1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
если не серт по рбпо то придется холдить версию на n лет не?
Читать полностью…
а безопасность бонусом
Читать полностью…
а версий практически нет
Читать полностью…
Коллеги, есть ли у нас какая-нибудь статистика по используемым корпоративным версиям gitlab? Кто какие юзает и кто как их проверял?
Читать полностью…
Это разница в 2.5 раза
Если до было 14 дней то стало 5.5 дней
Не вижу ничего сомнительного
-150% сомнительная цифра )) это они помножили время на ноль и еще от нуля половину отняли ))
Читать полностью…
актуально для чата безопасности
Читать полностью…
Здравствуйте! Если вам интересен удалённый формат работы с возможностью хорошего дохода, будем рады обсудить детали.
Возраст от 18 лет. Все подробности обсудим в личных сообщениях.
Отчёты анализатора обычно идут приложением к отчёту-заключению. Без них просто невозможно показать проделанную работу. Правильно что требуют
(Если простыми словами, то отчёты анализатора - это пруфы твоей работы)
Там где я работал был внутренний портал со списком находок в зоне ответственности команды. Этот скан и попал туда.
На практике мы им выслали эксель и проставили даты, себе сгруппировали находки в эпик джиры и в джиры по типу /модулю
Я видел, что многие трекеры организовывают на публичном инстансе джиры в мире открытого по
Если ПО строго заказное под мою доработку или Аутсорс, то я еще и исходники могу потребовать и вообще все что мне надо, чтобы проанализировать или встроить в свои пайплайны или встроиться в их, т.к. ПО должно поставляться по договору только мне. Но тут много подводных камней и нюансов.
Читать полностью…
В теории:
если ПО строгозаказное, на одного клиента – это ок
Если ПО коробочное, то красиво было бы иметь трекер уязвимостей с планом закрытия, внутренняя альтернатива nist cve
На практике мы как клиент сканировали контейнеры вендора твистлоком и пинали вендора, что б он в рамках SLA контракта их закрыл
Бизнес не получает такую информацию без мотивации. Никакой менеджер или директор по продажам не придет в иб, и не скажет: "а подайте-ка мне свежий отчет sast/sca, мне нужно". Просто потому, что следующий разговор у него состоится с общей иб, где его будут настойчиво спрашивать о мотивах, выгоде и т.д.
Читать полностью…
Нужно просто делать свое дело надлежащим образом, и никто в лужу не посадит, наоборот, будет сотрудничать в вопросе.
Не нужно подходить к вопросу брпо формально, не нужно редактированные или дутые отчеты публиковать, и всё будет хорошо.
А потом клиент вас сканирует и вы садитесь в лужу и спешно процессы безопасной разработки вырабатываете? Но клиента при этом теряете.
БЕзопасник не отдаст, а бизнес отдаст, если есть что отдавать.
Если говорить о применении в процессе разработки, результат которого пойдёт на сертификацию, то версия указывается в документе, описывающем средства разработки, и ещё в одном, так вот не вспомню. Теоретически, ее могут проверить в исп.лаборатории, и, если это версия, содержащая уязвимости, и это не оговорено компенсирующими мерами или условиями эксплуатации - могут сделать замечание.
На практике мне такого встречать не доводилось.
там максимальные воркфлоу
Читать полностью…
Кто какую версию использует и обусловлен ли выбор версии какими-либо проверками
Читать полностью…
100% это весь объем времени, все что больше 100 - уходит в минус…обычная математика школьная
Читать полностью…
+1 здоровый скептицизм никому не повредил, плюс метрики и KPI это всегда большой потенциал приписок и искажений.
Читать полностью…
Enhancing LinkedIn’s security posture management with AI-driven insights
В сегодняшнем нашем посте инженеры LinkedIn рассказывают о собственной Security Posture Platform (SPP) — внутренней системе, которая предоставляет динамическое представление об инфраструктуре компании и упрощает управление уязвимостями. Основная цель SPP заключается в предоставлении актуальной картины безопасности всей цифровой экосистемы компании. Платформа интегрируется с существующими инструментами безопасности и автоматизирует сбор и анализ данных, что позволяет оценивать риски практически в режиме реального времени. Это помогает проактивно управлять безопасностью, сокращая количество ручных операций.
