\ No newline at end of file
diff --git a/CNAME b/CNAME
new file mode 100644
index 0000000..1a537cf
--- /dev/null
+++ b/CNAME
@@ -0,0 +1 @@
+cyberorda.com
\ No newline at end of file
diff --git a/CTF/index.html b/CTF/index.html
new file mode 100644
index 0000000..f6107bb
--- /dev/null
+++ b/CTF/index.html
@@ -0,0 +1 @@
+ CTF - ORDA
\ No newline at end of file
diff --git a/Courses/index.html b/Courses/index.html
new file mode 100644
index 0000000..a9be14f
--- /dev/null
+++ b/Courses/index.html
@@ -0,0 +1 @@
+ Курсы - ORDA
Учебное пособие по безопасности приложений является частью сервиса IBM AppSec Champion Service. В нем описаны основные шаги для быстрого создания программы Security Champions независимо от размера компании и зрелости существующих процессов безопасности.
Кто должен принимать участие в тренинге по безопасности приложений?
Согласно определению OWASP, чемпионы по безопасности - это "активные члены команды, которые могут помочь принять решение о том, когда привлекать команду безопасности". Они выступают в качестве основного элемента процесса обеспечения безопасности в рамках продукта или услуги и выполняют роль единой точки контакта (SPOC) в команде.
Что входит в программу обучения по безопасности?
Активное участие в работе AppSec JIRA и WIKI.
Сотрудничать с другими сторонниками безопасности
Анализировать влияние "разрушающих изменений", сделанных в других проектах
Посещать еженедельные встречи
Быть единым контактным лицом для своей команды.
Убеждаться в том, что безопасность не препятствует активной разработке или обзорам
Помогают в принятии решений по безопасности для своей команды.
Низкое и умеренное влияние на безопасность
Имеют право принимать решения
Документировать принятые решения в багах или вики.
Высококритичное влияние на безопасность
Работать с командой AppSec над стратегиями смягчения последствий.
Помощь в QA и тестировании
Писать тесты (от юнит-тестов до интеграционных тестов)
Помощь в разработке сред CI (Continuous Integration)
Какие преимущества дает компании обучение по безопасности приложений?
Основные преимущества наличия команды чемпионов по безопасности: * Масштабирование безопасности через несколько команд. * Привлечение людей, не связанных с безопасностью. * Создание культуры безопасности
1. Определите команды
Первым шагом в запуске собственной программы Security Champions является определение масштаба проблемы существующих команд, с которыми вы будете работать. Поскольку мы стремимся к лучшему охвату и распространению безопасности, очень важно записать ее и хранить в общеизвестном и доступном месте. Раунды интервью 1 на 1 с владельцами продуктов и руководителями инженерных отделов будут хорошим началом для этой деятельности.
Типичные вопросы, которые вы хотите задать: - сколько команд работает над одним продуктом - сколько разработчиков работает в каждой команде - какие технологии (языки программирования, фреймворки) они используют - где хранятся код и документация - какие автоматизированные инструменты и внешние/внутренние сервисы используются для разработки и тестирования - каков в настоящее время процесс проверки кода (включая проверку кода на безопасность) и кто в нем участвует - существуют ли другие виды деятельности, связанные с безопасностью продукта, помимо проверки кода - каков календарь релизов / цикл / текущая стадия развития продукта - каковы наиболее часто используемые каналы связи для продукта - как обычно сообщают о проблемах безопасности / ошибках в продукте, и кто этим занимается.
Результатом этого упражнения должна стать страница во внутренней вики с таблицей, например, следующего содержания:
Продукт
Команда
Технологии
Контактное лицо по безопасности (если есть)
Руководитель команды
Менеджер продукта
BTS
Комментарии
Продукт1
Alpha
Python, Django
Джон Смит
John Smith
Анна Новак
HELO
Использование инструмента Bandit
2. Определите роль
Основная цель этого шага - выработать осязаемые цели и подготовить четкие описания ролей для будущих security champions. Частично это уже сделано на предыдущем шаге, но подробное описание построения глобальной стратегии безопасности AppSec выходит за рамки данного руководства - пожалуйста, обратитесь к существующим фреймворкам, таким как OWASP SAMM, который предоставляет простой и понятный способ достижения этой цели.
