода - инструмент, сообщающий об уязвимости приложения, ориентируясь на ответы сервера по заданным запросам
211 | #### Бесплатные / Open-source
212 | * [Arachni](https://github.com/Arachni/arachni)
213 | * [OWASP ZAP](https://github.com/zaproxy/zaproxy)
214 | * [w3af](https://github.com/andresriancho/w3af)
215 | * [nikto](https://github.com/sullo/nikto)
216 | * [nerve](https://github.com/PaytmLabs/nerve)
217 | * [Nuclei](https://github.com/projectdiscovery/nuclei)
218 | * [Automatic API Attack Tool](https://github.com/imperva/automatic-api-attack-tool)
219 | * [Wapiti](https://github.com/wapiti-scanner/wapiti)
220 | * [Vega](https://github.com/subgraph/Vega)
221 | #### Коммерческие / Enterprise 
222 | * [PortSwigger Burp Suite](https://portswigger.net/burp)
223 | * [NetSparker](https://www.netsparker.com/)
224 | * [Acunetix](https://www.acunetix.com/)
225 | * [WebInspect](https://www.microfocus.com/en-us/products/webinspect-dynamic-analysis-dast/overview)
226 | * [PT AI](https://www.ptsecurity.com/ww-en/products/ai/)
227 | * [PT BB](https://www.ptsecurity.com/ru-ru/products/blackbox/)
228 | * [Veracode Dynamic Analysis](https://www.veracode.com/products/dynamic-analysis-dast)
229 | * [Tenable Web App Scanning](https://www.tenable.com/products/tenable-io/web-application-scanning)
230 | #### Другие подборки
231 | * [Awesome DAST](https://github.com/analysis-tools-dev/dynamic-analysis/)
232 | 
233 | ### Поиск секретов
234 | Инструменты для поиска чувствительной информации
235 | #### Бесплатные / Open-source
236 | * [git-secrets](https://github.com/awslabs/git-secrets)
237 | * [Gitrob](https://github.com/michenriksen/gitrob)
238 | * [Gitleaks](https://github.com/zricethezav/gitleaks)
239 | * [TruffleHog](https://github.com/dxa4481/truffleHog)
240 | * [Talisman](https://github.com/thoughtworks/talisman)
241 | * [Slack Watchman](https://github.com/PaperMtn/slack-watchman)
242 | * [GitLab Watchman](https://github.com/PaperMtn/gitlab-watchman)
243 | * [Rusty Hog](https://github.com/newrelic/rusty-hog)
244 | * [Semgrep](https://semgrep.dev/secret)
245 | * [detect-secrets](https://github.com/Yelp/detect-secrets)
246 | * [repo-supervisor](https://github.com/auth0/repo-supervisor)
247 | #### Коммерческие / Enterprise 
248 | * [GitGuardian](https://www.gitguardian.com/community)
249 | * [SpectralOps](https://spectralops.io/)
250 | 
251 | ### Анализаторы сторонних компонентов (SCA) 
252 | Анализатор сторонних компонентов - инструмент, который осуществляет поиск уязвимостей в сторонних open-source компонентах, подключенных к проекту
253 | #### Бесплатные / Open-source
254 | * [Dependency check](https://github.com/jeremylong/DependencyCheck)
255 | * [Dependency Track](https://dependencytrack.org/)
256 | * [Nexus Vulnerability Scanner](https://www.sonatype.com/appscan)
257 | * [ClearlyDefined](https://clearlydefined.io/?sortDesc=true&sort=releaseDate)
258 | * [Renovate](https://renovate.whitesourcesoftware.com/)
259 | * [Dependabot](https://dependabot.com/)
260 | #### Коммерческие / Enterprise 
261 | * [Sonatype Nexus IQ](https://www.sonatype.com/nexus/iqserver)
262 | * [Veracode SCA](https://www.veracode.com/products/software-composition-analysis)
263 | * [Snyk Open Source](https://snyk.io/product/open-source-security-management/)
264 | * [WhiteSource for Developers](https://www.whitesourcesoftware.com/whitesource-for-developers/)
265 | * [JFrog XRay](https://jfrog.com/xray/)
266 | * [Black Duck](https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)
267 | #### Другие подборки
268 | * [OWASP Composition Analysis](https://owasp.org/www-community/Component_Analysis)
269 | 
270 | ### Анализаторы open-source компонентов (OSA)
271 | Анализаторы open-source компонентов обеспечивает контроль безопасности компонент с открытым исходным кодом при попадании в периметр разработки
