1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Адам: user has been CAS banned
Читать полностью…
Степа: user has been CAS banned
Читать полностью…
Могу связать с ними, если интересно. Такая платформа действительно есть.
Читать полностью…
Народ. А у нас есть на he рынке какие то платформы для обучения разрабов/тестировщиков и прочих
Читать полностью…
Это ты уже давай погугли брат)))
Тут наши полномочия всё.. ток это знаем))
Семгреп стат.анализ кода
Зап динамический анализ приложух
попробуйте натянуть семгреп на ГОСТ по статическому анализу и методику ФСТЭК. если пролазит, то можно его засчитать за статический анализатор
Читать полностью…
Дальше в личке разбираемся)
Читать полностью…
Но ты же выше утверждал что поиск по базе регулярок сомнителен 🤔
Читать полностью…
Под капотом построения AST дерева работают регулярные выражения
Читать полностью…
Ты не понимаешь что такое семантический анализ.
Потому что не понимаешь что значит эта семантика в контексте поиска. И если ты хоть немного изучишь материалы того, на что ссылаешься, то поймёшь что оно ничем не отличается от поиска по заданным шаблонам, что есть те самые регулярки
Ты не прав. У тебя большие проблемы в знаниях которые тебе нет необходимости восполнять
Читать полностью…
Ну давай вместе почитаем что такое анализ семантики и как он выполняется
Читать полностью…
Я не вижу логического вывода из твоих острых упреков
Читать полностью…
Хах, а кстати хороший вопрос для собесов получится: рассказать как работает поиск по регулярным выражениям 🤔
Читать полностью…
Олег: user has been CAS banned
Читать полностью…
Спасибо. Демо уже запрошено.
Читать полностью…
StartX только вот знаю.
Читать полностью…
https://github.com/paulveillard/cybersecurity-dast
Читать полностью…
А если рассматривать динамический анализатор, то какие есть варианты кроме zap?
Читать полностью…
Ребят, привет. Подскажите, плюсы и минуты, отличия owasp zap от semgrep?
Читать полностью…
Можно вот отсюда флуд почистить.
(Там через два поста только сообщение полезное про клаудфлерь)
Даже с пояснением ты ничего не понял. Увы, здесь я уже ничем не помогу
Читать полностью…
Называются лексемы, они позволяют тебе определять семантические конструкции разных ЯП. И если бы ты знал все выше мною перечисленное, не писал бы такую охинею)
Читать полностью…
В семгрепе два режима
- анализ на основе семантического анализа за счет построения AST дерева
- taint анализ
1. На базе лексем строит AST дерево, которое разбивает код на токены. Где токен может быть - FunctionDefinition, params, arguments, Dictionary, DictionaryKey, DictionaryValue, List и др. Далее ты строишь "шаблон" в понятии семгрепа, а под капотом он на самом деле создает prompt'ы к токенам AST дерева
2. Taint анализ использует анализ на базе data flow . Так определяются 4 этапа жизни данных (source, santizers, propogators, sink). Но для этого тебе нужно отслеживать флоу между файлами и то, как перемещаются твои данные
От сердца отрываю референс. Коллеги из Яндекса круто постарались и сделали большое количество классных материалов https://www.youtube.com/live/7hXqmLCe9LA
Читать полностью…
Ещё можем подумать на тему того что такое "регулярное выражение" и что же такое странное мы описываем в правилах семгрепа
Читать полностью…
Окей, я понял что у тебя есть некоторые пробелы. Сейчас скину тебе референс
Читать полностью…
И как это делается? 🤔
Читать полностью…
А что тогда семантический анализ?
Читать полностью…