1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Ну у Сбера например в сбербизнесес аксесс 1час. Рефреш 180 дней.
Читать полностью…
По моему главное чтобы он был одноразовым. А так хоть год, от бизнеса зависит
Читать полностью…
Да меня бот тут забанил (походу из-за того что на старое (больше нескольких месяцев) сообщение ответил )
(Точно так же меня этот бот в других чатах за некро реплаи побанил 😅)
Восстание машин какое-то 🤔
Читать полностью…
Типа буквально нужно описать лексемы для парсера разных конструкций в разных яп (параметр в функции в python, аргумент в функции в python, аргумент в функции в rust, значение в slice в golang и т.д.)
Читать полностью…
Не забыли) https://www.youtube.com/watch?v=xfnHrBarwxY
Читать полностью…
Ну не совсем, semgrep предоставляет движок, который умеет работать с семантическим контекстом
Читать полностью…
ды там по факту ничего нового не придумали + энтропия + паттерны
Читать полностью…
А может кто-то deepsecrets пользуется? Есть какие-нибудь истории о развитии форков)
Читать полностью…
Так это не шутка, Телепорт это правильный путь =)
Читать полностью…
Будет норм аудит, если умные - с айпи клиента
Читать полностью…
Не давайте доступ в попеншифт, закройте @ru_teleport
Читать полностью…
Вообще теплое и мягкое
Читать полностью…
В случае успешного входа - да, можно определить (там создается токен пользователя == точно успешно вошел), но вот с auth provider'ами вообще ничего по логам не увидел
Читать полностью…
Ну например:
https://learn.microsoft.com/en-us/entra/identity-platform/refresh-tokens
Refresh tokens have a longer lifetime than access tokens. The default lifetime for the refresh tokens is 24 hours for single page apps and 90 days for all other scenarios.Читать полностью…
Коллеги, подскажите: есть какая-то сложившаяся практика столько времени максимально должен быть валидным refresh токен?
Читать полностью…
А с трассировкой скрипт запустить если?
Читать полностью…
Граждане, а умеет trivy конвертировать в формат который понимает sonarqube? пробовал github.com/umax/trivy-plugin-sonarqube, но файлик на выходе пустой получается
Читать полностью…
Получается, что они делают тоже самое, но в семгрепе ты пишешь просто правила, а в deepsecrets ты пишешь код 🙂
Причем порог входа в semgrep ниже, чем в deepsecrets, потому что нужно садиться и разбираться, как выглядят лексемы в разных ЯП
https://github.com/ntoskernel/deepsecrets
Читать полностью…
Как и тула deepsecrets команды авито, но они самы составляют лексемы и описывают за счет них контексты в разных ЯП.
А semgrep из под капота умеет работать с большинством ЯП и строить для них AST деревья, соответственно работать в контекстуальном режиме
Если работать с gitleaks и trufflehog и др, то обычно просто описываются шаблоны секретов
Таким образом, ловятся все СТРОКИ в которых имеются шаблонные значения. По сути идет обработка стрима байтов.
А в случае semgrep'а и deepsecrets, идет обработка токенов AST дерева (переменных, параметров функций, значений ключей словарей, значений кортежа и др)
остальное от лукаового
парни с авито года 3 назад доклад прикольный читали, обещали поделиться
но паходу забыли
Неужели все пользуются тулами с движками элементарных регулярных выражений...
Читать полностью…
Ребят, есть кто пошел по пути написания своих semgrep рулов для детекта секретов?
Читать полностью…
Шутки шутками, а рекомендация действительно крутая. Тогда требования регулятора выполняются по всем пунктам сразу
Читать полностью…
Пока не тот уровень зрелости, но к этому идем
Читать полностью…
Ну не всегда же обсуждать только security инструменты, иногда нужно разнообразить требованиями регуляторов (которые относятся к секурити)))))
Читать полностью…
А секурити тут при чем
Читать полностью…
ну мало ли, думал что какие то запросы в kubeapi он шлет все таки
Читать полностью…