272 | #### Коммерческие / Enterprise
273 | * [Фактор](https://факторсекьюрити.рф/)
274 | 
275 | ### Тестирование по принципам Behaviour Driven Development
276 | Фреймворки, позволяющий описывать проверки по методологии BDD
277 | #### Бесплатные / Open-source
278 | * [BDD-Security](https://github.com/iriusrisk/bdd-security)
279 | * [Gauntlt](https://github.com/gauntlt/gauntlt)
280 | 
281 | ### Сканеры Docker образов
282 | Инструменты, направленные на поиск уязвимостей в образах контейнеров
283 | #### Бесплатные / Open-source
284 | * [Clair](https://github.com/quay/clair)
285 | * [Trivy](https://github.com/aquasecurity/trivy)
286 | * [Anchore](https://github.com/anchore/anchore-cli)
287 | * [AquaMicroscanner](https://github.com/aquasecurity/microscanner)
288 | * [Dagda](https://github.com/eliasgranderubio/dagda/)
289 | * [whalescan](https://github.com/nccgroup/whalescan)
290 | * [grype](https://github.com/anchore/grype)
291 | * [syft](https://github.com/anchore/syft)
292 | #### Коммерческие / Enterprise 
293 | * [Snyk Container](https://snyk.io/product/container-vulnerability-management/)
294 | * [TrendMicro SmartCheck](https://www.trendmicro.com/en_us/business/products/hybrid-cloud/smart-check-image-scanning.html)
295 | * [WhiteSource for containers](https://www.whitesourcesoftware.com/whitesource-for-containers/)
296 | * [Nexus Container](https://www.sonatype.com/products/container)
297 | #### Другие подборки
298 | * [29 Docker security tools compared](https://sysdig.com/blog/20-docker-security-tools/)
299 | * [Awesome Container Security](https://github.com/kai5263499/awesome-container-security)
300 | * [Awesome Docker Security](https://github.com/myugan/awesome-docker-security)
301 | 
302 | ### Проверка Docker / Kubernetes на соответствие
303 | Инструменты для проверки хоста/dockerd/сборки на соответствие (CIS/PCI DSS и другие)
304 | #### Бесплатные / Open-source
305 | * [Docker bench](https://github.com/docker/docker-bench-security)
306 | * [Dockle](https://github.com/goodwithtech/dockle)
307 | * [Kubebench](https://github.com/aquasecurity/kube-bench)
308 | * [Kubernetes Auto Analyzer](https://github.com/nccgroup/kube-auto-analyzer)
309 | 
310 | ### Безопасность Kubernetes
311 | Инструменты для проверки безопасности Kubernetes
312 | #### Бесплатные / Open-source
313 | * [Kubehunter](https://github.com/aquasecurity/kube-hunter)
314 | * [KubiScan](https://github.com/cyberark/KubiScan)
315 | * [Krane](https://github.com/appvia/krane)
316 | * [Statboard](https://github.com/aquasecurity/starboard)
317 | * [Kubeaudit](https://github.com/Shopify/kubeaudit)
318 | * [Kubesec](https://github.com/controlplaneio/kubesec)
319 | * [audit2rbac](https://github.com/liggitt/audit2rbac)
320 | * [kubei](https://github.com/Portshift/Kubei)
321 | * [Kubestriker](https://github.com/vchinnipilli/kubestriker)
322 | * [Container penetration toolkit](https://github.com/cdk-team/CDK)
323 | #### Другие подборки
324 | * [Kubernetes Security Checklist and Requirements - All in One](https://github.com/Vinum-Security/kubernetes-security-checklist/blob/main/README-RU.md)
325 | * [Awesome Kubernetes Security](https://github.com/ksoclabs/awesome-kubernetes-security)
326 | * [Awesome k8s Security](https://github.com/magnologan/awesome-k8s-security)
327 | 
328 | ### Container Runtime
329 | Инструменты для отслеживания поведения контейнеров в Runtime
330 | #### Бесплатные / Open-source
331 | * [Sysdig Falco](https://github.com/falcosecurity/falco)
332 | * [Deepfence Runtime Threat Mapper](https://github.com/deepfence/ThreatMapper)
333 | * [Stackrox](https://github.com/stackrox/)
334 | ### Коммерческие комплексные решения Cloud Native Security Platform
