Каталог атак на инфраструктуру разработки В прошлом году мы много говорили о методах атак на разные инструменты и среды разработки. Разбирались с инцидентами. Под всеми опубликованными статьями и докладами можно подвести резюме и поделиться фреймворком, который позволяет описать процесс защиты инфраструктуры разработки. SITF представляет из себя каталог сценариев атак и контролей безопасности, которые разделены на 5 ключевых блоков: рабочая станция разработчика и его среда разработки, системы управления исходным кодом, системы CI/CD, системы хранения артефактов и production-среда. Для каждого блока составлен каталог техник атак и мер защиты, а также есть средства для визуализации. Теперь AppSec-инженер может наглядно показать коллегам, что происходит в его инфре. @makrushin