DevSecOps - русскоговорящее сообщество

30 Sep 2024 12:56

Ребят, привет!
Недавно написал статью про нашу разработку ASoar — систему кибербезопасности, которая поможет снизить шум в SOC и ловить тех, кто решил пошалить с рекогносцировкой. Кто в теме загляните, будет интересно!

🔥 Кого интересуют технологии автоматизации, эффективное управление инцидентами и защита инфраструктуры — вам точно зайдет. Буду рад услышать мысли, фидбек или предложения по сотрудничеству! 🤝

🔗 Ссылка на статью

DevSecOps - русскоговорящее сообщество

20 Sep 2024 16:01

Логи Gitaly, логи Sidekiq.

DevSecOps - русскоговорящее сообщество

12 Aug 2024 18:05

Swager при сборке построить

DevSecOps - русскоговорящее сообщество

12 Aug 2024 17:27

Всем привет, кто ни будь делал карту API? Может кто то знает инструменты которыми как то визуализировать?

DevSecOps - русскоговорящее сообщество

28 Jun 2024 08:20

deb это zip

dpkg-deb -x file.deb extracted

cd extracted

DevSecOps - русскоговорящее сообщество

17 Jun 2024 19:13

Всем привет! Мы на след неделе организуем бесплатный воркшоп по DevSecOps в Москве в Perepel Bar на Садовом: https://hilbertteam.timepad.ru/event/2923610/
Приходите 🙂

DevSecOps - русскоговорящее сообщество

26 Apr 2024 00:35

ой да столько не паханного поля - бери не хочу в ИБ, особенно в рамках импортозамещение

DevSecOps - русскоговорящее сообщество

25 Apr 2024 19:39

важные вопросы, это вербовка молодых кадров?

DevSecOps - русскоговорящее сообщество

15 Apr 2024 09:09

напиши в личку, поделюсь тем что наверное поможет определиться

DevSecOps - русскоговорящее сообщество

15 Apr 2024 09:05

лично мне больше semgrep нравиться

DevSecOps - русскоговорящее сообщество

15 Apr 2024 08:49

я правильно понял, их можно использовать вместе, куб на более раннем этапе - написание кода, семгреп уже после этого?

DevSecOps - русскоговорящее сообщество

15 Apr 2024 06:24

Одна система как мастер отчётов + содержит в функционале слабенький SAST + возможность контроля качества кода. Семгреп - опенсорсный SAST

DevSecOps - русскоговорящее сообщество

13 Apr 2024 22:20

GitHub обеспечивает клиентам доступ к дополнительным функциям безопасности в рамках лицензии Advanced Security Кроме того, эти функции включены для общедоступных репозиториев в GitHub.com.

ну и кто-то не дает попробовать?

DevSecOps - русскоговорящее сообщество

13 Apr 2024 20:03

Господа, кто-то трогал github advanced security в сравнении с сонаркубом бесплатным? Какие преимущества (помимо штук GHAS, нерелевантных для сравнения с сонаром)?

DevSecOps - русскоговорящее сообщество

13 Apr 2024 15:03

Так тут расскажите, всем интересно узнать будет.

DevSecOps - русскоговорящее сообщество

30 Sep 2024 12:51

Оказывается у нас теперь вручную людей апрувить надо. Принял 127 заявку.

DevSecOps - русскоговорящее сообщество

12 Aug 2024 18:12

API discovery от WebmonitorX

DevSecOps - русскоговорящее сообщество

12 Aug 2024 18:04

Автодетектора апи не существует, только брутфорсом и перебором - но это долго. А рисовать в тойже дроуайо

DevSecOps - русскоговорящее сообщество

28 Jun 2024 08:21

чем именно сделан elf?
pyoxidizer , numba, pyston ???

без этого знания не ясно как дальше работать...

DevSecOps - русскоговорящее сообщество

28 Jun 2024 08:12

Всем привет. Вопрос. Есть deb-пакет, внутри него elf. Мне надо его декомпилировать чтоб получился питоновский исходник, а затем сделать security review. Что можно использовать для этих целей?

