isast

2021-12-17 09:20:52 Перефразируя старое китайское проклятие:


"Чтоб ты сертифицировался в момент обновления Методики ВУ и НДВ!" Открыть/Комментировать

2021-12-16 11:55:53 #FIX #Unix #GOST3411 #checksum Открыть/Комментировать

2021-12-15 17:09:15 https://www.explainxkcd.com/wiki/index.php/2347:_Dependency Открыть/Комментировать

2021-12-13 10:28:20 https://github.com/anchore/anchore-engine

"The Anchore Engine is an open-source project that provides a centralized service for inspection, analysis, and certification of container images. The Anchore Engine is provided as a Docker container image that can be run standalone or within an orchestration platform such as Kubernetes, Docker Swarm, Rancher, Amazon ECS, and other container orchestration platforms." Открыть/Комментировать

2021-12-13 10:21:30 Golang Security

В силу того, что все больше компаний начинают переписывать свои сервисы на golang, решил сделать подборку по аспектам безопасности этого языка.

Awesome golang security - подборка лучших практик, включая библиотеки, фреймворки для харденинга, статьи

OWASP Go-SCP - лучшие практики по написанию безопасного кода на Go от OWASP

Go-ing for an Evening Stroll: Golang Beasts & Where to Find Them - обсуждение 4х распространенных уязвимостей в Golang. Репо с расширенной версией доклада + слайды

Статические анализаторы: gosec, golangci-lint, safesql

Not-going -anywhere - набор уязвимых программ на Golang для выявления распространенных уязвимостей.

OnEdge - библиотека для обнаружения неправильного использования паттернов Defer, Panic, Recover.

#dev Открыть/Комментировать

2021-12-13 10:21:29 #Go #goland #SDL #DevSecOps Открыть/Комментировать

2021-12-13 10:13:41 DevSecOps: принципы работы и сравнение SCA. Часть первая

Рад объявить о том, что мы запустили блог на Хабре и серию статей по DevSecOps на русском языке. Первая статья - "Принципы работы и сравнение SCA". В этой статье я рассказываю, что такое Software Composition Analysis, как он работает, при чем здесь BOM и что это такое, какие фолзы выдают SCA и как их выявлять, а также табличка с функциональным сравнением. Вся статья построена вокруг двух самых известных open source решений Dependency Check, Dependency Track и коммерческего решения Nexus IQ.

https://habr.com/ru/company/swordfish_security/blog/516660/

В следующих частях планируем написать о встраивании SCA в CI/CD, сравнении результатов различных DAST и многом другом.

#sca #tools #dev Открыть/Комментировать

2021-12-11 00:36:47 CodeQL for Log4j

“Пятница-пятницей, а Log4j JNDI инъекцию никто не отменял :) все про нее уже в курсе, но если нет, то почитать можно тут или тут, ну или по-русски тут. Для CodeQL соответственно сразу же подъехали экспериментальные запросы: https://github.com/github/codeql/pull/7354/files
Можно уже погонять на своём коде. Сами запросы используют csv-модели, то есть разделенные точкой с запятой однострочные описания неймспейса, типа, подтипа, имени класса и еще нескольких параметров для задания source'a, sink'a и summary. Это укорачивает спецификацию этих элементов, позволяет их писать быстрее, но читать это чуть непривычнее :)”

За текст спасибо @shad0wrunner

Из чата @codeql

#dev #ops #attack #sast Открыть/Комментировать

2021-12-10 10:49:39 https://github.com/anchore/grype Открыть/Комментировать

2021-12-10 10:38:29 The Python Vulnerability Landscape

Сегодня у нас пост про Python. Начнем со статьи "The Python Vulnerability Landscape" о развитии уязвимостей в пакетах python'а. В статье приведены данные об изменение числа уязвимостей в пакетах (в т.ч. с разбивкой на CWE и популярные фреймворки вроде django) и степени их критичности. На картинке вы в частности можете видеть наиболее уязвимые пакеты по годам.

А теперь об инструментах. Они не такие популярные как тот же Safety, но безусловно заслуживают внимания.

trailofbits/pip-audit - инструмент для анализа уязвимостей пакетов python от небезызвестных Trail of Bits с базой advisory-db. Скармливаем requirments.txt и получаем результат (можно в json).

ochronasec/ochrona-cli - аналогичный инструмент, использующий базу данных с уязвимостями, которая бралась за основу для формирования статистики выше. В базе используются NIST NVD, Github Advisory Database, PyPA Advisory DB.

#dev #sca Открыть/Комментировать