Когда программа AppSec и глобальные цели определены, важно выделить виды деятельности, которые больше всего подходят чемпионам по безопасности, и соотнести их с этими целями. В зависимости от текущего состояния безопасности в вашей организации, это может включать некоторые или все нижеперечисленные действия: - проводить и/или проверять обзоры безопасности в команде - охрана и продвижение лучших практик - поднимать проблемы для оценки рисков в существующем и новом коде - построение моделей угроз для новых функций - проводить и/или проверять автоматическое сканирование - расследовать сообщения о багах - участвовать в научно-исследовательской деятельности
3. Назначьте security-чемпионов
Итак, роли определены, теперь пришло время назначить чемпионов! Чтобы без проблем пройти этот этап, вам необходимо сначала получить одобрение от руководства на всех уровнях - от топ-менеджеров до владельцев продуктов и непосредственных руководителей команд. Несмотря на то что это классический "подход сверху вниз", это очень важная часть, поскольку она гарантирует, что худший аргумент, который вы можете услышать: "У меня не было времени на безопасность", будет устранен. Проведите презентацию определенных ролей, преимуществ для команды и примерного времени, которое чемпион будет тратить на выполнение задач по безопасности - для начала достаточно 20%.
После того как одобрение получено, следующим шагом будет определение потенциальных чемпионов. Сядьте вместе с менеджером команды, выберите кандидатов и проведите мини-интервью с каждым из них. Помните - это не назначение, а выдвижение! Опишите роль, ожидания и стратегию, а также покажите им личные выгоды от того, что они станут чемпионом: * саморазвитие и способность по-другому смотреть на вещи * повышение своей ценности на рынке * повышение качества продукта * посещение конференций по безопасности * стать важной частью мета-команды безопасности * весело проводить время :)
В худшем случае попросите менеджера команды помочь вам найти чемпиона - хотя, вероятнее всего исход будет в лучшую сторону и вы получите security champion после первой презентации.
Последним шагом здесь будет официальное назначение - добавьте его на мета-страницу команды безопасности, заменив промежуточное "контактное лицо по безопасности" на "Чемпион по безопасности".
4. Установите каналы связи
Назначенные чемпионы не могут работать сами по себе, и лучше всего, когда они действительно чувствуют командный дух. Поэтому следующим шагом будет создание коммуникационных каналов. В зависимости от корпоративной культуры это может быть, например, следующее следующее:
частные каналы Slack / IRC
команды Keybase
групповые чаты Skype
группы Yammer
списки рассылки
Чем больше, тем лучше, на самом деле - просто убедитесь, что есть простой способ распространить важную информацию и получать обратную связь. Кроме того, периодически устраивайте синхронизацию, чтобы посмотреть, как идут дела, и вместе скорректировать краткосрочные цели. Для начала достаточно встреч раз в две недели.
5. Создайте прочную базу знаний
Главная идея: внутренняя база знаний должна быть основным источником ответов на вопросы, связанные с безопасностью. Помимо страницы мета-команды, которая позволяет любому человеку быстро найти нужный контакт, следующие страницы окажутся весьма полезными: - Глобальная стратегия безопасности - Четко определенные роли и процедуры безопасности - Лучшие практики безопасной разработки - Рекомендуемые криптоалгоритмы - Описание общих рисков и уязвимостей - Парольные политики
Особое внимание следует уделить простым и легко выполнимым контрольным спискам, поскольку это, как правило, самый простой способ начать работу. Примерные контрольные списки могут включать следующее: - Контрольные списки по веб-безопасности / мобильной безопасности - Контрольный список безопасности сторонних разработчиков - Контрольный список безопасности пользовательского интерфейса - Контрольный список конфиденциальности
Хотя создавать все с нуля может быть утомительной задачей, существует ряд проектов с открытым исходным кодом, которые могут значительно облегчить вам жизнь. Проекты OWASP такие как Security Knowledge Framework, ASVS и MASVS, а также лучшие отраслевые практики (например, CERT secure coding standards) станет отличной отправной точкой для повышения вашего KB и может стать основой для первых нескольких внутренних семинаров.
6. Поддерживайте интерес
Для того чтобы экосистема чемпионов по безопасности была непрерывной и успешной, очень важно постоянно поддерживать их и предоставлять обучающие материалы. Ниже приведены несколько способов поддержать интерес чемпионов и помочь им развиваться как профессионалов в области безопасности.
Семинары и тренинги
Периодически проводите семинары для команд, объясняйте стратегию, пропагандируйте лучшие практики, или просто делитесь последними новостями из мира безопасности. Организуйте интерактивную викторину, объявите "Хакерский четверг" или начните "Месяц ошибок". Поговорите с чемпионами и вместе решите, какой формат вам больше всего подходит. Независимо от того, какой формат вы выберете, это, вероятно, самый важный момент во всем Playbook. Поддерживайте их мотивацию, и очень скоро вы будете приятно приятно удивлены!
