1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
А для кого этот документ будет?
Читать полностью…
Точно нужно посмотреть на DAF)
Там все это есть. А к концу года должен выйти апдейт с маппингом на samm
SAMM для CISO.
DSOMM для devsecops.
ASVS для appsec.
Зачем их смешивать? Они для разных уровней
ASVS понятно, есть более менее четкие инструкции как делать и куда смотреть, от design до operations, dsomm части уровней не имеет
хотелось бы иметь построить карту samm+dsomm+asvs и конкретный план действий на каждый кейс
а в итоге это какая то помойка
А какую иерархию хотелось увидеть?)
SAMM - оценка зрелости ИБ в целом (скорее как - оценил и начал улучшать).
DSOMM - оценка зрелости процессов devsecops.
Есть ещё DAF - https://github.com/Jet-Security-Team/DevSecOps-Assessment-Framework
Тоже оценил, и начал внедрять.
а кто вообще ресерчил тему с samm/dsomm/cre/ccm? это какая то лапша где все на друг друга ссылаются и никакой иерархии не видно, с какого конца тянуть?
Читать полностью…
Спасибо, непонятно почему пропустил сообщение. Но лучше поздно чем сразу
Читать полностью…
Lost Doggies has recently partnered up with $HAWK TUAH so I think this could be big guys https://opensea.io/collection/lost-doggies/overview
Читать полностью…
СРОЧНО! Нужны люди с огромным желанием получать 400-2000 долларов в неделю. Нужны 2 часа времени в день, высокие амбиции и наличие интернета. Всем желающим писать + в лс
Читать полностью…
А уже советовали, сорри )
Читать полностью…
NUTX on OPENSEA right now, mint started almost sold out, btw grab something or cry later as always https://opensea.io/collection/nutx/overview
Читать полностью…
Просто не все команды разработчиков готовы поддерживать достаточный уровень абстракции (например REST ручка захламлена реализацией или недостаточно декларативна) и стандартизировать свой программный код
Но если это так, то можно попробовать искать ошибки бизнес логики по шаблону прям в коде
Вам нужно сделать регрессию на уровне тестов, всё остальное от лукавого.
Читать полностью…
Выше предлагали nuclei
Кажется, под ваш кейс подходит, но нужно самим будет написать правила/запросы для проверки
https://docs.gitlab.com/ee/development/secure_coding_guidelines.html#permissions
Гитлаб вот так проблемы с пермишеннами искать
а они просто на друг друга ссылаются, т.е если смотреть на кусок одного, можно закрывать кусок другого, поэтому показалось логичным их попроовать состыковать
Читать полностью…
в том и вопрос, что хочется этот стандарт хотя бы впотьмах нащупать, хотя бы знать как он выглядит примерно
Читать полностью…
Тут проблема в том, что нет золотого стандарта.
С точки зрения SAMM, надо посмотреть что уже достигнуто и что идёт в следующем уровне.
И взять это как план - внедрить уровень 2, стрим А, практики SecEd, внедрить уровень 1, стрим В для Security Audit.
про daf знаю, оставил на десерт, вопрос в том, что не понятно как вообще проводить ассессмент, например с части governance
берем measure and improve и смотрим что нам samm предлагает по гайдлайнам, есть core team и community team, плюс минус оба ссылаются на opencre, а он не имеет точного набора инструментов\практик\паттернов которым нужно действовать, и вместо этого ссылается сам на себя еще в десяти местах, на 27001/2/17 и тп
как вообще создать план действий если нет четкого роадмапа
Взять какую то одну.
Мы вот взяли dsomm и регулярно оцениваем зрелость команд разработки со стороны девсекопс
Здравствуйте, предоставляю иметь стабильный доход, актуальная информация в личных сообщениях.
Читать полностью…
/start@antispamname_bot
Читать полностью…
Ведется набор в стабильную сферу дохода, от 350 долларов в неделю, мест осталось 4. Только от двадцати лет, подробная информация в личных сообщениях, пишите
Читать полностью…
WEGODS dropped on OPENSEA, they are almost sold out in 20 mins, hurry up to catch something or get fomo as always hahaha https://opensea.io/collection/wegods/overview
Читать полностью…
Привет.Я ищу 2-3 чeлoвeкa.Удaлeнкa.Идеально для дополнительнoго дохoда.Есть обучение.Детали в личных смс.
Читать полностью…
NUTX on OPENSEA right now, mint started almost sold out, btw grab something or cry later as always https://opensea.io/collection/nutx/overview
Читать полностью…
Мне кажется эту задачу можно решать разными путями
Можно в рантайме например Authorize плагином Burp’а тыкаться, но он предоставляет лишь механизм дифференцирования по критерию. Нужно как-то готовить валидные запросы
Можно дампить трафик регрессов тестировщиков и из них готовить валидные запросы и повторять их с разными айдентити
А лучше, выставить требования семантические, логические и авторизационные
Так например, чтобы механизм авторизации явным образом вешался на каждую ручку, где он необходим (например декоратором с указанием необходимого скоупа/роли/атрибута)
А далее можно писать рулы на том же semgrep’е разного рода…
Например:
1. Рула находит все модифицирующие запросы и проверяет, что в теле запроса происходит работа с какими-то админскими ресурсами… Если это так, но явным образом не указана авторизация с ролью admin - то заводим дефект
2. Все запросы (POST, PUT, DELETE и др) должны иметь авторизацию
3. Все запросы содержащиеся в параметре id должны требовать авторизацию (тут будут фолзы, но лучше уж так)
Последнее - это лишь идея, которую можно реализовать, если нет ресурсов для поддержки автоматического сканирования
Nuclei/ZAP и обратите внимание на shadow API тоже
Читать полностью…
Бюрократией с разными полномочиями и зонами ответственности. Сейчас можно рассматривать ситуацию как некий внутренний пентест: без доступа к исходникам\пайплайнам и т.д. других отделов. Может, со временем что-то поменяется, но, сейчас так. И сидеть и ничего не делать пока не поменяется - не рассматривается
Читать полностью…
А чем автотесты не решение?
Читать полностью…