335 | * [Aqua CSP](https://www.aquasec.com/aqua-cloud-native-security-platform/)
336 | * [Luntry](https://luntry.ru/)
337 | * [Aqua CSPM](https://www.aquasec.com/products/cspm/)
338 | * [Prisma Cloud Compute](https://www.paloaltonetworks.com/prisma/cloud)
339 | * [NeuVector](https://neuvector.com/)
340 | * [Sysdig](https://sysdig.com/secure-devops-platform/)
341 | * [Tenable.io Container Security](https://www.tenable.com/products/tenable-io/container-security)
342 | * [McAfee Container Security](https://www.mcafee.com/enterprise/en-us/products/mvision-cloud/container-security.html)
343 | * [TrendMicro CloudOne](https://www.trendmicro.com/en_us/business/products/hybrid-cloud/cloud-one-container-image-security.html)
344 | * [Qualys Container Security](https://www.qualys.com/apps/container-security/)
345 | 
346 | ### Runtime Security 
347 | Инструменты для проверки веб-приложений в Runtime
348 | #### Бесплатные / Open-source
349 | * [RASP](https://github.com/baidu/openrasp)
350 | * [Modsecurity](https://github.com/SpiderLabs/ModSecurity)
351 | * [Dynatrace Community Edition](https://github.com/Dynatrace)
352 | #### Коммерческие / Enterprise 
353 | * [Sqreen](https://www.sqreen.com/platform?utm_medium=social&utm_source=blog&utm_campaign=header&utm_term=Product)
354 | * [Waratek](https://waratek.com/)
355 | 
356 | ### IAST
357 | Инструменты, совмещающие практики SAST и DAST
358 | #### Бесплатные / Open-source
359 | * [Contrast](https://www.contrastsecurity.com/contrast-community-edition)
360 | #### Коммерческие / Enterprise 
361 | * [Checkmarx IAST](https://www.checkmarx.com/products/interactive-application-security-testing)
362 | * [Veracode IAST](https://www.veracode.com/products/interactive-analysis-iast)
363 | * [Synopsys IAST](https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)
364 | * [Acunetix IAST](https://www.acunetix.com/vulnerability-scanner/acusensor-technology/)
365 | * [Burp IAST](https://portswigger.net/burp/documentation/infiltrator)
366 | 
367 | ### Fuzzing
368 | Практика тестирования приложения, при которой на вход программе подаются данные, которые могут привести к неопределенному поведению
369 | #### Бесплатные / Open-source
370 | * [AFL++](https://github.com/AFLplusplus/AFLplusplus)
371 | * [LibFuzzer](https://llvm.org/docs/LibFuzzer.html)
372 | * [Peach](https://github.com/MozillaSecurity/peach)
373 | * [Syzkaller](https://github.com/google/syzkaller)
374 | * [restler-fuzzer](https://github.com/microsoft/restler-fuzzer)
375 | * [Skipfish](https://github.com/spinkham/skipfish)
376 | #### Другие подборки
377 | * [Awesome Fuzzing](https://github.com/cpuu/awesome-fuzzing#readme)
378 | * [Fuzzing Paper Collection](https://github.com/0xricksanchez/paper_collection)
379 | * [Fuzzing Papper](https://github.com/wcventure/FuzzingPaper)
380 | * [Репозиторий oss-fuzz от Google](https://github.com/google/oss-fuzz)
381 | 
382 | ### MAST
383 | Инструменты для проверки мобильных приложений
384 | #### Бесплатные / Open-source
385 | * [MobSF](https://github.com/MobSF/Mobile-Security-Framework-MobSF)
386 | * [AndroBugs](https://github.com/AndroBugs/AndroBugs_Framework)
387 | * [Drozer](https://github.com/WithSecureLabs/drozer)
388 | #### Коммерческие / Enterprise
389 | * [Stingray](https://stingray-mobile.ru/)
390 | * [Appknox](https://www.appknox.com/)
391 | 
392 | ### Vulnerability Management
393 | Инструменты, собирающие и агрегирующие результаты проверки сторонних инструментов
394 | #### Бесплатные / Open-source
395 | * [DefectDojo](https://github.com/DefectDojo/django-DefectDojo)
396 | * [Secure code Box](https://github.com/secureCodeBox/secureCodeBox)
397 | * [Archery](https://archerysec.github.io/archerysec/)
398 | * [Faraday](https://github.com/infobyte/faraday)
399 | * [VulnReport](https://github.com/salesforce/vulnreport)