Регулярные информационные рассылки
Делитесь свежими новостями в области безопасности через установленные каналы связи (например, Ezine weekly appsec compilations). Кроме того, начните ежемесячные информационные бюллетени по безопасности, содержащие новости от команд, планы, благодарности за хорошую работу и любую другую актуальную и интересную информацию - это не только привлечет чемпионов еще больше, но и станет хорошей контрольной точкой для вашей программы безопасности. программа.
Уголок security champions
Создайте отдельное пространство в вашей внутренней вики и добавьте туда специальные страницы, такие как: - календарь конференций (начать здесь) - библиотека хороших книг и статей по безопасности (начало здесь) - слайды с посещенных конференций (или начало здесь) - "комнаты для идей и улучшений"
Местные собрания OWASP
Создайте местное отделение или присоединитесь к существующему, и приглашайте чемпионов учиться и делиться опытом! Это еще один отличный способ пообщаться, встретиться с коллегами и обсудить актуальные проблемы, новости и идеи.
\ No newline at end of file
diff --git a/DevSecOps/index.html b/DevSecOps/index.html
new file mode 100644
index 0000000..a194668
--- /dev/null
+++ b/DevSecOps/index.html
@@ -0,0 +1 @@
+ Инструменты DevSecOps - ORDA
DefectDojo: DefectDojo - это инструмент корреляции уязвимостей приложений и оркестровки безопасности с открытым исходным кодом.
ArcherySec: ArcherySec - платформа управления уязвимостями.
VulnWhisperer: VulnWhisperer - это инструмент управления уязвимостями и агрегатор отчетов.
Pentest-Collaboration-Framework: Pentest-Collaboration-Framework - открытый, кроссплатформенный и портативный инструментарий для автоматизации рутинных процессов при проведении различных работ по тестированию.
Faraday: Faraday - это платформа управления уязвимостями.
Dradis: Dradis - это фреймворк для совместной работы с открытым исходным кодом, предназначенный для команд InfoSec.
Purify: Purify - yниверсальный инструмент для управления отчетами об уязвимостях из конвейеров AppSec.
SecObserve: SecObserve - это система управления уязвимостями с открытым исходным кодом для разработки программного обеспечения и облачных сред.
secureCodeBox: secureCodeBox - это модульная цепочка инструментов на базе kubernetes для непрерывного сканирования проекта.
Whitespots portal: Whitespots portal - Комерческая система для поиска и управления уязвимостями с функцией создания правил для валидации и скоринга уязвимостей, а также дедупликации уязвимостей пришедших от разных сканеров. Одним из компонентов платформы является своя CI система, на базе которой осуществляется запуск сканеров.
DependencyTrack: Dependency-Track - это интеллектуальная платформа анализа состава программного обеспечения (SCA), которая позволяет организациям выявлять и снижать риски, связанные с использованием компонентов сторонних разработчиков и компонентов с открытым исходным кодом.
Автоматизированное тестирование безопасности
mobsf-ci: Все, что требуется для запуска MobSF в ci
glue: Glue - это фреймворк для запуска ряда инструментов. В целом, он предназначен для автоматизации конвейера инструментов анализа безопасности.
\ No newline at end of file
diff --git a/FTE/index.html b/FTE/index.html
new file mode 100644
index 0000000..ac2f885
--- /dev/null
+++ b/FTE/index.html
@@ -0,0 +1 @@
+ Расчет FTE - ORDA
\ No newline at end of file
diff --git a/HowTOBEContrib/index.html b/HowTOBEContrib/index.html
new file mode 100644
index 0000000..2dfbd79
--- /dev/null
+++ b/HowTOBEContrib/index.html
@@ -0,0 +1,30 @@
+ Как стать контрибутором - ORDA
Открытые знания движут миром. И одной из важных миссией этого ресурса - является предоставление знаний в области Application Security. Мы открыты к тому, чтобы любой заинтересованный человек мог сделать вклад в этот ресурс. Это может выражаться в обновлении существующего материала или его доработке, а также в разработке/в публикации новых статей.
Правила публикации материалов
При написании статей или дополнении имеющихся материалов, следует обратить внимание, что к публикации не принимаются правки и материалы, несущие в себе следующие особенности:
Не имеющие отношения к направлению Application Security
Несущие в себе прямую рекламу продуктов той или иной компании
Несущие в себе оскорбления или унижения как участников сообщества, так и организаций
Нарушающие этнически-правовые границы
Составляем статью.
