1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Всем привет! Есть проблема, решения к которой пока не могу придумать.
Есть дистрибутив, который отдается клиентам. Лежит он в нексусе, имеет подпись
Каким образом можно убедиться, что либы в дистрибутиве не подменены? На любом этапе сборки дистрибутива, в мавене, в нексусе, где угодно
GitHub Users Targeted by New Wave of Spambots
Ищите чтиво на выходные? Если вдруг вы увидели спам в комментариях своего репозитория на GitHub на этой неделе, вы не одиноки. Недавно мы писали об атаках на разработчиков, но на этот раз методы напоминают устаревшие практики. Боты оставляют комментарии, предлагая загрузить файлы с платформы MediaFire, содержащие вредоносное ПО. Цель злоумышленников — убедить разработчиков загрузить эти файлы, что в итоге приводит к компрометации системы и аккаунта GitHub.
GitHub пытается удалять такие комментарии, но проблема остается. Один из разработчиков создал GitHub Action, который фильтрует подобные комментарии.
"Это не должно быть задачей мейнтейнеров open-source — предотвращать спам с вредоносным ПО, но пока GitHub не решит эту проблему, я создал небольшой автоматизированный action, которая удаляет подозрительные ссылки из комментариев в задачах."
А есть какие-то относительно свежие исследования про:
1. Зависимость (или отсутствие таковой) кол-ва ошибок в коде от языка программирования (я нашёл только за 2019 год новость)
2. Среднее кол-во ошибок на 1000 кода (нашёл только от 2012)
3. Вообще: зависимость частоты ошибок от каких-либо факторов (нашёл за 2014 про отсутствие связи между кол-вом найденных ошибок и кол-вом людей, которые их искали)
CVE от Patchstack это часто просто мусор. Впрочем как экосистема в которой они работают.
Читать полностью…
Да что нюансы свои есть это и так все знают, там скорее про фолсе позитиве и их отбраковку
Читать полностью…
Ну вот например, предпоследний абзац
Читать полностью…
ну есть CVE-Record процесс, офицальный и там есть статус Rejected, и это не тоже самое что NVD теги )
Читать полностью…
я может чего-то не то смотрю ) вижу только про rejected, в упор не вижу ничего даже поиском по "disputed"
Читать полностью…
странно что не написано про disputed раз речь про нвд, "disputed" тэг в уязвимостях NVD показывает на 2 состояния - либо вендор оспаривает уязвимость, и говорит, что ее нет, либо уязвимость откровенно мусорная, но по каким-то причинам cve не проставлен статус "rejected", вот пример https://nvd.nist.gov/vuln/detail/CVE-2022-33124 (там можно гитхаб ссылку открыть референса и посмотреть насколько это реальная уязвимость)
Читать полностью…
Им же хуже. Теперь им некому проверять будет, будет бажное и глючное по. :)
Читать полностью…
Я всегда созывал команду и проходились по каждой сомнительной..
Я с ит дружу.. По крайней мере, очень стараюсь
Тут AWS Inspector в этом году начал репортить linux kernel CVEs в образах на ECR при том что этот кернел никак в образе не присутсвует и даже если присутствует то никак не влияет на runtime.
Читать полностью…
Проверять отчёты? Да нафиг, так отправим, пусть исправляют 😐
Читать полностью…
О дааа )) на прошлой работе у меня на эту тему была практически война с глобальной Security командой…
Там еще попадаются CVE уровня «ОС подверженна риску удаления данных, так как содержит команду /bin/rm” 😂 или «вызов malloc не проверяет количество свободной памяти, что может привести к DoS из-за использования swap” 😂
Много бодались с CVE в статусе DISPUTED, частично описанные выше.
Забавные вещи находились TwistLock ом в контейнерах, там некоторые PRISMA- findings были больше архитектурного вида и ругались на дефолтные конфиги оси, репы питона…
Это если надо софт потестить, если про слабости, то к первоисточнику лучше сразу (cwe.mitre.org), если попроще и для наставления джунов, то есть damn vulnerable ... ... (Язык+фреймворк).
