1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Всем привет. А кто-нибудь знает хорошие проекты с примерами ошибок в коде? Чтоб не одна ошибка, а набор - чтоб быстрее насмотренности ошибок набраться на разных языках (или хотя бы на одном языке)
Читать полностью…
Они прямо говорили, что IAST является более хорошим дополнением к анализу кода и достоверности итого результата. А вот dast нет. Поэтому и не будут развивать себя в сторону dast
Читать полностью…
там в свое время все шли в сторону IAST, но с разных сторон
Checkmarx со стороны кода
а Nestparker со стороны DAST
видимо, Checkmarx решили дожать)
так они же наоборот в последнее время в сторону IAST и корреляции шли
Читать полностью…
Хз кто так писал если честно
Читать полностью…
https://www.zaproxy.org/blog/2024-09-24-zap-has-joined-forces-with-checkmarx/
Читать полностью…
а не девсексопсам золотым
Читать полностью…
https://github.com/Asgoret/devops_chats/blob/master/Friendly_chats.md
Читать полностью…
Про консультирование +
Как правило это реально невозможно масштабировать
А кликать можно тачпадом или только мышкой))
Читать полностью…
Ну собственно да, именно об этом и что им там сейчас интересно🤷♂️
Читать полностью…
В несколько кликов))
Пока там этот Энтерпрайз все палки в колесах инвентаризует..
Выложили доклады с DevOops 2023
Я отмечу два плейлиста
Kubernetes
https://www.youtube.com/playlist?list=PL-ety8gh7rTpXuTD5IfFgQp3xScreYqXT
Security
https://www.youtube.com/playlist?list=PL-ety8gh7rTr3XxYqBadi5s6YOlMqLjlH
Программа
https://devoops.ru/archive/2023/schedule/days/
Ну, типа у них там - если есть обоснованные сомнения, то обоснуй эффективность и всё сделают
Читать полностью…
Это у них там, а не у нас тут 😐
Читать полностью…
Захотелось - забили, захотелось - купили... Могут себе позволить 😅
Читать полностью…
Динамический анализ - это вам не это 😐
Читать полностью…
угумс, у них был SAST, SCA и IAST. Обходили DAST стороной
Читать полностью…
Сами Checkmarx, я про них )
Читать полностью…
Сколько лет писали, что DAST это "фууууу и бяка" 😂 Однако
Читать полностью…
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
Никогда такого не было
Думаю - к девопсам простым
Читать полностью…
Всем привет , ребята нужна помощь , кто дружит с гитом ?
Читать полностью…
How to 10X Your Security (without the Series D)
Мы регулярно обращаем внимание на работы и выступления экспертов, за которыми следим, и на этот раз хотим выделить Рами МакКарти, имя которого слышно на конференциях по облачной безопасности. Недавно он опубликовал материалы своего доклада под названием "How to 10X Your Cloud Security (Without the Series D)”, за интригующим заголовком которого скрывается гораздо больше, чем облака. Ключевые тезисы доклада ниже. Запись доступна по ссылке
Основные "философские идеи" для компаний, стремящихся к быстрому масштабированию:
- Занимайтесь тем, что нельзя автоматизировать, и автоматизируйте всё возможное, чтобы эффективно масштабироваться. Не нужно автоматизировать то, что можно сделать быстрее руками. Автоматизируйте те процессы, которые очевидно подвергнуться масштабированию (например, предоставление доступов).
- Масштабируйтесь только тогда, когда отработали процессы на небольшом объёме, чтобы избежать излишней нагрузки на дашборды.
- Делайте выбор в пользу guardrails, а не gatekeepers. Про эту тему мы не так давно делали отдельный пост.
- Интегрируйте безопасность в процессы разработки с самого начала, рассматривая её как партнёра, а не как отдельную структуру. Избегайте ситуации, когда безопасность становится лишь консультантом команд, так как эта модель не масштабируется. Стремитесь к shared responsibility, делая безопасность общей задачей. А ещё это единственный стратегический вариант закрыть дефицит кадров и демографический спад, если вы не ооочень большая и интересная для ширнармас компания.
- Сведите к минимуму количество инициатив по внедрению новых решений в области безопасности, не стремитесь интегрировать всё увиденное на конференциях. Лучшее враг хорошего + keep it simple никто не отменял.
- Не бойтесь использовать пробные версии и демо-версии решений от поставщиков для получения полезных инсайтов без значительных затрат. Это не исключает дальнейшее добавление вендора в шорт-лист, но позволит вам изучить новые подходы и инновации на практике.
- Security Program
- Invariants
- Vulnerability & Asset Management
- Identity & Access Management
- Detection (Engineering)
- Deployment
- В первые 30 дней сосредоточьтесь на оценках, выстраивании отношений с коллегами и установлении baselines.
- В течение следующих 60 дней реализуйте одно заметное улучшение, которое продемонстрирует результат.
- В течение следующих 90 дней начните планировать масштабирование, создавая повторяющиеся процессы и стратегию для дальнейшего укрепления безопасности.
Да как и всегда. Много митингов, согласующих и раундов согласования)
Читать полностью…
Пока согласует кто должен кликнуть и куда))))
Читать полностью…
Коллеги, приветствую.
Я работаю с новым продуктом, который позволит легко сгенерировать инфраструктуру для какого-нибудь кровавого энтерпрайза в несколько кликов
Хочу помониторить рынок на предмет потребностей и болей в этой теме.
Кто сейчас трудится в компании, где 12+ новых проектов в год, но там все криво-косо, но все-таки живет?)
А у нас... Ну, как сказали мне на предыдущем месте работы: "если тебе работы мало, то мы ещё придумаем"
(Там правда речь была своей собственной инициативе поделать работу, которую хотелось бы и которую умею... Суть примерно такая же: "я старше/важнее/главнее".
Слава богу сейчас такое уходит в прошлое, по мере вымирания людей)
В менталитете тех кто принимает решения я полагаю
Читать полностью…
можете сходить в жифрог и спросить у них - как они рекомендуют установиться
Читать полностью…