Для начала необходимо, чтобы вы имели аккаунт на Github, а также базовое представление о его работе. Наш ресурс работает на MkDocs и мы должны придерживаться его гайдлайнов и принципов. Рассмотрим подробнее. Перейдя в репозиторий КиберОрды в GitHub - CyberORDA github, вы можете увидеть следующую структуру.
Для нас имеет значение директория "Docs", которая содержит в себе все документы и статьи, которые загружены на ресурс.
Каждая статья написана в формате Markdown и имеет некоторую структуру:
Для каждой статьи необходимо использовать header (заголовок), состоящий из тегов и плагинов. Менять можно только теги, которые видны на каждой странице и помогают пользователям быстрее ориентироваться на сайте и находить нужный контент.
Заголовки
При написании новой публикации вы также должны использовать его, поменяв теги на те, которые считаете необходимыми.
# - заголовок 1-го уровня
+## - заголовок 2-го уровня
+### - заголовок 3-го уровня
+
Заголовки являются необходимым элементом при построенни текста. Они могут разделять контент. Мы используем жирные заголовки:
### **Жирный заголовок**
+
Будтет отображаться как:
Жирный заголовок
Основная часть
В основной части пишется всё необходимое содержимое статьи.
При написании текста можно применять форматирование:
** - для того чтобы текст был жирным
+
Пример:
**Жирный текст**
+
Будет отображаться как:
Жирный текст
Или вот:
**Жирный** текст
+
Жирный текст
* - для того чтобы текст был курсивным
+
Пример:
*Курсивный текст*
+
Будет отображаться как:
Курсивный текст
Или вот:
*Курсивный* текст
+
Курсивный текст
Тут мы можем импортировать картинки:
 - картинка по центру.
+
+{ align=left } - тег для указания положения картинки.
+
+{ width="300" } - тег для указания размера.
+
TryHackMe room - A Beginner level box with basic web enumeration and REST API Fuzzing.
Html
Мы включили плагин для использования html в markdown. Вы можете подгружать контент с YouTube или других ресурсов, которые предоставляют эту возможность.
Вносим изменения в github.
После того как статья была вами создана, необходимо предложить изменения в GitHub.
Для этого необходимо создать файл в директории docs:
Далее внести код markdown файла со статьёй, которую вы написали:
После этого требуется осуществить предпросмотр и нажать на "Commit Changes".
Далее необходимо предоставить краткое описание того, что было сделано, и сделать push.
.
Что было дальше?
После того как вы предложили изменение, мы рассмотрим вашу статью или правки и опубликуем их в основной ветке.
До встречи и удачи!
\ No newline at end of file
diff --git a/Labs/index.html b/Labs/index.html
new file mode 100644
index 0000000..6a8a121
--- /dev/null
+++ b/Labs/index.html
@@ -0,0 +1 @@
+ Лабораторные работы - ORDA
Damn Vulnerable GraphQL Application is intentionally vulnerable implementation of Facebook's GraphQL technology to learn and practice GraphQL Security.
Kubernetes Goat - Kubernetes Goat is "Vulnerable by Design" Kubernetes Cluster. Designed to be an intentionally vulnerable cluster environment to learn and practice Kubernetes security.
CloudGoat - CloudGoat is Rhino Security Labs' "Vulnerable by Design" AWS deployment tool
bWAPP - This is just an instance of the OWASP bWAPP project as a docker container.
Xtreme Vulnerable Web Application - XVWA is a badly coded web application written in PHP/MySQL that helps security enthusiasts to learn application security.
lazyweb - This web application is a demonstration of common server-side application flaws. Each of the vulnerabilities has its own difficulty rating.
OWASP Mutillidae II - OWASP Mutillidae II is a free, open source, deliberately vulnerable web-application providing a target for web-security enthusiast.
Pentest_lab - Local penetration testing lab using docker-compose.
VulnLab - A vulnerable web application lab using Docker
WebGoat - WebGoat is a deliberately insecure application by OWASP for training purpose
VAmPI - Vulnerable REST API with OWASP top 10 vulnerabilities for security testing
clicker-service - simulate XSS - Docker container that intakes post and then "clicks" the link. Intentionally vulnerable. To be used with vulnerable by design web apps to realistically simulate XSS and XSRF (CSRF).
