Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 11:37

В далеком 2021 писал такое тестовое, когда устраивался в позитивы

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 11:30

можно онлайн на вирус тотал загрузить условный

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 11:30

что такое бинарник пайтон

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 11:24

Проверял? Мне надо ещё отчёт. Умеют генерить?

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 10:47

Это было бы удобно, если бы было что собирать. Понятно что можно в hello world зависимости накинуть, но выглядит как костыль

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 10:38

мне кажется, что это задача в целом фантастическая

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 10:34

Раз уж за syft пошла речь, онн для nuget какие файлы берет для построения, никто не знает? Стандартный манифест project.assets.json он не переваривает, cproj тоже. Как будто он только сами nuget/dll смотрит, что не очень удобно

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 10:23

Yep. Поэтому и презентация длинная нужна, и фреймворк, чтобы понять как с этим работать в конкретных "Рогах и копытах", а "волшебные таблетки" и "серебряные пули" - надо искать не на этом канале, реальность в этом плане часто трудозатратна 🤝

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 10:19

средняя температура по больнице включая морг

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 09:54

BlackDuck еще хранил историю сканов и с приездом CVE в старые сканы алертил об этом

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 09:52

Да, в Snyk есть раздел «Dependencies», своего рода пародия SBOM, учитывая что Snyk хорош в SCA его рекомендовать можно

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 09:38

Это такое сложное объяснение для простого sca-анализа?

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 09:09

BlackDuck еще , если компания готова на коммерцию, вроде как Snyk что-то похожее умел

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 08:56

Скорей, вопрос как и из чего можно выстроить процесс, чтоб как минимум эффективно выявлять скомпрометированные транзитивные зависимости. А как максимум - не допускать возможности попадания в проекты таких зависимостей.

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 08:44

А в чем суть ? То есть у вас есть артефакт ? И что с ним надо сделать ?

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 11:35

звучит как тестовое, кстати)))

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 11:30

clamav; дрвеб и касперыч уже не модно

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 11:26

Они дадут инфу о том, что есть внутри, ldd на .so зависимости , strings покажут кучу строк, возможно что-то найдется. Это всё руками.
Ну и какой-нить drweb на вирусы.

Это из моих быстрых подручных средств для бинарей.

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 11:23

Добрый день. Есть бинарник python. Вывод команды file показывает что собран методом elf. Если ли какие-то инструменты чтобы проверить данный бинарник на зависимости, уязвимости?

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 10:38

делаешь релизный артефакт, разбираешь его по косточкам, профит

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 10:35

И чем еще можно построить сбом без сборки в шарпах? Cdxgen пытается restore запустить, тоже такое себе. Что еще есть?

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 10:31

Может локальный баг какой-то, но у меня sbom собранные syft-ом в dep-track не раскрываются как дерево, т.е. транзитивность теряется.

Security Wine Chat (бывший DevSecOps Chat)

11 September 2025 10:19

любая статистика - это оч опасно

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 09:55

TwistLock умел лазить по запущенным подам и находил в них файлы от пакетов с CVE

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 09:52

Но эта штука доступна только в Enterprise

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 09:51

По этапам - именно для выявления таких зависимостей часто используются инструменты, которые собирают sbom и потом проверяют по базе открытые вулны в таких пакетах
Dependency Track так же работает, в него грузишь sbom, а он потом по базе проверяет (собирать sbom через cdxgen, например)

Всякие сканеры, которые в моменте проверяют зависимости, по похожему принципу работают, но не всегда генерируют доступный sbom

Для недопуска в проект они сами по себе не подходят, тут нужно пайп строить так, что сначала проверка и потом, если все норм, сборка и деплой

Если интересно прям блокировать именно выкачивание - то, как предложил Георг, ваш путь - прокси и зеркала для пакетов, где будет какая - то проверка и блокировка сомнительных зависимостей

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 09:27

Встроить в пайплайн trivy, codescoring, dep track, можно добавить nexus плагин от codescoring для блокировки зависимостей

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 08:59

Я с утра буквально думал про это - кажется артифактори или Нексуса тебе должно быть достаточно. Либо какая то система вроде wiz.io - которая ведет инвентарь всех артефактов, но они способы эффективно работать только при наличии sbom

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 08:44

И sbom’ов нет, как я понимаю ?

Security Wine Chat (бывший DevSecOps Chat)

10 September 2025 08:39

Коллеги, подскажите - кроме Dependency Track есть ещё варианты поиска скомпрометированных пакетов в транзитивных зависимостях среди сотен проектов? Для Dependency Track тут заметка есть