\ No newline at end of file
diff --git a/CNAME b/CNAME
new file mode 100644
index 0000000..1a537cf
--- /dev/null
+++ b/CNAME
@@ -0,0 +1 @@
+cyberorda.com
\ No newline at end of file
diff --git a/CTF/index.html b/CTF/index.html
new file mode 100644
index 0000000..7289a54
--- /dev/null
+++ b/CTF/index.html
@@ -0,0 +1 @@
+ CTF - ORDA
\ No newline at end of file
diff --git a/Courses/index.html b/Courses/index.html
new file mode 100644
index 0000000..cc67bd9
--- /dev/null
+++ b/Courses/index.html
@@ -0,0 +1 @@
+ Курсы - ORDA
Учебное пособие по безопасности приложений является частью сервиса IBM AppSec Champion Service. В нем описаны основные шаги для быстрого создания программы Security Champions независимо от размера компании и зрелости существующих процессов безопасности.
Кто должен принимать участие в тренинге по безопасности приложений?
Согласно определению OWASP, чемпионы по безопасности - это "активные члены команды, которые могут помочь принять решение о том, когда привлекать команду безопасности". Они выступают в качестве основного элемента процесса обеспечения безопасности в рамках продукта или услуги и выполняют роль единой точки контакта (SPOC) в команде.
Что входит в программу обучения по безопасности?
Активное участие в работе AppSec JIRA и WIKI.
Сотрудничать с другими сторонниками безопасности
Анализировать влияние "разрушающих изменений", сделанных в других проектах
Посещать еженедельные встречи
Быть единым контактным лицом для своей команды.
Убеждаться в том, что безопасность не препятствует активной разработке или обзорам
Помогают в принятии решений по безопасности для своей команды.
Низкое и умеренное влияние на безопасность
Имеют право принимать решения
Документировать принятые решения в багах или вики.
Высококритичное влияние на безопасность
Работать с командой AppSec над стратегиями смягчения последствий.
Помощь в QA и тестировании
Писать тесты (от юнит-тестов до интеграционных тестов)
Помощь в разработке сред CI (Continuous Integration)
Какие преимущества дает компании обучение по безопасности приложений?
Основные преимущества наличия команды чемпионов по безопасности: * Масштабирование безопасности через несколько команд. * Привлечение людей, не связанных с безопасностью. * Создание культуры безопасности
1. Определите команды
Первым шагом в запуске собственной программы Security Champions является определение масштаба проблемы существующих команд, с которыми вы будете работать. существующих команд, с которыми вы будете работать. Поскольку мы стремимся к лучшему охвату и распространению безопасности, очень важно записать ее и хранить в общеизвестном и доступном место. Раунды интервью 1 на 1 с владельцами продуктов и руководителями инженерных отделов будут хорошим началом для этой деятельности.
Типичные вопросы, которые вы хотите задать: - сколько команд работает над одним продуктом - сколько разработчиков работает в каждой команде - какие технологии (языки программирования, фреймворки) они используют - где хранятся код и документация - какие автоматизированные инструменты и внешние/внутренние сервисы используются для разработки и тестирования - каков в настоящее время процесс проверки кода (включая проверку кода на безопасность) и кто в нем участвует - существуют ли другие виды деятельности, связанные с безопасностью продукта, помимо проверки кода - каков календарь релизов / цикл / текущая стадия развития продукта - каковы наиболее часто используемые каналы связи для продукта - как обычно сообщают о проблемах безопасности / ошибках в продукте, и кто этим занимается.
Результатом этого упражнения должна стать страница во внутренней вики с таблицей, например, следующего содержания:
Продукт
Команда
Технологии
Контактное лицо по безопасности (если есть)
Руководитель команды
Менеджер продукта
BTS
Комментарии
Продукт1
Alpha
Python, Django
Джон Смит
John Smith
Анна Новак
HELO
Использование инструмента Bandit
2. Определите роль
Основная цель этого шага - выработать осязаемые цели и подготовить четкие описание ролей для будущих чемпионов по безопасности. В то время как оценка текущего состояния безопасности в Частично это уже сделано на предыдущем шаге, но подробное описание построения глобальной стратегии безопасности AppSec выходит за рамки данного руководства - пожалуйста, обратитесь к существующим фреймворкам, таким как OpenSAMM, который предоставляет простой и понятный способ достижения этой цели.