XXE Lab - A simple web app with a XXE vulnerability.
docker-java-xxe - Docker image to test XXE attacks in java with tomcat.
Request Smuggling
Varnish HTTP/2 Request Smuggling - This repository a docker-compose file to setup a local environment that is vulnerable to CVE-2021-36740 Varnish HTTP/2 request smuggling.
\ No newline at end of file
diff --git a/MlSecOps/index.html b/MlSecOps/index.html
new file mode 100644
index 0000000..7a8969b
--- /dev/null
+++ b/MlSecOps/index.html
@@ -0,0 +1 @@
+ Инструменты и курсы по MlSecOps - ORDA
В этом разделе мы с вами можем рассмотреть, какие opensource решения и PoC существуют для выполнения задачи по защите ML. Конечно, некоторые из них являются не поддерживаемыми или будут возникать трудности с запуском, однако не сказать о них - большое преступление.
Практические примеры "Ошибочной безопасности машинного обучения" вместе с лучшими практиками безопасности ML на всех этапах жизненного цикла модели машинного обучения от обучения до упаковки и развертывания
Исходный код статьи "Raze to the Ground: Query-Efficient Adversarial HTML Attacks on Machine-Learning Phishing Webpage Detectors", принятой на AISec '23
Этот репозиторий позволяет анонимизировать конфиденциальную информацию на изображениях/видео. Решение полностью совместимо с решениями для обучения/вывода на основе DL
Библиотека, предназначенная для дифференциальной приватности и машинного обучения
101 Resources
Вы можете найти тут перечень ресурсов, которые помогут войти в тему безопасности ИИ: разобраться с тем, какие атаки существуют и как они могут быть использованы злоумышленником.
больше в книге Adversarial AI Attacks, Mitigations, and Defense Strategies: A cybersecurity professional's guide to AI attacks, threat modeling, and securing AI with MLSecOps
🌱 Сообщество в сфере ИИ-безопасности растёт. Появляются новые блоги и исследования. В этом разделе вы можете найти и ознакомиться с примерами блогов в даннойобласти, но это лишь малая часть, их намного больше.
Official implementation of "AgentPoison: Red-teaming LLM Agents via Memory or Knowledge Base Backdoor Poisoning". This project explores methods of data poisoning and backdoor insertion in LLM agents to assess their resilience against such attacks.
Система управления качеством ИИ для ML-моделей, которая фокусируется на уязвимостях, таких как предвзятость производительности, галлюцинации и инъекции промптов.
Разработан для укрепления безопасности LLM, предлагает санитизацию, обнаружение вредоносного языка, предотвращение утечки данных и устойчивость к инъекциям промптов.
Предоставляет подход к обеспечению безопасности, конфиденциальности данных и безопасности во всех аспектах генеративного ИИ, не зависящий от конкретной LLM.
Оценка качества систем искусственного интеллекта. Общие положения. ГОСТ Р 59898-2021
Россия
Информационные технологии. Интеллект искусственный. Оценка робастности нейронных сетей. Часть 1. Обзор. ГОСТ Р 70462.1-2022/ISO/IEC TR 24029-1-2021
Россия
Системы искусственного интеллекта. Способы обеспечения доверия. Общие положения. ГОСТ Р 59276-2020
США
Biden's AI executive order
Указ устанавливает новые стандарты безопасности ИИ, требуя от разработчиков мощных систем делиться результатами испытаний с правительством.
Министру торговли поручено разработать руководство и лучшие практики по безопасности ИИ в течение 270 дней. Подчеркивается важность безопасности и беспристрастности систем ИИ для национальной обороны и критической инфраструктуры.
ANSI/UL 4600 Standard for Safety for the Evaluation of Autonomous Products
Addresses fully autonomous systems that move such as self-driving cars, and other vehicles including lightweight unmanned aerial vehicles (UAVs).
Includes safety case construction, risk analysis, design process, verification and validation, tool qualification, data integrity, human-machine interaction, metrics and conformance assessment.
\ No newline at end of file
diff --git a/TEO/index.html b/TEO/index.html
new file mode 100644
index 0000000..d31f82e
--- /dev/null
+++ b/TEO/index.html
@@ -0,0 +1 @@
+ Расчет ТЭО - ORDA
\ No newline at end of file
diff --git a/appsec_plan_func/index.html b/appsec_plan_func/index.html
new file mode 100644
index 0000000..12d6457
--- /dev/null
+++ b/appsec_plan_func/index.html
@@ -0,0 +1 @@
+ Функции ролей AppSec - ORDA
.