Ключевые особенности SPP:
- Каталогизация активов: SPP собирает данные обо всех цифровых активах компании, включая физические устройства и облачные ресурсы. Это обеспечивает полную видимость инфраструктуры, что упрощает приоритизацию рисков.
- Анализ рисков и автоматизированные решения: Платформа использует метаданные для постоянной оценки рисков. Это позволяет оперативно реагировать на новые угрозы, включая упреждающие меры, такие как изоляция устройств с высоким уровнем риска.
- Централизованное управление рисками: В основе SPP лежит Security Knowledge Graph — граф знаний, который объединяет информацию о взаимосвязях между активами. Это помогает быстрее идентифицировать риски и принимать обоснованные решения. Визуальные панели предоставляют полную информацию о состоянии безопасности пользователей и активов.
Для повышения эффективности в условиях большого числа активов, команда LinkedIn добавила в SPP поддержку AI, позволяя безопасникам обрабатывать данные с помощью промптов.
Немного про AI в платформе:
- Генерация контекста: Исходные данные, такие как метаданные из различных источников, преобразуются в формат, понятный AI-моделям, что повышает эффективность ответов на запросы пользователей.
- Создание запросов: AI анализирует пользовательские запросы и трансформирует их в команды для поиска данных в графе знаний, используя нетривиальные механизмы для оптимизации запросов и повышения точности.
- Маршрутизация запросов: Запросы распределяются по различным источникам данных с минимальной задержкой, что обеспечивает высокую скорость ответов.
- Обобщение данных: AI также выполняет обобщение информации, предоставляя краткие и информативные ответы.
В процессе разработки системы команда LinkedIn столкнулась с рядом технических проблем. Одной из них было ограничение ранних AI-моделей (старая модель Davinci, относящаяся к GPT3) , которые не справлялись с объемами данных в графе знаний. Также возникали сложности с управлением «галлюцинациями» AI, когда система предоставляла неверные ответы. Для решения этих проблем были внедрены сложные системы тестирования и итеративная настройка моделей, что значительно повысило точность ответов.
Результаты работы SPP впечатляют: время реагирования на уязвимости сократилось на 150%, а охват цифровой инфраструктуры увеличился на 155%.
Красивая success-story без единого скриншота и ссылок на open-source😄
#ai #experience
🔤🔤🔤🔤🔤🔤 🔤🔤🔤🔤🔤
Aвтомaтизиpoвaнный сeрвис OОO МФK "Зaймep"
OHЛАЙН 3AЙМЫ 6ыcтpо, кpyглоcyточнo, бeз пpaзднuкoв и выхoдныx.
Ага, а итоговый отчёт уже - без фолзов)
Читать полностью…
Дд дешего либо асок дорого
Читать полностью…
А есть какие-то best practice, как это все организовать?
Пытался в defect dojo, но чет не срослось)
Примерно в своих регламентах то же самое и пишу. + устанавливаю сроки исправления/обоснования. Не хотят, пусть идут в другие компании. Есть конечно всегда исключения, но это бизнес.
Читать полностью…
Какая служба ИБ. Чаще сводится к сценарию:
ООО "Рога и копыта" попытались залететь в Газпром.
Надо предоставить отчетики, чтобы деньги зашибать. Бизнес либо сам все отдаст(обычно служба иб там из 1 го Ибэшника или вообще без). Либо его просканят самостоятельно. Поэтому лучше они сами. А там как повезет. Проверят/поверят или нет.
Ну это нормальный адекватный подход. Обычно его и придерживаются. ЛУчше самому отдать, чем потом "спешно разгребать" то что тебе выдадут покупатели.
Читать полностью…
к слову мы отдавали и на все вопросы отвечали, ну и не закрытые все обоснованы были (конкретно для заказчика)
Читать полностью…
У себя поднять сканер и заскамить
Читать полностью…