Когда программа AppSec и глобальные цели определены, важно выделить виды деятельности, которые больше всего подходят чемпионам по безопасности, и соотнести их с этими целями. В зависимости от текущего состояния безопасности в вашей организации, это может включать некоторые или все нижеперечисленные действия: - проводить и/или проверять обзоры безопасности в команде - охрана и продвижение лучших практик - поднимать проблемы для оценки рисков в существующем и новом коде - построение моделей угроз для новых функций - проводить и/или проверять автоматическое сканирование - расследовать сообщения о багах - участвовать в научно-исследовательской деятельности
3. Назначьте security-чемпионов
Итак, роли определены, теперь пришло время назначить чемпионов! Чтобы без проблем пройти этот этап, вам необходимо сначала получить одобрение от руководства на всех уровнях - от топ-менеджеров до владельцев продуктов и непосредственных руководителей команд. Несмотря на то что это классический "подход сверху вниз", это очень важная часть, поскольку она гарантирует, что худший аргумент, который вы можете услышать: "У меня не было времени на безопасность", будет устранен. Проведите презентацию определенных ролей, преимуществ для команды и примерного времени, которое чемпион будет тратить на выполнение задач по безопасности - для начала достаточно 20%.
После того как одобрение получено, следующим шагом будет определение потенциальных чемпионов. Сядьте вместе с менеджером команды, выберите кандидатов и проведите мини-интервью с каждым из них. Помните - это не назначение, а выдвижение! Опишите роль, ожидания и стратегию, а также покажите им личные выгоды от того, что они станут чемпионом: * саморазвитие и способность по-другому смотреть на вещи * повышение своей ценности на рынке * повышение качества продукта * посещение конференций по безопасности * стать важной частью мета-команды безопасности * весело проводить время :)
В худшем случае попросите менеджера команды помочь вам найти чемпиона - хотя, надеюсь. вы получите чемпиона сразу после первой презентации.
Последним шагом здесь будет официальное назначение - добавьте его на мета-страницу команды безопасности, заменив промежуточное "контактное лицо по безопасности" на "Чемпион по безопасности".
4. Установите каналы связи
Назначенные чемпионы не могут работать сами по себе, и лучше всего, когда они они действительно чувствуют (мета) командный дух - поэтому следующим шагом будет создание коммуникационные каналы. В зависимости от корпоративной культуры это может быть, например, следующее следующее:
частные каналы Slack / IRC
команды Keybase
групповые чаты Skype
группы Yammer
списки рассылки
Чем больше, тем лучше, на самом деле - просто убедитесь, что есть простой способ распространить важную информацию и получать обратную связь. Кроме того, периодически устраивайте синхронизацию чтобы посмотреть, как идут дела, и вместе скорректировать краткосрочные цели. Для Для начала достаточно встреч раз в две недели.
5. Создайте прочную базу знаний
Главная идея: внутренняя база знаний должна быть основным источником ответов на вопросы, связанные с безопасностью. Помимо страницы мета-команды, которая позволяет любому человеку быстро найти нужный контакт, следующие страницы окажутся весьма полезными: - Глобальная стратегия безопасности - Четко определенные роли и процедуры безопасности - Лучшие практики безопасной разработки - Рекомендуемые криптоалгоритмы - Описание общих рисков и уязвимостей - Парольные политики
Особое внимание следует уделить простым и легко выполнимым контрольным спискам, поскольку это, как правило, самый простой способ начать работу. Примерные контрольные списки могут включают следующее: - Контрольные списки по веб-безопасности / мобильной безопасности - Контрольный список безопасности сторонних разработчиков - Контрольный список безопасности пользовательского интерфейса - Контрольный список конфиденциальности
Хотя создавать все с нуля может быть утомительной задачей, существует ряд проектов с открытым исходным кодом, которые могут значительно облегчить вам жизнь. Проекты OWASP такие как Security Knowledge Framework, ASVS и MASVS, а также лучшие отраслевые практики (например, CERT secure coding standards) станет отличной отправной точкой для повышения вашего KB и может стать основой для первых нескольких внутренних семинаров.
