1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Сбилдил джар - сделал чек сумму.
Билдишь докер - проверяешь чек суммы пакуемого и делаешь чек сумму результата
и будет ли доводом что передача артифактом между джоб сопровождается проверкой хэш сумм артифакта
Читать полностью…
На среде, защищенной от подмены, делаешь финальный ша256 дистра.
Читать полностью…
distroless еще не? не шарю за разницу как по мне однохуйственные штуки
Читать полностью…
У тебя есть цепочка поставки. Первое, что надо сделать - контролируемую среду доступа к машинам сборки.
Таким образом первый шаг по изоляции от возможной подмены сделан.
Дальше верифицируешь код этой среды, защищаешь среду от изменений и убеждаешься, что пакеты из условного mvn.org / mvnrepository.com попадают к тебе напрямую в эту среду
там же собирается твой верифицированный код и идет в такое же защищенное хранилище дистров твоих релизов и патчей.
Сверху мониторинг ситуации + на финальной стадии какой-то чекер собранного дистра
напиши свою )))) полностью from scratch
Читать полностью…
И доставка контрольных сумм на все объекты дистра по альтернативному выделенному каналу.
Читать полностью…
Всем привет! Есть проблема, решения к которой пока не могу придумать.
Есть дистрибутив, который отдается клиентам. Лежит он в нексусе, имеет подпись
Каким образом можно убедиться, что либы в дистрибутиве не подменены? На любом этапе сборки дистрибутива, в мавене, в нексусе, где угодно
GitHub Users Targeted by New Wave of Spambots
Ищите чтиво на выходные? Если вдруг вы увидели спам в комментариях своего репозитория на GitHub на этой неделе, вы не одиноки. Недавно мы писали об атаках на разработчиков, но на этот раз методы напоминают устаревшие практики. Боты оставляют комментарии, предлагая загрузить файлы с платформы MediaFire, содержащие вредоносное ПО. Цель злоумышленников — убедить разработчиков загрузить эти файлы, что в итоге приводит к компрометации системы и аккаунта GitHub.
GitHub пытается удалять такие комментарии, но проблема остается. Один из разработчиков создал GitHub Action, который фильтрует подобные комментарии.
"Это не должно быть задачей мейнтейнеров open-source — предотвращать спам с вредоносным ПО, но пока GitHub не решит эту проблему, я создал небольшой автоматизированный action, которая удаляет подозрительные ссылки из комментариев в задачах."
А есть какие-то относительно свежие исследования про:
1. Зависимость (или отсутствие таковой) кол-ва ошибок в коде от языка программирования (я нашёл только за 2019 год новость)
2. Среднее кол-во ошибок на 1000 кода (нашёл только от 2012)
3. Вообще: зависимость частоты ошибок от каких-либо факторов (нашёл за 2014 про отсутствие связи между кол-вом найденных ошибок и кол-вом людей, которые их искали)
CVE от Patchstack это часто просто мусор. Впрочем как экосистема в которой они работают.
Читать полностью…
Да что нюансы свои есть это и так все знают, там скорее про фолсе позитиве и их отбраковку
Читать полностью…
Ну вот например, предпоследний абзац
Читать полностью…
ну есть CVE-Record процесс, офицальный и там есть статус Rejected, и это не тоже самое что NVD теги )
Читать полностью…
я может чего-то не то смотрю ) вижу только про rejected, в упор не вижу ничего даже поиском по "disputed"
Читать полностью…
я пока такую отъёбку придумал))))
но вот если уже потом брать из нексуса то как бы не катит
ну смотри
я вот в одной джобе сбилдил джарник
во второй у меня канико собирает образ по докерфайлу в котором сказано COPY джар в папку
где проверять
вооот
а как ты будешь контрлировать подпись джарников???если они в имадж уезжают через COPY в докерфайл?
При это идет разделение команд, имеющих доступ к средам, что б девелопер не мог пролезть в релизные среды, а инженер релизов лучше бы вовсе не знал девелоперов. И ты ты... там очень много организационной работы.
У jar-ников в repo1.maven.org есть чексуммы, можно тупо натравить чекалку на финальный дистр, но это одноразовое мероприятние мониторинга, условно между стратами чекалки можно подменить...
насчет мавена - ну, подписи где угодно
Читать полностью…
Есть какой-нибудь гайд, как это правильно делать?
Не очень понимаю, как убедиться, что либу не подменили в условном мавене
подписывать все, что можно. И процесс контролировать. Защищенные ветки. Защищенные раннеры. Все изменения в процессе - документируется и через особый пайплайн прокручиваются
Читать полностью…
Ведётся набор в команду для взаимовыгодного сoтрудничества. Стабильный дохoд. Подробности в личных сообщениях.
Читать полностью…
B поиске людeй, кoмy будeт интepeснa пасcивная пpибыль, eжeнeдeльный дoп.дoxoд от 300 $, всe дeтaли в личныe сooбщeния
Читать полностью…
💲We are recruiting for our Web3 project!
We are looking for passionate and talented people to join our team and help us build the future of the decentralized web.
✅ We are recruiting for the following positions:
- Beta tester (200$/week)✅
- Moderator (300$/week)✅
- Community Manager ($400/week)✅
- NFT artist (negotiable)✅
- Developer (negotiable)✅
✅If you want to try your hand at this project, write to direct.🤝
там про incomplete versions написано, но это прям если честно совсем боль) особенно последнее время, за живое задела статья и пост ))) на cve.org в рекорде вся информация есть - NVD быстро докатит только хайповые уязвимости, остальное дай боже через месяц доедет, типа такого https://www.cve.org/CVERecord?id=CVE-2024-47315 https://nvd.nist.gov/vuln/detail/CVE-2024-47315, статья какие-то глубокие травмы открыла))
Читать полностью…
Я бы так сказал: выдержка из статьи не может покрыть полностью процесс, а сама статья по NDA причинам не должна. Так что нормально. Есть шанс дополнить
Читать полностью…
Ну формально они не disputed но суть процесса описана: команда разработки вертит пальцем у виска мантейнерам CVE 😂😂
Читать полностью…
Со второго абзаца и далее жи
Читать полностью…