DevSecOps - русскоговорящее сообщество

11 Feb 2023 11:35

у нас корневая группа репозитория = product type, проект/микросервис внутри группы = product, каждый вид теста - engagement, внутри engagements - бъются по типу сканера. тесты dast - мапятся на репозиторий, т.к. запускаются в пайпе репозитория конкретного репозитория

DevSecOps - русскоговорящее сообщество

11 Feb 2023 05:18

бесспорно. Может там legacy просто? Сборки в jenkins были давно. Работает, не трогай)

DevSecOps - русскоговорящее сообщество

10 Feb 2023 22:09

У нас сделано так же, только engagement'ы побили на sast, sca, dast
Просто, когда есть несколько последовательных сканов - тяжело разобраться, почему дефект предыдущего скана в текущем - пропал, точнее - он пропал из-за того что исправили или код так поменялся, что дефект теперь в другое место переехал

DevSecOps - русскоговорящее сообщество

10 Feb 2023 21:17

Подскажите плиз, а в чем плюсы по сравнению с подходом уважаемого @bim00074 ?

DevSecOps - русскоговорящее сообщество

10 Feb 2023 20:41

Единственный кейс может быть это автоматическое создание проектов в сонаре. В доке сонора описан процесс с дженкинсом и мол в этой связке при первом скане создаст в сонаре проект если его не было

DevSecOps - русскоговорящее сообщество

10 Feb 2023 19:45

Ну как.. Скомпрометировать систему через уязвимый плагин 😁

DevSecOps - русскоговорящее сообщество

10 Feb 2023 17:27

Деплой целевой приложухи?

DevSecOps - русскоговорящее сообщество

10 Feb 2023 14:07

привет
мы используем 1 engament на 1 ветку
т.е. если тестишь master branch, загружаешь репорты в master eng всегда

DevSecOps - русскоговорящее сообщество

10 Feb 2023 11:35

Всем привет. А расскажите пжл, у кого есть опыт с DefectDojo, кто как понимает engagements? Исходя из описания в доке это промежуток времени, в течении которого происходит тестирование. Эта логика неплохо накладывается на некие ручные тестирования, но не понятно как применить к CI. По логике - создавать под каждый build_id свой engagement? Не умрет ли DD от такого? Или мб создать какой то долгоживущий engagement на каждую ветку и в нем уже делать reimport к примеру чтобы не плодить тесты?

DevSecOps - русскоговорящее сообщество

09 Feb 2023 09:14

https://ip-calculator.ru

DevSecOps - русскоговорящее сообщество

09 Feb 2023 08:58

Добры день, подскажите как выставить целевой диапазон адресов например: 192.168.0.0-192.168.254.254, чтобы каждый раз не писать ip

DevSecOps - русскоговорящее сообщество

08 Feb 2023 10:53

Очевидно это какой то дебаговвй образ если там ничего кроме wget curl bash

DevSecOps - русскоговорящее сообщество

08 Feb 2023 10:47

всем привет

посоветуйте какой то базовый образ на который бы не ругались docker scan и т.п.
в котором был бы nslookup ping curl / wget и bash
и больше ничего?

alpine и redhat ubi9 к сожалению не подходят

ubuntu / debian тоже


самому собирать из сырцов и юзать distroless тоже не вариант
сборка итак долгая...

DevSecOps - русскоговорящее сообщество

08 Feb 2023 09:39

Можно конкретно определеное обновление загрузить?

DevSecOps - русскоговорящее сообщество

07 Feb 2023 03:51

Доброго времени суток.
Ищу человека на позцию DevSecOps. Кто ищет работу, пишите в лс, расскажу про вакансию.

DevSecOps - русскоговорящее сообщество

11 Feb 2023 11:30

Кстати, вопрос по хранению DAST reports например от ZAP.
Как вы выбираете DD product для dast репортов, если тестируется api или сайт в целом, который может состоять из кучи репозиториев (микросервисы). У нас в DD продукты мапятся на репозитории. Мб есть смысл создавать отдельный dd продукт, с именем домена или еще как, и уже туда загружать репорты? Мб кто-то имеет похожую проблему.

DevSecOps - русскоговорящее сообщество

10 Feb 2023 22:21

интересный подход, взял на вооружение

DevSecOps - русскоговорящее сообщество

10 Feb 2023 21:39

Все варианты имеют право на жизнь, но я все таки пошел в сторону бесконечно живущих engagement'ов, именованных по имени ветки. Ну и дедупликация на уровне eng.
Иначе было бы сложно трекать уязы когда у тебя все сливается в кучу, да еще с включенным дедупом на уровне проекта.

DevSecOps - русскоговорящее сообщество

10 Feb 2023 20:53

Ценность для ИБ отрицательная)

DevSecOps - русскоговорящее сообщество

10 Feb 2023 20:37

Так гитлаб доставить может релиз.

DevSecOps - русскоговорящее сообщество

10 Feb 2023 19:27

Нахера он нужен в этой связке

DevSecOps - русскоговорящее сообщество

10 Feb 2023 17:21

А что делает дженкинс, например в связке gitlab cicd + sq + dojo, часто вижу туда еще и дженкинс подкидывают, для какой цели?

DevSecOps - русскоговорящее сообщество

10 Feb 2023 12:26

привет. 1 прогон пайплайна -это 1 запись с отчетом со всех сканеров. Не умрет

DevSecOps - русскоговорящее сообщество

10 Feb 2023 11:28

Парни, подскажите где можно скачать варезную версию checkmarx, в ЛС

DevSecOps - русскоговорящее сообщество

09 Feb 2023 09:10

Имеется ввиду 192.168.0.0/16?

DevSecOps - русскоговорящее сообщество

08 Feb 2023 11:01

именно так, тулы нужны для дебага
но при этом надо чтобы проползало через сканеры =(

DevSecOps - русскоговорящее сообщество

08 Feb 2023 10:52

wget, curl и прочая подобная херня в образе - не очень хорошая практика с точки зрения безопасности

DevSecOps - русскоговорящее сообщество

08 Feb 2023 09:47

https://learn.microsoft.com/ru-ru/windows-server/administration/windows-server-update-services/manage/viewing-and-managing-updates

DevSecOps - русскоговорящее сообщество

08 Feb 2023 09:14

Добрый день, подскажите как через сервер win 2019 обновить все персональные компьютеры?

DevSecOps - русскоговорящее сообщество

06 Feb 2023 06:15

Всем привет! В поисках Security lead/DevSecOps lead! Если находитесь в поисках работы, пишите в личку, отправлю ваканисю! Всем добра!)