6. Поддерживайте интерес
Для того чтобы экосистема чемпионов по безопасности была непрерывной и успешной, очень важно очень важно постоянно поддерживать их и предоставлять обучающие материалы. Ниже вы приведены несколько способов поддержать интерес чемпионов и помочь им развиваться как профессионалов в области безопасности.
Семинары и тренинги
Периодически проводите семинары для команд, объясняйте стратегию, пропагандируйте лучшие практики, или просто делитесь последними новостями из мира безопасности. Организуйте [интерактивную викторину] (https://kahoot.com), объявите "Хакерский четверг" или начните ["Месяц ошибок"] (https://owaspsummit.org/Working-Sessions/Security-Crowdsourcing/Internal-Bug-Bounties-Programmes.html). Поговорите с чемпионами и вместе решите, какой формат вам больше всего подходит. Независимо от того, какой формат вы выберете, это, вероятно, самый важный момент во всем Playbook. Поддерживайте их мотивацию, и очень скоро вы будете приятно приятно удивлены очень скоро!
Регулярные информационные рассылки
Делитесь свежими новостями в области безопасности через установленные каналы связи (например, Ezine weekly appsec compilations). Кроме того, начните ежемесячные информационные бюллетени по безопасности, содержащие новости от команд, планы, благодарности за за хорошую работу и любую другую актуальную и интересную информацию - это не только привлечет чемпионов еще больше, но и станет хорошей контрольной точкой для вашей программы безопасности. программа.
Уголок security champions
Создайте отдельное пространство в вашей внутренней вики и добавьте туда специальные страницы, такие как: - календарь конференций (начать здесь) - библиотека хороших книг и статей по безопасности (начало здесь) - слайды с посещенных конференций (или начало здесь) - "комнаты для идей и улучшений"
Местные собрания OWASP
Создайте местное отделение или присоединитесь к существующему, и приглашайте чемпионов учиться и делиться опытом! Это еще один отличный способ пообщаться, встретиться с коллегами и обсудить актуальные проблемы, новости и идеи.
\ No newline at end of file
diff --git a/DevSecOps/index.html b/DevSecOps/index.html
new file mode 100644
index 0000000..eb9a507
--- /dev/null
+++ b/DevSecOps/index.html
@@ -0,0 +1 @@
+ Инструменты DevSecOps - ORDA
DevSecOps-Studio: DevSecOps Distribution - виртуальная среда для изучения DevSecOps
Инструменты
Управление уязвимостями
DefectDojo: DefectDojo - это инструмент корреляции уязвимостей приложений и оркестровки безопасности с открытым исходным кодом.
Whitespots portal: Whitespots portal - Комерческая система для поиска и управления уязвимостями с функцией создания правил для валидации и скоринга уязвимостей, а также дедупликации уязвимостей пришедших от разных сканеров. Одним из компонентов платформы является своя CI система, на базе которой осуществляется запуск сканеров.
DependencyTrack: Dependency-Track - это интеллектуальная платформа анализа состава программного обеспечения (SCA), которая позволяет организациям выявлять и снижать риски, связанные с использованием компонентов сторонних разработчиков и компонентов с открытым исходным кодом.
Автоматизированное тестирование безопасности
mobsf-ci: Все, что требуется для запуска MobSF в ci
glue: Glue - это фреймворк для запуска ряда инструментов. В целом, он предназначен для автоматизации конвейера инструментов анализа безопасности.
