DevSecOps - русскоговорящее сообщество

24 Jan 2023 14:57

более менее нормальные генераторы у gitlab gemnasium +- конечно

DevSecOps - русскоговорящее сообщество

24 Jan 2023 14:56

можешь подсказать, что за проблемы у gradle с cyclonedx?

DevSecOps - русскоговорящее сообщество

24 Jan 2023 14:54

https://pypi.org/project/cyclonedx-python-lib/

DevSecOps - русскоговорящее сообщество

24 Jan 2023 13:14

У cyclonedx есть проблемы с Gradle и Андроидом, причем достаточно давние (и до сих пор, толком, не решенные)

DevSecOps - русскоговорящее сообщество

24 Jan 2023 13:13

Cyclonedx собирает как вариант

DevSecOps - русскоговорящее сообщество

24 Jan 2023 13:07

SBOM это круто, SBOM это класс. Кто как генерирует sbom для Android приложений?

DevSecOps - русскоговорящее сообщество

24 Jan 2023 13:02

ну вот у нас примерно такой трейдоф и получился, либо мы инфу, собранную с помощью Osquery, как то сопоставляем с базой CVE или с помощью OVAL получить отчет об уязвимостях, как это сделано во Fleet, либо ставим на все хосты Wazuh агента.

Агента не хотелось ставить, так как начнется нытье, мол вы кушаете наши ресурсы всякой ерундой.

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:58

у него прекрасный api и это можно интегрировать в процессы

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:55

P.s.
Я о том, как можно ваш пункт 1 немного оптимизировать
Тут можно почитать про CPE

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:47

Выше речь шла о том, что есть некоторый набор данных о компонентах

Я предполагаю, что наборы данных подобны по представлению
Наборы описанные одинаково, парсятся одинаково

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:22

Если все же в зависимости (в девсек), а не в админство, то
https://nvd.nist.gov/vuln/search

Парсил пакеты в CPE скриптом

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:04

Но в целом, у Вас два варианта:
1. Имеея систему инвинтаризации(надо полагать инвинтаризации этих же пакетов) Вам придется в полуручном режиме брать оттуда какой то пакет идти на МИТРУ(https://cve.mitre.org), искать там вулны и спарсивать именно Вашу версию пакета. При этом дистрибутив у Вас должен быть тоже последней версии иначе на centos 7 ядро 5х собрать будет ой как не просто. Да и перелопатить все пакеты которые по дефолту в дитрибутив впиляны -- то еще развлечение.
2. Просетапать что-то opensource (да хоть тот же wazuh) и собирать все вулны по пакетах централизовано. Тогда встанет вопрос зачем система инвентаризации пакетов впринципе.

DevSecOps - русскоговорящее сообщество

23 Jan 2023 23:31

зато научится за твой счет)

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:10

Вот вот) Поэтому собесить девопрос я уже отмел, как идею))

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:08

Сейчас есть тренд, что DevOps - пишту в резюме sast/dast/sca - так-как, когда его разворачивали и приписывают себе уже DevOps/DevSecOps - хотя вообще не понимают, что и зачем нужно, а о том как работает тот или иной инструмент и их проблемах и речи идти не может)

DevSecOps - русскоговорящее сообщество

24 Jan 2023 14:57

Попробуй сгенерировать sbom для андроида (котлин) с подпроектами через gradle.
Issues вроде 103/109

DevSecOps - русскоговорящее сообщество

24 Jan 2023 14:55

нет идеального генератора sbom. все равно придется допиливать руками. читстиь дубликаты, делать иерахию (если нужна), метаданные, править cpe

DevSecOps - русскоговорящее сообщество

24 Jan 2023 14:12

а есть какая то литература по девсекопс?)

DevSecOps - русскоговорящее сообщество

24 Jan 2023 13:13

Не, давайте реальный вариант)))

DevSecOps - русскоговорящее сообщество

24 Jan 2023 13:13

а киньте ссылками как генерировать sbom вручную, что-то мое гуглфу хромает, пока что только на готовые тулзы попадаю

DevSecOps - русскоговорящее сообщество

24 Jan 2023 13:06

идея со SBOM выглядит перспективно

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:59

для debian можно считать Pacakges, для docker взять syftом тем же

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:58

если сделать sbom (хоть ручками), то его можно вгрузить в Dependency Track. При корректном cpe он найдет все нужные уязвимости

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:50

А в случае простого преобразования
Набор пакетов -> Набор уязвимостей
На мой взгляд не важно куда я натравливаю и как

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:42

А если у Вас будет 1000+ инстансная гетерогенные системы, которые разворачивают qa\devops\sysamin какими то terraform, причем срок жизни некоторых систем не превышает 10 часов -- Вы будете скрипт натравливать на сбор пакетов со всего этого зоопарка?

DevSecOps - русскоговорящее сообщество

24 Jan 2023 12:15

Руками писал, буковку в ссылке не нажал

DevSecOps - русскоговорящее сообщество

24 Jan 2023 08:00

Посмотрите vulner.com/audit

Может не подойти, потому что не все любят сторонние сервисы

Да и с автоматизацией не очень удобно

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:11

Поэтому, если вдруг кто-то хочет нового/итересного/свободного - велком в ЛС @fta_deem

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:09

+++
Отсобеседовал пару девсекопсов. Спрашиваю, а что вы собсна делали из зоны безопасности? Ограничиваются тем, что раскатывали какие-то инструменты. Начинаю спрашивать глубже - как вы выстраивали процессы по работе с тем же састом / hashicorp vault - идет молчание и отбивка из разряда "ну этим уже безопы занимались, моя задача раскатать"

DevSecOps - русскоговорящее сообщество

23 Jan 2023 21:06

Собесил и девопсеров, которые в контексте еденицы, остальные без базы или минимальной базы просят 350-500к