странно что не написано про disputed раз речь про нвд, "disputed" тэг в уязвимостях NVD показывает на 2 состояния - либо вендор оспаривает уязвимость, и говорит, что ее нет, либо уязвимость откровенно мусорная, но по каким-то причинам cve не проставлен статус "rejected", вот пример https://nvd.nist.gov/vuln/detail/CVE-2022-33124 (там можно гитхаб ссылку открыть референса и посмотреть насколько это реальная уязвимость)

Читать полностью…

Им же хуже. Теперь им некому проверять будет, будет бажное и глючное по. :)

Читать полностью…

Я всегда созывал команду и проходились по каждой сомнительной..
Я с ит дружу.. По крайней мере, очень стараюсь

Читать полностью…

Тут AWS Inspector в этом году начал репортить linux kernel CVEs в образах на ECR при том что этот кернел никак в образе не присутсвует и даже если присутствует то никак не влияет на runtime.

Читать полностью…

Проверять отчёты? Да нафиг, так отправим, пусть исправляют 😐

Читать полностью…

О дааа )) на прошлой работе у меня на эту тему была практически война с глобальной Security командой…
Там еще попадаются CVE уровня «ОС подверженна риску удаления данных, так как содержит команду /bin/rm” 😂 или «вызов malloc не проверяет количество свободной памяти, что может привести к DoS из-за использования swap” 😂
Много бодались с CVE в статусе DISPUTED, частично описанные выше.

Забавные вещи находились TwistLock ом в контейнерах, там некоторые PRISMA- findings были больше архитектурного вида и ругались на дефолтные конфиги оси, репы питона…

Читать полностью…

Это если надо софт потестить, если про слабости, то к первоисточнику лучше сразу (cwe.mitre.org), если попроще и для наставления джунов, то есть damn vulnerable ... ... (Язык+фреймворк).

Последнего обычно бывает достаточно для постигания дзена

Читать полностью…

Всем привет. А кто-нибудь знает хорошие проекты с примерами ошибок в коде? Чтоб не одна ошибка, а набор - чтоб быстрее насмотренности ошибок набраться на разных языках (или хотя бы на одном языке)

Читать полностью…

Они прямо говорили, что IAST является более хорошим дополнением к анализу кода и достоверности итого результата. А вот dast нет. Поэтому и не будут развивать себя в сторону dast

Читать полностью…

там в свое время все шли в сторону IAST, но с разных сторон

Checkmarx со стороны кода
а Nestparker со стороны DAST

видимо, Checkmarx решили дожать)

Читать полностью…

так они же наоборот в последнее время в сторону IAST и корреляции шли

Читать полностью…

Хз кто так писал если честно

Читать полностью…

https://www.zaproxy.org/blog/2024-09-24-zap-has-joined-forces-with-checkmarx/

Читать полностью…

а не девсексопсам золотым

Читать полностью…

https://github.com/Asgoret/devops_chats/blob/master/Friendly_chats.md

Читать полностью…

Там в USA пара менеджеров осталась. Что ходили ко мне с эксельками из тех систем, в которые глядел я и делал джиры девелоперам и спрашивали: «Антон, а ты видел, вы исправляете уже?»
Думаю, они справятся)))
У меня даже автоматизация была: загрузить их айдишники уязвимостей и вернуть соответствующие JIRA. Это минуту занимало )))

Читать полностью…

Ну вот у меня как раз была обязанность проверять такое на команду из 100..150 программеров.
Ещё ставил цель перед собой связать между собой отчёты из разных систем: мэпить находки BlackDuck в артефактах и находки twistlock в запущенных контейнерах...
Но... компания ушла из РФ )))

Читать полностью…

Инна зачем он там нужен?

Читать полностью…

Ну в результате я собирал фидбэк с девелоперов и на глобальных недельных или раз в две недели звонках мы с такими же как я рассказывали этим секурити командам как и куда идти 😂
Единичные добавляли в исключения на уровне компании.

Читать полностью…

полный facepalm, а не твистлок

Читать полностью…

Non-Actionable Findings в 3rd-party Security Scanners...и как их распознать

Инженер Google написал блог-пост о том, как обрабатывать результаты CVE от сканеров безопасности и как распознать те, которые можно спокойно убрать из списка задач на фиксы.

Краткий конспект от нашей команды:

Rejected уязвимости: Самый простой вариант — исключить уязвимости с пометкой rejected в NVD (например, CVE-2023-4881). Это имеет смысл, когда сканер тащит весь NVD без минимальной фильтрации. Такой случай не особо интересен, двигаемся дальше.

Переоценка от мейнтейнеров: Бывает, что NVD отмечает уязвимость как high, а мейнтейнеры ОС считают, что у неё минимальный импакт и не выпускают патчи для своих дистрибутивов Linux. В таких случаях мнение мейнтейнеров может быть более релевантным, и уязвимость можно классифицировать как false positive.
Пример — CVE-2018-20657:

10-byte memleak, not considered important to be fixed by upstream, so no patch is available as of 2023-06-02

Отсутствие импакта на используемую ОС: NVD может показывать широкий диапазон уязвимых версий пакета, но не учитывать влияние на конкретную версию ОС. Если сканер использует только данные NVD и игнорирует статусы not affected от ОС, то он может ложно сработать на уязвимость, которой на самом деле нет (пример CVE-2023-52426)

Кастомные патчи от ОС: Иногда сканеры не учитывают кастомные патчи, которые ОС выпускает для фиксов. Например, сканер видит версию Python 3.6.10 как уязвимую, но Ubuntu выпустила патч с версией 3.6.9-1~18.04ubuntu1.1. Внешние сканеры, использующие NVD вместо базы уязвимостей от Ubuntu, могут ложно считать патченную версию Python уязвимой.

Неполная информация об уязвимости пакета: Некоторые фиды, как Debian, репортят уязвимости только для исходных пакетов. Сканеры часто ошибаются, считая уязвимыми все связанные бинарные пакеты, даже если они не содержат уязвимых библиотек. Например для уязвимости CVE-2024-6387 затрагивается только OpenSSH-серверы, но Debian отмечает уязвимым исходный пакет "openssh". В итоге даже системы с установленным только "openssh-client" будут ошибочно помечены как уязвимые, хотя уязвимых библиотек там нет.

Нерелевантные к безопасности срабатывания: Некоторые сканеры репортят пакеты, не связанные с безопасностью. Например, Trivy репортит файндинги из Debian LTS (DLA) о таких вещах, как обновления часовых поясов или новые GPG-ключи, которые не влияют на безопасность. Отсутствие этих обновлений не создает рисков для безопасности.

А какие классификации используете вы? Может быть расширим и углубим список "гугла"?

#sca #supplychain

Читать полностью…

Sard от нист, их там много

https://samate.nist.gov/SARD/

Читать полностью…

Захотелось - забили, захотелось - купили... Могут себе позволить 😅

Читать полностью…

Динамический анализ - это вам не это 😐

Читать полностью…

угумс, у них был SAST, SCA и IAST. Обходили DAST стороной

Читать полностью…

Сами Checkmarx, я про них )

Читать полностью…

Сколько лет писали, что DAST это "фууууу и бяка" 😂 Однако

Читать полностью…

https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
Никогда такого не было

Читать полностью…

Думаю - к девопсам простым

Читать полностью…

Всем привет , ребята нужна помощь , кто дружит с гитом ?

Читать полностью…