400 | #### Коммерческие / Enterprise 
401 | * [ThreatFix](https://threadfix.it/)
402 | * [Kenna Security](https://www.kennasecurity.com/)
403 | 
404 | ### Application Security Orchestration and Correlation (ASOC)
405 | Инструменты, оркестрирующие проверки сторонних инструментов
406 | #### Коммерческие / Enterprise 
407 | * [AppSec.Hub](https://appsec-hub.ru/)
408 | * [Kondukto](https://kondukto.io/)
409 | * [Orchestron](https://orchestron.io/)
410 | 
411 | ### Compliance-as-code
412 | Практика представления требований безопасности через декларативное описание в виде кода с целью дальнейшей непрерывной оценки на соответствие
413 | #### Бесплатные / Open-source
414 | * [Chef InSpec](https://github.com/inspec/inspec)
415 | * [Compliance Masonry](https://github.com/opencontrol/compliance-masonry)
416 | 
417 | ### IAC Security
418 | Практика тестирования декларативного описания инфраструктуры через конфигурационные файлы на соответствие требования безопасности
419 | * [Cfn Nag](https://github.com/stelligent/cfn_nag)
420 | * [Checkov](https://github.com/bridgecrewio/checkov)
421 | * [Terrascan](https://github.com/cesar-rodriguez/terrascan)
422 | * [Tfsec](https://github.com/liamg/tfsec)
423 | * [kics](https://www.kics.io/)
424 | * [ScoutSuite](https://github.com/nccgroup/ScoutSuite)
425 | #### Kubernetes YAML validating
426 | * [Kubeval](https://github.com/instrumenta/kubeval)
427 | * [Kube-score](https://github.com/zegl/kube-score)
428 | * [Config-lint](https://github.com/stelligent/config-lint)
429 | * [Copper](https://github.com/cloud66-oss/copper)
430 | * [Conftest](https://github.com/open-policy-agent/conftest)
431 | * [Polaris](https://github.com/FairwindsOps/polaris#cli)
432 | #### Сравнение
433 | * [Сравнение инструментов](https://learnk8s.io/validating-kubernetes-yaml)
434 | * [tool-compare](https://github.com/iacsecurity/tool-compare)
435 | 
436 | ### Безопасность AWS
437 | Инструменты для проверки безопасности AWS
438 | #### Бесплатные / Open-source
439 | * [AWS-inventor](https://github.com/nccgroup/aws-inventory)
440 | * [Aws-public-ips](https://github.com/arkadiyt/aws_public_ips)
441 | * [CloudSploit](https://github.com/cloudsploit/scans)
442 | * [AWS Security Benchmark](https://github.com/awslabs/aws-security-benchmark)
443 | * [S3 Scan](https://github.com/bear/s3scan)
444 | #### Другие подборки
445 | * [My-arsenal-of-aws-security-tools](https://github.com/toniblyx/my-arsenal-of-aws-security-tools)
446 | * [Awesome AWS S3 Tools](https://github.com/mxm0z/awesome-sec-s3)
447 | * [Cloud Security Tools by Cloudberry Engineering](https://cloudberry.engineering/tool/)
448 | 
449 | ### Безопасность GCP
450 | Инструменты для проверки безопасности GCP
451 | #### Бесплатные / Open-source
452 | * [G-Scout](https://github.com/nccgroup/G-Scout)
453 | * [ScoutSuite](https://github.com/nccgroup/ScoutSuite)
454 | * [gcp-audit](https://github.com/spotify/gcp-audit)
455 | * [gcp-iam-collector](https://github.com/marcin-kolda/gcp-iam-collector)
456 | * [gke-auditor](https://github.com/google/gke-auditor)
457 | 
458 | ### Другие общие подборки по DevSecOps инструментам
459 | * [My Arsenal of Cloud Native (Security) Tools by MARCO LANCINI](https://www.marcolancini.it/2018/blog-arsenal-cloud-native-security-tools/)
460 | * [Security along the Container-based SDLC](https://holisticsecurity.io/2020/02/10/security-along-the-container-based-sdlc)
461 | * [DevSecOps / Awesome DevSecOps](https://github.com/devsecops/awesome-devsecops)
462 | * [TaptuIT / Awesome DevSecOps](https://github.com/TaptuIT/awesome-devsecops)
463 | * [Devops-ru / Awesome DevSecOps RU](https://github.com/devops-ru/awesome-devsecops_ru)
464 | 


--------------------------------------------------------------------------------