DevSecOps - русскоговорящее сообщество

24 Jan 2023 13:06

идея со SBOM выглядит перспективно

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:59

для debian можно считать Pacakges, для docker взять syftом тем же

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:58

если сделать sbom (хоть ручками), то его можно вгрузить в Dependency Track. При корректном cpe он найдет все нужные уязвимости

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:50

А в случае простого преобразования
Набор пакетов -> Набор уязвимостей
На мой взгляд не важно куда я натравливаю и как

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:42

А если у Вас будет 1000+ инстансная гетерогенные системы, которые разворачивают qa\devops\sysamin какими то terraform, причем срок жизни некоторых систем не превышает 10 часов -- Вы будете скрипт натравливать на сбор пакетов со всего этого зоопарка?

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:15

Руками писал, буковку в ссылке не нажал

DevSecOps - русскоговорящее сообщество

24 Jan 2023 08:00

Посмотрите vulner.com/audit

Может не подойти, потому что не все любят сторонние сервисы

Да и с автоматизацией не очень удобно

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:11

Поэтому, если вдруг кто-то хочет нового/итересного/свободного - велком в ЛС @fta_deem

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:09

+++
Отсобеседовал пару девсекопсов. Спрашиваю, а что вы собсна делали из зоны безопасности? Ограничиваются тем, что раскатывали какие-то инструменты. Начинаю спрашивать глубже - как вы выстраивали процессы по работе с тем же састом / hashicorp vault - идет молчание и отбивка из разряда "ну этим уже безопы занимались, моя задача раскатать"

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:06

Собесил и девопсеров, которые в контексте еденицы, остальные без базы или минимальной базы просят 350-500к

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:04

Всем привет! А кто где ищет к себе инженеров DevSecOps - направления?) Люди или все вымерли или что, на профильных сайтах, каналах откликов нет, хотя вакансия не ужасно описана)

DevSecOps - русскоговорящее сообщество

23 Jan 2023 13:55

Можно сформировать sbom и скормить его сканеру, на подобии grype или trivy

DevSecOps - русскоговорящее сообщество

23 Jan 2023 13:47

привет, подскажите есть ли какая-нибудь тулза или апи, которой можно было бы скормить имя пакета rpm/deb и его версию, а на выходе получить список уязвимостей

DevSecOps - русскоговорящее сообщество

19 Jan 2023 15:57

Привет, @Hoidll! Пройди анти-спам проверку за 2 мин.

DevSecOps - русскоговорящее сообщество

15 Jan 2023 07:33

Ну если с этой точки зрения заходить, то да

DevSecOps - русскоговорящее сообщество

24 Jan 2023 13:02

ну вот у нас примерно такой трейдоф и получился, либо мы инфу, собранную с помощью Osquery, как то сопоставляем с базой CVE или с помощью OVAL получить отчет об уязвимостях, как это сделано во Fleet, либо ставим на все хосты Wazuh агента.

Агента не хотелось ставить, так как начнется нытье, мол вы кушаете наши ресурсы всякой ерундой.

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:58

у него прекрасный api и это можно интегрировать в процессы

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:55

P.s.
Я о том, как можно ваш пункт 1 немного оптимизировать
Тут можно почитать про CPE

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:47

Выше речь шла о том, что есть некоторый набор данных о компонентах

Я предполагаю, что наборы данных подобны по представлению
Наборы описанные одинаково, парсятся одинаково

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:22

Если все же в зависимости (в девсек), а не в админство, то
https://nvd.nist.gov/vuln/search

Парсил пакеты в CPE скриптом

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:04

Но в целом, у Вас два варианта:
1. Имеея систему инвинтаризации(надо полагать инвинтаризации этих же пакетов) Вам придется в полуручном режиме брать оттуда какой то пакет идти на МИТРУ(https://cve.mitre.org), искать там вулны и спарсивать именно Вашу версию пакета. При этом дистрибутив у Вас должен быть тоже последней версии иначе на centos 7 ядро 5х собрать будет ой как не просто. Да и перелопатить все пакеты которые по дефолту в дитрибутив впиляны -- то еще развлечение.
2. Просетапать что-то opensource (да хоть тот же wazuh) и собирать все вулны по пакетах централизовано. Тогда встанет вопрос зачем система инвентаризации пакетов впринципе.

DevSecOps - русскоговорящее сообщество

23 Jan 2023 23:31

зато научится за твой счет)

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:10

Вот вот) Поэтому собесить девопрос я уже отмел, как идею))

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:08

Сейчас есть тренд, что DevOps - пишту в резюме sast/dast/sca - так-как, когда его разворачивали и приписывают себе уже DevOps/DevSecOps - хотя вообще не понимают, что и зачем нужно, а о том как работает тот или иной инструмент и их проблемах и речи идти не может)

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:05

Ищу среди девопсов / разрабов с познаниями в безопасности. Проще обучить уже толкового человека с базой, чем найти нормального специалиста

DevSecOps - русскоговорящее сообщество

23 Jan 2023 14:10

debsecan — для deb — образных
yum list-security - для rpm

DevSecOps - русскоговорящее сообщество

23 Jan 2023 13:50

инфа о пакетах уже есть в системе инвентаризации и не хотелось бы различного рода сканерами ходить по хостам и получать репорты

DevSecOps - русскоговорящее сообщество

21 Jan 2023 11:45

Посмотрел вчера докладики по сецурити с Хайлоада, достаточно интересно.
https://www.youtube.com/watch?v=aXjAxheSyWQ
https://www.youtube.com/watch?v=BUBPYP4lm80

DevSecOps - русскоговорящее сообщество

18 Jan 2023 08:55

Привет, @Zakamskov! Пройди анти-спам проверку за 2 мин.

DevSecOps - русскоговорящее сообщество

15 Jan 2023 07:32

Безопасность превыше всего