DevSecOps - русскоговорящее сообщество

07 May 2024 17:44

Господа, пытаюсь понять что в сонаркубе за магия (СЕ эдишн):
Запускаю в гитхаб экшнах официальный экшн для пул реквестов, он мне создает бранчи в сонаре (логично), но сканнит все файлы.

DevSecOps - русскоговорящее сообщество

25 Apr 2024 19:39

Нет, вопросы на тему написания диплома

DevSecOps - русскоговорящее сообщество

25 Apr 2024 18:54

Привет, всем. Я ищу аспирантов ВШЭ, Бауманки или МГУ с направления информационная безопасность или кибербезопасность. Есть важные вопросы, если кто-нибудь может помочь или у кого-то есть знакомые, пожалуйста, поделитесь контактом🙏🏻

DevSecOps - русскоговорящее сообщество

15 Apr 2024 09:06

спасибо большое)) мне тоже семгреп лучше показался, интеграцию в гитхаб использовал

DevSecOps - русскоговорящее сообщество

15 Apr 2024 09:03

сонаркьюб поставляет ide плагин который синхронизируется с сервером и подтягивает предложения правок и исправлений в ide, по факту будучи лидом в команде разработки вместе с аппсеком можно достичь улучшение в кодовой базе еще на этапе написания кода, предлагая остальной команде разработчиков видеть рекомендуемые предложения которые базируются на конкретной кодовой базе конкретного проекта. кроме того такой подход позволяет привести к единому виду весь код, и улучшить понимание разработчиков кода (так же упрощяет уровень вхождение новых). Вообщем стилизируется все согласно тому кто ведет этот проект и работает в sonarqube.

semgrep конечно тоже имеет плагины, но они на сколько мне известно (точно не уверен) подтягивают лишь правила и благодаря функции autofix могут предлагать исправления. они не предлагают синхронизации накопленных "знаний" по кодовой базе, но вы можете легко добавлять любые правила со своей логикой и предложениями автофикса категоризируя их в одну группу правил (например по каждому проекту). С какой-то стороны можно что-то похожее добиться в результате но не по прямому назначению.


p.s. не знаю, на моем опыте с sonarqube, его чаще рассматривают как инструмент не для первых этапов внедрения безопасной разработки, а скорее последующим для углубления и улучшения этих показателей. но это мой скромный опыт, возможно он не верный

DevSecOps - русскоговорящее сообщество

15 Apr 2024 08:45

У них разные концепции.
semgrep изначально был исследовательским проектом в одном из институтов и был разработан для задачи автозамены в сишных функциях частей кода, по сути для поддержки разработки, после чего ими заинтересовались коммерсы, которые сказали - надо делать инструмент безопасности, так и зародился semgrep (в прошлом sgrep).

изначально semgrep был patternbased, но уже сейчас он поддерживает taint анализ

для тех кто не в курсе, semgrep pro версия абсолютно бесплатна до 10 контрибьютеров, без смс и тд, просто регестрируемся и получаем ui облачный, pro репозиторий правил и тд.

sonarqube как сказано выше пропагандируют подход clean as you code, у них есть интеграции в ide которые позволяют применять практики чистого кода еще на этапе разработки. taint анализ у них был сравнительно давно, но о подробностях не так много информации, как говорят представители - лучший способ подробнее об этом узнать: присоединиться к их команде отдела "языковой" разработки.

у каждого свое виденье о том как нужно анализировать код, скорее тут выбор должен быть исходя из того что вам больше подходит

DevSecOps - русскоговорящее сообщество

15 Apr 2024 00:12

Добрый день, подскажите кратенько чем отличается сонар куб от семгрепа? Спасибо

DevSecOps - русскоговорящее сообщество

13 Apr 2024 22:18

Гитхаб Adv Sec это сканнер по вашему? Сравниваете яйцо с молоком, нет?

DevSecOps - русскоговорящее сообщество

13 Apr 2024 19:45

Product manager - это ты будешь пытаться двигать продукт, а не девсекопсить. 90% будет общение с людьми - клиентами и разработкой

DevSecOps - русскоговорящее сообщество

13 Apr 2024 14:48

Предлагаю в личке обсудить. Если надо, расскажу про атмосферу