1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Всё, мысль понял, спасибо.
Читать полностью…
Да, но хочется чтобы zap имел право уронить пайп, например при нахождении крита. И получится что если мы просто в асок выгружаем, в нем крит отмечаем фальсом, в асоке его нет, а пайп по этому криту zap продолжает ронять, он же код завершения до отправки в асок сформирует? Или можно у него результаты отправить в асок и в ответ получить, что это уже помечено как фальза?
Читать полностью…
Ну и мультисессию через web-интерфейс удалось кому-нибудь поднять? А то вроде webswing в настройках все норм ставится, но второго пользователя в вебку все равно не пускает.
Читать полностью…
Нужен контекст. В прямом смысле - context в zap. Там сохранить все настройки сканирования и аутентификации (через скрипты, например). Если нужна сессия, можно локально прогнать скрипт аутентификации и повторить шаги воспроизведения.
Но качество сканирования все равно желает оставлять лучшего. Нормально сканировать по openapi у zap не получается.
В идеале, надо поднимать zap в виде прокси сервера и прогонять автотесты. И на основе собранных ссылок делать сканы. Но в таком виде пайплайны будут скорее триггерами к началу сканирования или ходить в asoc, смотреть есть ли файндинги для проекта.
А что в альтернативе? Бюрп платный (бесплатная версия не подохдит мне), нюклей еще меньше находит. Чего посоветуете посмотреть?
Читать полностью…
чтобы с нуля не триажить, можно в асок же результаты класть. зап в целом сильно фолзит и находит только базу + юзаем для разведки по эндпоинтам
Читать полностью…
здарова. а тебе не нужно простое сканирование? ты хочешь именно сессию с куками сохранять?
Читать полностью…
Prince Kushwaha: user has been CAS banned
Читать полностью…
Granville Oldridge: user has been CAS banned
Читать полностью…
@PPHGFT_75: user has been CAS banned
Читать полностью…
Samarth Patil: user has been CAS banned
Читать полностью…
mundhe maya: user has been CAS banned
Читать полностью…
Предновогодний релиз DAF!
С наступающим новым годом, друзья! Все подводят итоги года, а мы запрыгиваем в последний вагон трудовых будней 2025 года с очередным релизом DAF!
Первая часть релиза (что добавилось и изменилось):
1. Актуализировали маппинг на ГОСТ 56939-2024
2. Добавили автомаппинг на BSIMM. Теперь проводя аудит по DAF можно сразу же получать результат относительно 5 фреймворков - ГОСТ 56939, DSOMM, SAMM, BSIMM, PT Table Top
3. Отдельный лист "Карта DAF" решили вовсе убрать, т.к. есть отличное визуальное представление на вкладке "Общее, домены, поддомены" (в нем еще добавили часть MLSecOps)
4. Учли некоторые пожелания пользователей DAF:
- скорректировали формулировки некоторых практик (T-ADI-ART-4-3, T-DEV-SCM-4-3, T-ADI-DEP-3-2, T-DEV-SRC-2-2, T-DEV-SRC-2-3, T-DEV-SRC-3-4, T-DEV-SRC-3-6)
- в выпадающем списке на странице «Практики» добавили вариант «Не заполнено» и по-умолчанию проставили для всех практик (чтобы было явно заметно что именно нужно еще заполнить при аудите)
- добавили на странице «Практики» отдельный столбец "Область действия практики", чтобы можно было заполнить часть практик для одной команды, часть - для группы команд, а еще часть - для всей компании в целом (например, общие на всю компанию регламенты, процессы)
5. Сделали более приятное визуальное оформление
6. Ну и как обычно, исправили битые ссылки, опечатки, прочие косяки с визуалом и добавили новые
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps" - к сожалению, 4й квартал нас не пощадил и мы не пришли внутри к общему мнению как же правильно считать. Поэтому переносим на весенний релиз
Вторая часть релиза.
Мы довольно долго обходили вниманием MLSecOps, хотя это направление очень-очень близко нашему классическому DevSecOps. В этом релизе DAF мы исправили это упущение и добавили:
- отдельную вкладку "Практики+MLSecOps" - в ней голубой заливкой выделены отдельные практики MLSecOps, наложенные на обычные практики нашего фреймворка. Это сделано для того, чтобы можно было пользоваться фреймворком как для аудита только DevSecOps (вкладка "Практики"), так и для аудита MLSecOps (вкладка "Практики+MLSecOps"), который является "надстройкой" над DevSecOps
- на вкладке "Результаты аудита" добавили результаты по MLSecOps (эти строки скрыты, раскройте их, нажав слева сверху цифру "2")
- актуализировали "Общее, домены, поддомены" с учетом добавления MLSecOps
Ну и если сделали два релиза (в одном), то почему бы не сделать и третий, верно?😉 Вышел релиз английской версии DAF! Лайк, шер, репост своим зарубежным коллегам!☺️
✅ MWS Cloud на Новый Год приглашает подписчиков нашего канала протестировать сервис Managed Kubernetes
Коллеги предлагают попробовать фичи, надежность и юзабилити платформы. Сама платформа работает с октября этого года. Слово им:
Что загадывает DevOps на Новый год?
