1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Коллеги, привет,
а кто как отрабатывает процесс ведения реестра доверенного софта?,
ну типа диб посканил в песочнице, проверил куда оно стучится, если все норм - подписал, положил в хранилище и народ может ставить на раб. места только тот софт и тех версий, которые есть в этом хранилище.
есть вообще такое ПО, которое может реализовать описанный процесс (не сканы, а именно ведение реестра, интеграцию с тикетницей, ссылки на хранилище и т п)?
понятно, что хранилищем может быть nexus/artifactory да и любое файловое хранилище, но вот обвязка процесса - не нашел...
Всем привет, есть тут кто работает в сфере кибербезопасности и с телеком образованием?
Напиши в лс
А так да. Сессия лежит в папке . ZAP/session можно попробовать ее переносить и подгружать. Но помнится, там были какие то проблемы.
Читать полностью…
Нельзя так сделать. Особенность джавы. Это про вебсвинг.
Читать полностью…
Потому что в Defect Dojo это работает очень криво (на моем опыте)
Читать полностью…
Да не, ты вот как раз этот вопрос не донес до общественности)
Читать полностью…
Теперь я понял твою идею. Но в конечном итоге, для бэк офиса ты все равно будешь использовать ASOC. Потому что строить Quality Gate на нескольких источниках данных - непродуктивно
Читать полностью…
Во, вроде понял как объяснить что хотел. Вот смотри, на примере какого-нибудь кодскоринга - триаж в его интерфейсе дает посмотреть дерево, зависимости ниже/выше-стоящие и т.д. В интерфейсе асока ты этого лишен. В случае zap, да, есть смысл пользовать интерфейс асока т.к. нет интерфейса своего, но не для всех других продуктов так. Как саст в асоке триажить без полноценной трассы и возможности прыгать по коду - вопрос, для меня. Может я просто нормальных асоков не видел пока)
Читать полностью…
Блин, я немного про другое, я про то, что асок - не панацея. Лан, в целом мысль понял, спасибо.
Читать полностью…
Тебе никто не мешает, складывать все в какую-нибудь объектовую хранилку)
Читать полностью…
Ну... Ты можешь делать 10 интерфейсов, а можешь иметь один
Не понимаю смысла сводить это к many-to-many, если есть решение many-to-one
Если ты хочешь понять - почему. Я здесь нахожу референсы в ETL/ELT паттернах
Это классическое решение задач связанными с множествами источниками данных и с нуждой их как-то обрабатывать и куда-то отправлять. И еще это в пайплайн какой-то окутать
Так все как раз наоборот, я хочу привести zap к триажу его сработок по аналогу sast, а не к статичному положению
Читать полностью…
Спасибо за корнер кейс)
Читать полностью…
Я думаю, что здесь проблем в том, как ты размышляешь
В твоей схеме состояние (результаты твоих сканов), имеет цикл жизни в рамках твоего пайплайна
При следующем запуске джобы это будет совсем новое состояние, но оно не изменится, только если не внесутся изменения в твой инструмент или в цель, которую ты сканируешь.
Получается, пока ты не внесешь находку как FP в правила Тулы или не пропатчишь целевую систему, твой пайплайн будет падать
А теперь представь, если у тебя много таких репозиториев и много тулов. Получается, что такой подход плохо масштабируется
Ибо каждый раз тебе придется лезть либо в конфиг тулы, либо в целевую систему.
А самое забавное, что какие-то исключения актуальны для Х целевого сервиса, а для Y это может быть False Negative
Вернемся. Твой подход имеет статичную природу и тебе нужно уйти от него. Это тебе ребята и предлагают сделать, за счет ASOC / ASPM называй как хочешь
Его идея в том, что ты можешь складывать туда все свои состояния из пайплайна. Таким образом, ты состояние забираешь из контекста пайплайна в более длительный тайм фрейм.
А еще, теперь ты можешь напрямую изменять состояние и не зависеть от статичных типов его изменений, которые выше мною указаны
Zap сканит очень долго. Легче все сканы запускать отдельно, триажить в asoc, а в пайпе ходить в asoc забирать результаты. Блокируем если есть криты и они имеют статус подтвержденных. Или же свежее недели
Читать полностью…
Короче, либо пишешь полный запрос, nometa.xyz
Читать полностью…
А для триажа, на самом деле, проще дописать, так, что все новые срабатывания выгружать в har, и потом прикладывать их в доджу к примеру, и триажить уже через постман или тот же бурп или зап десктопный.
Читать полностью…
Еще как вариант, в гилабе Джейсон держать в котором есть разметки, после отработки сканирований, запускается парсер Джейсона, и удаляются все обработанные сработки, с фолзом или которые в работе находятся. Остается только чистая кровь для триада. Но ты ни куда не денешься от заложничества ведь свинга к примеру, если ты хочешь в нем же и триажиться.
Читать полностью…
Но мы же понимаем, кто будет платить за фичи :)
Читать полностью…
Кстати, вообще хороший поинт для многих ASOC коммерческих платформ
Читать полностью…
Ну вот мы и возвращаемся к старту топика - может кто знает хороший инструмент для триажа сработок zap)
Читать полностью…
Никак. Ты можешь для этого пользоваться dependency track'ом)
Задача ASOC - оркестрация. Это плохой инструмент для триажа) (возможно есть ASOC платформы, с классным UI с кучей метаданных, о котором я не знаю).
Но, ты можешь всегда доработать DefectDojo, написав свои парсеры и другие кастомные вещи. Да, без классного UI
Не панацея, но единственное доступное решение, которое выглядит и работает логично, а может и нет)
Читать полностью…
А потом что-то с этим делать. Но чем это отличается от ASPM?
Читать полностью…
Да не только интерфейса, у них нет базы данных, куда можно было бы это складывать
Читать полностью…
Asoc - это же лишь один из инструментов, не понимаю почему мы просто интерфейс триажа сводим к асокам, имхо в начале от них тока хуже будет. Что мешает оценку sast спрашивать у sast, оценку sca спрашивать у sca для sec gate. Тут проблема в том, что у запа нет веб-интерфейса, всё отличие то по сути в этом, zap нельзя по умолчанию запустить в мультисессии
Читать полностью…
И ты по сути, строишь твое «падения пайплайна» на базе нового источника правды
Не отчет инструмента, а состояние из ASPM/ASOC
Есть концепция Quality Gate'а. Это некоторая джоба, которая ставится в конце пайплайна. Которая ходит за состоянием в ASPM/ASOC и на основании твоих SLO/SLI (не более 0 критов) ложит твой пайплайн
И получается уже отдельный процесс
Ты запустил пайплайн, сходил провел триаж в ASPM, выставил FP и TP в пару кликов (обычно не пару кликов и все by default TP, только если не обнаружен дубликат ранее выставленной FP)
И при следующем запуске (ты можешь сходить запустить ручками в MR или запустить ту же джобу Quality Gate), он обогатит уже измененное тобой ранее состояние (или нет) новыми находками и примет решение - класть или не класть пайплайн
базы могут обновиться
Читать полностью…
Всё, мысль понял, спасибо.
Читать полностью…
Да, но хочется чтобы zap имел право уронить пайп, например при нахождении крита. И получится что если мы просто в асок выгружаем, в нем крит отмечаем фальсом, в асоке его нет, а пайп по этому криту zap продолжает ронять, он же код завершения до отправки в асок сформирует? Или можно у него результаты отправить в асок и в ответ получить, что это уже помечено как фальза?
Читать полностью…