\ No newline at end of file
diff --git a/HowTOBEContrib/index.html b/HowTOBEContrib/index.html
new file mode 100644
index 0000000..7a98bbd
--- /dev/null
+++ b/HowTOBEContrib/index.html
@@ -0,0 +1,30 @@
+ Как стать контрибутором - ORDA
Открытые знания движут миром. И одной из важных миссией этого ресурса - является предоставление знаний в области Application Security. Мы открыты к тому, чтобы любой заинтересованный человек мог сделать вклад в этот ресурс. Это может выражаться в обновлении существующего материала, его доработка а также разработка новых статьей.
Правила
Введём некоторые правила, которые должен соблюдать каждый участник при написании материала, а также перед его отправкой:
Ресурс не может выражать мнение, касамое изменений которые происходят вне Application Security.
При написании статьи вы должны помнить о том, что ресурс не преследует коммерческие цели, соответственно статьи или изменения которые будут преисполнены респектом к определённому продукту/вендору не будут приниматься в основу.
Любое оскорбление и унижение над участниками сообщества или организацией также будут отклонены.
Материал нарушающий этически-правовые границы не принимается в наше сообщество.
Составляем статью.
Для начала необходимо, чтобы вы имели аккаунт на Github, а также базовое представление о его работе. Наш ресурс работает на MkDocs и мы должны придерживаться его гайдлайнов и принципов. Рассмотрим подробнее. Перейдя в репозиторий ОРДЫ в github - CyberORDA github. Вы можете увидить следующиуюю структуру.
Для нас имеет значение директория "Docs", которая содержит в себе все документы и статьи, которые загружены на ресурс.
Каждая статья написана в формате Markdown и имеет некоторую структуру:
Тут прописываются теги, которые будут видны на каждой странице и при помощи которых любой пользователь может быстро найти нужный контент. Также указываются плагины. Для каждой статьи необходимо использовать header, менять можно только теги.
Заголовки
При написании новой публикации вы также должны использовать его, поменяв тэги на те, которые считаете необходимыми.
# - заголовок 1-го уровня
+## - заголовок 2-го уровня
+### - заголовок 3-го уровня
+
Заголовки являются необходимым элементом при построенни текста. Они могут разделять контент. Мы используем жирные заголовки:
### **Жирный заголовок**
+
Будтет отображаться как:
Жирный заголовок
Основная часть
В основной части пишется всё необходимое содержимое статьи.
При написании текста мы можем применить форматирование:
** - для того чтобы текст был жирным
+
Пример:
**Жирный текст**
+
Будет отображаться как:
Жирный текст
Или вот:
**Жирный** текст
+
Жирный текст
* - для того чтобы текст был курсивным
+
Пример:
*Курсивный текст*
+
Будет отображаться как:
Курсивный текст
Или вот:
*Курсивный* текст
+
Курсивный текст
Тут мы можем импортировать картинки:
 - картинка по центру.
+
+{ align=left } - тег для указания положения картинки.
+
+{ width="300" } - тег для указания размера.
+
TryHackMe room - A Beginner level box with basic web enumeration and REST API Fuzzing.
Html
Мы включили плагин для использования html в markdown. Вы можете подгружать контент с YouTube или других ресурсов, которые предоставляют эту возможность.
Вносим изменения в github.
После того как статья была создана вами, необходимо предложить изменения в github.
Для этого, мы создаём файл в директории docs:
Вносим код markdown файла с статьёй, которую вы написали:
После этого делаем предпросмотр и нажимаем на "Commit Changes".
Дальше необходимо предоставить краткое описание того, что было сделано и сделать push
.
Что было дальше?
После того, как вы предложили изменение мы рассмотрим вашу статью или правки и опубликуем их в основной ветке.
До встречи и удачи!
\ No newline at end of file
diff --git a/Labs/index.html b/Labs/index.html
new file mode 100644
index 0000000..8116e9e
--- /dev/null
+++ b/Labs/index.html
@@ -0,0 +1 @@
+ Лабораторные работы - ORDA
Damn Vulnerable GraphQL Application is intentionally vulnerable implementation of Facebook's GraphQL technology to learn and practice GraphQL Security.