⏺чтобы кластер обновлялся без ночных алертов
⏺сеть работала стабильно и предсказуемо
⏺апгрейд кластера не превращался в вечер с release notes
С Managed Kubernetes вы получаете:
⏺готовый кластер за несколько минут без сложной настройки
⏺управление жизненным циклом кластера и нод
⏺ автоматическое масштабирование под нагрузку
⏺ нативную работу с сетью и storage через CCM / CSI
⏺ централизованное управление доступами через IAM
Aamir Khan: user has been CAS banned
Читать полностью…
Zap сканит очень долго. Легче все сканы запускать отдельно, триажить в asoc, а в пайпе ходить в asoc забирать результаты. Блокируем если есть криты и они имеют статус подтвержденных. Или же свежее недели
Читать полностью…
Точно надо делать надо в рамках пайплайна?
ASOC может спокойно выкидывать из выборки помеченные фолсы (defect dojo точно это умеет).
Спасибо, но, эта часть как раз понятно, сделали контекст, при запуске в пайпе контекст подтянули. Меня интересует дальше - мне нужно результаты из пайпа выгрузить (неважно в асок, в отдельный сервак с gui zap или еще что-то) в этом чем-то результаты разметить и сохранить (в инструкции zap пишут что это называется сессией) и потом в следующий раз эту сессию ему при скане в пайпе подкладывать. Цель в том, чтобы он уже в пайпе повторно не взводил то что уже размечено, а не в том чтобы в асоке это не маячило. Так это реализовывал кто-нибудь?
Читать полностью…
запускать зап в пайпе, но результаты класть в асок. не понимаю вопрос. если речь про exit codes, то можно обернуть во враппер.
Читать полностью…
А ронять пайп как, если мы триажим в асоке? Т.е. там же есть условия, при которых zap должен пайп уронить, если это условие взведется по фольсе, мы его о асоке снимим, но пайп от этого проходить не начнет же?
Читать полностью…
Так zap же фальзы взводит периодически, если без сессии просто пересканивать каждый раз, это же с нуля триажить нужно будет. Моя жизнь слишком коротка для этого.
Читать полностью…
Здорова, бандиты. Вопрос, по чату поискал, вроде не нашел обсуждения. Кто-нибудь поднимал zap в пайплайне? Плюсы/минусы/подводные камни? Интересует вопрос сохранения сессии, как технически так и по воркфлоу - т.е. схема такая, что сканишь в пайпе, сохраняешь сессию, потом как руки дошли, аппсек сессию поднимает где-то централизовано и триажит, потом при следующем пайпе подтягивает оттриаженая сессия и фользы заново не взводятся, правильно понимаю? Или как-то по другому нужно юзать?
Читать полностью…
Janick Roberts: user has been CAS banned
Читать полностью…
Derick: user has been CAS banned
Читать полностью…
@Stanley_JoynerT15: user has been CAS banned
Читать полностью…
Irfan Khan: user has been CAS banned
Читать полностью…
DevSecOps Assessment Framework (DAF) – A Fresh Approach to Secure Software Development
Good news everyone!
We are pleased to announce that the DevSecOps Assessment Framework (DAF) is now available in English for the international community.
There are many useful frameworks for evaluating the secure development processes, such as SAMM, BSIMM, DSOMM, and Microsoft SDL. However, there is no single framework that clearly describes what must be done and in which order to establish a secure development process, objectively assess existing maturity level, and identify next steps.
The DevSecOps Assessment Framework (DAF) aims to solve this problem. It consolidates recommendations and best practices from various areas of DevSecOps and integrates our community's extensive expertise structured and adapted to modern realities. Some practices from well-known frameworks are not included in DAF, but new and more detailed practices have been added instead. All models, domains, subdomains, and practices are described in clear language to avoid ambiguity and misinterpretation.
Like, share and repost! We would appreciate your feedback!
Md Moin Md: user has been CAS banned
Читать полностью…
@ThomasWard_M: user has been CAS banned
Читать полностью…
он правда ничего не видит за балансером, но аудиторов почему-то это не беспокоит
Читать полностью…