1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Если так хочется искать секреты, то гораздо эффективнее будет использоваться эту самую энтропию, поддерживаемую, не тратя время на проработку правил для саст.
Если не хочется искать, но надо, то достаточно использовать trufflehog + набор шаблонов
By default многие инструментарии поддерживают параметр энтропии для значений потенциальных секретов, не вижу связи с матеростью команды. Другой вопрос - как понять, что есть значение
Читать полностью…
можно чуть проще поступить и юзать критерий хи квадрат и фолзить будет поменьше
Читать полностью…
А здесь подробнее описано
https://mazinahmed.net/blog/secrets-patterns-db/
Хотя по моим наблюдениям за несколько лет, с помощью энтропии, удалось всего пару раз что-то найти сверх того, что находил trufflehog. При этом что очень много фолзов пришлось проверять.
Trufflehog более чем достаточно
Вообще крутая практика, приводить подобного рода операции к единому контракту на уровне языков программирования
По типу... Везде мы используем библиотеку loguru в python, всегда передаем в качестве аргумента словарь с ключами
Во многих крупных компаниях так и появляются свои питоны, фреймворки и др, которые приводят подобного рода вещи к общему контракту (userver Яндекса, существуют аналоги с питоном и др)
Нет, но можно написать пару рулов для семгрепа относительно семантики того, как у той или иной команды логируются данные и для разных стеков
Так например можно написать рулу по типу ($lib.$log({$key, ...}) , где $log ~= '^(debug|error|log)$', а $key ~= 'secret|key|password|token')
Естественно семантика для разных ЯП и в разных командах будет своя
Мне кажется, что тут не так много команд, у кого имеется такой высокий уровень матерости, чтобы таким заниматься)
У трафлхога есть атрибут для этого
Читать полностью…
Коллеги, привет
а вы как-нибудь проверяете лог джобы разрабов на секреты?
Редкий подвид аппсека, который работает с исходным кодом 😂
Читать полностью…
А зачем? Чет отличается код который он написал от кода который ему плагин аи написал? Или у Вас 100% доверие разработчику?
Читать полностью…
👆👆👆 вот еще раз про DLP-protected environment 😂
Читать полностью…
DLP нужен, угу, и всякие штуки типа проверки циско впном комплайенса
Читать полностью…
Всё работы только из под домена. Для работы - запускалки рдп в режиме киоска на астре какой-нибудь. Рдп конечно уже до виртуалки которая внутри компании развёрнута, настроена и всё что надо пишется в логи
Profit 🤷🏿♂
ну на личные тоже вроде какие то агенты ставим, тут уточню канешь.
но кроме как через эти агенты смотреть что там в ide установлено, пока идей не много
А ты сравни какая она будет у строк (обычных, содержащих креды, содержащих пароли)
Читать полностью…
А причем здесь энтропия Шеннона?) Параметры функций/методов логгирования передаются в качестве переменных в основном. Речь не идет о значениях
Читать полностью…
Хотя помимо секретов удавалось найти что-то иное: саст пропускал или проглядели. Типа отладочной заглушки, которая дебаг в прод пропускала 🤔
Если есть время свободное, то думаю такого рода проверки при анализе будут полезны
Более полная база шаблонов регулярок для trufflehog
https://github.com/mazen160/secrets-patterns-db
У кого высокий уровень матёрсоти знают про энтропию Шеннона
Читать полностью…
Это естественно псевдорула)
Читать полностью…
Но если чесн меня на это не хватает)))
Читать полностью…
А не проще на входе отлавливать? И не давать заливать секреты
Читать полностью…
@worriedDoves595: user has been CAS banned
Читать полностью…
Есть dlp который определит что исходный код - это исходный код?
Читать полностью…
Ну, типа как инь и янь - безопасность и удобство 🤔
Читать полностью…
хороший вопрос кстати, записал
Читать полностью…
Это супер неудобно и все нормальные люди сразу скажут дозвидания
Читать полностью…
На личном железе надо просто запретить работать
Читать полностью…
Если ноут личный, то никак
Читать полностью…