Kubernetes Goat - Kubernetes Goat is "Vulnerable by Design" Kubernetes Cluster. Designed to be an intentionally vulnerable cluster environment to learn and practice Kubernetes security.
CloudGoat - CloudGoat is Rhino Security Labs' "Vulnerable by Design" AWS deployment tool
bWAPP - This is just an instance of the OWASP bWAPP project as a docker container.
Xtreme Vulnerable Web Application - XVWA is a badly coded web application written in PHP/MySQL that helps security enthusiasts to learn application security.
lazyweb - This web application is a demonstration of common server-side application flaws. Each of the vulnerabilities has its own difficulty rating.
OWASP Mutillidae II - OWASP Mutillidae II is a free, open source, deliberately vulnerable web-application providing a target for web-security enthusiast.
Pentest_lab - Local penetration testing lab using docker-compose.
VulnLab - A vulnerable web application lab using Docker
WebGoat - WebGoat is a deliberately insecure application by OWASP for training purpose
VAmPI - Vulnerable REST API with OWASP top 10 vulnerabilities for security testing
clicker-service - simulate XSS - Docker container that intakes post and then "clicks" the link. Intentionally vulnerable. To be used with vulnerable by design web apps to realistically simulate XSS and XSRF (CSRF).
XXE Lab - A simple web app with a XXE vulnerability.
docker-java-xxe - Docker image to test XXE attacks in java with tomcat.
Request Smuggling
Varnish HTTP/2 Request Smuggling - This repository a docker-compose file to setup a local environment that is vulnerable to CVE-2021-36740 Varnish HTTP/2 request smuggling.
dvws-node - Damn Vulnerable Web Service is a vulnerable web service/API/application that can be used to learn webservices/API vulnerabilities.
\ No newline at end of file
diff --git a/MlSecOps/index.html b/MlSecOps/index.html
new file mode 100644
index 0000000..4769d22
--- /dev/null
+++ b/MlSecOps/index.html
@@ -0,0 +1 @@
+ Инструменты и курсы по MlSecOps - ORDA
CleverHans - Библиотека adversarial примеров и средств защиты для моделей машинного обучения.
AdvBox - Advbox - это набор инструментов для создания adversarial примеров, которые обманывают нейронные сети в PaddlePaddle、PyTorch、Caffe2、MxNet、Keras、TensorFlow.
Audit AI - Тестирование на предвзятость для машинного обучения.
Deep Pwning - Deep-pwning - это легкий фреймворк для экспериментов с моделями машинного обучения с целью оценки их устойчивости против мотивированного противника.
Privacy Meter - Библиотека с открытым исходным кодом для аудита конфиденциальности данных в статистических алгоритмах и алгоритмах машинного обучения.
TensorFlow Model Analysis - библиотека для анализа, проверки и мониторинга моделей машинного обучения в производстве.
TextAttack - TextAttack - это фреймворк на Python для adversarial attacks, дополнения данных и обучения моделей в NLP.
OpenAttack - Пакет с открытым исходным кодом для текстовых атак.
TextFooler - Модель для атак на естественный язык для классификации и вывода текста.
Flawed Machine Learning Security - Практические примеры "Flawed Machine Learning Security" вместе с лучшими практиками ML Security на всех этапах жизненного цикла моделей машинного обучения - от обучения, упаковки до развертывания.
Adversarial Machine Learning CTF - Это хранилище представляет собой CTF-задачу, демонстрирующую недостаток безопасности в большинстве (всех?) распространенных искусственных нейронных сетей. Они уязвимы для неблагоприятных изображений.
Copycat CNN - доказательство того, как создать копию конволюционной нейронной сети, запросив ее как "черный ящик" со случайными данными, и использовать полученные результаты для обучения копии CNN, которая имитирует предсказательные паттерны целевой CNN.
.