Последнего обычно бывает достаточно для постигания дзена
Ведётся набор в команду для взаимовыгодного сoтрудничества. Стабильный дохoд. Подробности в личных сообщениях.
Читать полностью…
B поиске людeй, кoмy будeт интepeснa пасcивная пpибыль, eжeнeдeльный дoп.дoxoд от 300 $, всe дeтaли в личныe сooбщeния
Читать полностью…
💲We are recruiting for our Web3 project!
We are looking for passionate and talented people to join our team and help us build the future of the decentralized web.
✅ We are recruiting for the following positions:
- Beta tester (200$/week)✅
- Moderator (300$/week)✅
- Community Manager ($400/week)✅
- NFT artist (negotiable)✅
- Developer (negotiable)✅
✅If you want to try your hand at this project, write to direct.🤝
там про incomplete versions написано, но это прям если честно совсем боль) особенно последнее время, за живое задела статья и пост ))) на cve.org в рекорде вся информация есть - NVD быстро докатит только хайповые уязвимости, остальное дай боже через месяц доедет, типа такого https://www.cve.org/CVERecord?id=CVE-2024-47315 https://nvd.nist.gov/vuln/detail/CVE-2024-47315, статья какие-то глубокие травмы открыла))
Читать полностью…
Я бы так сказал: выдержка из статьи не может покрыть полностью процесс, а сама статья по NDA причинам не должна. Так что нормально. Есть шанс дополнить
Читать полностью…
Ну формально они не disputed но суть процесса описана: команда разработки вертит пальцем у виска мантейнерам CVE 😂😂
Читать полностью…
Со второго абзаца и далее жи
Читать полностью…
Там в USA пара менеджеров осталась. Что ходили ко мне с эксельками из тех систем, в которые глядел я и делал джиры девелоперам и спрашивали: «Антон, а ты видел, вы исправляете уже?»
Думаю, они справятся)))
У меня даже автоматизация была: загрузить их айдишники уязвимостей и вернуть соответствующие JIRA. Это минуту занимало )))
Ну вот у меня как раз была обязанность проверять такое на команду из 100..150 программеров.
Ещё ставил цель перед собой связать между собой отчёты из разных систем: мэпить находки BlackDuck в артефактах и находки twistlock в запущенных контейнерах...
Но... компания ушла из РФ )))
Инна зачем он там нужен?
Читать полностью…
Ну в результате я собирал фидбэк с девелоперов и на глобальных недельных или раз в две недели звонках мы с такими же как я рассказывали этим секурити командам как и куда идти 😂
Единичные добавляли в исключения на уровне компании.
полный facepalm, а не твистлок
Читать полностью…
Non-Actionable Findings в 3rd-party Security Scanners...и как их распознать
Инженер Google написал блог-пост о том, как обрабатывать результаты CVE от сканеров безопасности и как распознать те, которые можно спокойно убрать из списка задач на фиксы.
Краткий конспект от нашей команды:
Rejected уязвимости: Самый простой вариант — исключить уязвимости с пометкой rejected в NVD (например, CVE-2023-4881). Это имеет смысл, когда сканер тащит весь NVD без минимальной фильтрации. Такой случай не особо интересен, двигаемся дальше.
Переоценка от мейнтейнеров: Бывает, что NVD отмечает уязвимость как high, а мейнтейнеры ОС считают, что у неё минимальный импакт и не выпускают патчи для своих дистрибутивов Linux. В таких случаях мнение мейнтейнеров может быть более релевантным, и уязвимость можно классифицировать как false positive.
Пример — CVE-2018-20657:
10-byte memleak, not considered important to be fixed by upstream, so no patch is available as of 2023-06-02
Sard от нист, их там много
https://samate.nist.gov/SARD/