https://github.com/exness/security-bot #devoops
"The Security Bot (SecBot) service introduces an additional collection of checks to the SDLC to identify security issues in corporate assets"
"The Security Bot (SecBot) service introduces an additional collection of checks to the SDLC to identify security issues in corporate assets"
GitHub
GitHub - exness/security-bot
Contribute to exness/security-bot development by creating an account on GitHub.
image_2023-09-06_11-07-15.png
297.5 KB
Подписание коммитов важно для GitOps security #DevOops
image_2023-09-06_11-09-25.png
162.3 KB
в gitlab можно настроить процесс согласования правил как кода #DevOops
image_2023-09-06_11-17-11.png
164.3 KB
Анализ GitOps для нужд безопасности #DevOops
Проверяете о скольких доменах вам не сообщили ИТшники для контроля? Попробуйте 2 ресурса dnsdumpster.com (до 100 записей на 1 домен бесплатно) и crt.sh (поиск доменных имен в выданных сертификатах).
И это один из доводов использования wildcard сертификатов TLS, иначе все поддомены видны на crt.sh.
И это один из доводов использования wildcard сертификатов TLS, иначе все поддомены видны на crt.sh.
Forwarded from DevSecOps Talks
Анализ ИБ пакетов в режиме «реального времени»
Всем привет!
Один из способов устранения проблем при debug – это Google! Зачастую он ведет на StackOverflow или иные подобные ресурсы, где можно встретить советы в стиле «Надо просто установить/обновить пакет до версии XXX».
Допустим, что вы – Разработчик, которому не все равно на ИБ(верим, что такие есть!) . Как узнать, есть ли у этого пакета уязвимости и насколько он «хорош» с точки зрения ИБ? Да, есть много разных ресурсов (например, Snyk Advisory, Deps и их аналоги), но потребуется сделать слишком много действий. А хочется здесь и сейчас!
Именно так размышляли члены SCAR (Supply Chain Attack Research – организация, объединяющая Checkmarx, Aqua, Cider, SNYK, Mend и не только), когда создавали Overlay.
Overlay представляет из себя надстройку для browser (Chrome, Mozilla), которая может распознавать упоминания пакетов на сайтах и сразу «подсказывать» что в нем есть плохого. Альтернативный сценарий – «расширение» выдачи информации о пакетах на индексах с добавлением информации по уязвимостям и результатам анализа OSSF Scorecard. Информацию об ограничениях работоспособности можно найти в repo проекта.
Выглядит крайне удобно и, что самое главное, developer-friendly ☺️
P.S. А если Вам захочется чуть больше узнать про SCAR и историю создания Overlay – можно обратиться к этой статье.
Всем привет!
Один из способов устранения проблем при debug – это Google! Зачастую он ведет на StackOverflow или иные подобные ресурсы, где можно встретить советы в стиле «Надо просто установить/обновить пакет до версии XXX».
Допустим, что вы – Разработчик, которому не все равно на ИБ
Именно так размышляли члены SCAR (Supply Chain Attack Research – организация, объединяющая Checkmarx, Aqua, Cider, SNYK, Mend и не только), когда создавали Overlay.
Overlay представляет из себя надстройку для browser (Chrome, Mozilla), которая может распознавать упоминания пакетов на сайтах и сразу «подсказывать» что в нем есть плохого. Альтернативный сценарий – «расширение» выдачи информации о пакетах на индексах с добавлением информации по уязвимостям и результатам анализа OSSF Scorecard. Информацию об ограничениях работоспособности можно найти в repo проекта.
Выглядит крайне удобно и, что самое главное, developer-friendly ☺️
P.S. А если Вам захочется чуть больше узнать про SCAR и историю создания Overlay – можно обратиться к этой статье.
GitHub
GitHub - os-scar/overlay: Overlay is a browser extension helping developers evaluate open source packages before picking them
Overlay is a browser extension helping developers evaluate open source packages before picking them - os-scar/overlay
Пятничный оффтоп. Генеративный ИИ прочно продолжает входить в нашу жизнь и совсем скоро HR начнут слышать от кандидатов в ответ на "Что для вас важно в будущем месте работы" - "Возможность использовать генеративный ИИ". В этом исследовании до 54% студентов отметили это в качестве фактора выбора работы. Похоже защита инструментов генеративного ИИ становится важным фактором офисного ИБ.
Forwarded from WTF_HR
Пятничное.
Люди, которые провели некоторое время на Балканах, хорошо знакомы с понятием «полако». Это слово в зависимости от контекста может означать очень разные вещи – от «спокойно» (такое, например, кричат друг другу сербские водители на перекрестках) до «да забей, давай тяпнем ракии за обедом».
В сообществе неприлично много по местным меркам работающих русских эмигрантов употребление этого слова в целом отражает столь непривычное им балканское неторопливое отношение к жизни.
Апофеоз «полако», впрочем, встречается не в Сербии, а в Черногории, где люди, если следовать популярным мемам, «рождаются уставшими и живут, чтобы отдыхать».
Именно эта максима из «Черногорских заповодей» мгновенна вспомнилась нам, как только мы прочли результаты нового опроса, проведенного среди более тысячи американских студентов, начинающих в эти самые дни последний курс обучения и собирающихся выпуститься в 2024 году.
Как всяких нормальных студентов последнего курса, их беспокоит неизвестность, которая лежит впереди, они сильно заинтригованы и слегка напуганы новыми технологиями и мечтают стать обеспеченными и счастливыми людьми. Но есть, как мы любим, один нюанс.
Около 80 (восьмидесяти!) процентов респондентов, утвердительно ответили на вопрос «Как часто вы испытывали выгорание» ответили «часто» или «время от времени», еще 16% ответили на вопрос «редко», и лишь 4% выгорание не испытывали совсем.
В общем, нынешние студенты, судя по исследованию, приходят на работу уже выгоревшими и работают, чтобы отдыхать.
Все, конечно, не так однозначно (с). Тут дело, конечно, отчасти в том, что термин «я выгорел» уже используется и вместо «мне было страшно за свое будущее», и «мне пришлось столкнуться со сложной задачей», и даже просто «я немного устал». С ним произошло примерно то же самое, что и со словами «токсичный», «обесценивание», «газлайтинг» и прочими «опопсевшими» терминами, которые могут иметь или не иметь конкретных определений, но которые вовсю использует экзальтированная молодежь, чтобы в красках описать, через что им приходится прохолить.
Но есть у нынешних выпускников бакалавриата и своя правда: они начинали учиться в ковидные времена, затем видели, как наступает (или не наступает) экономический кризис, а потом пришел этот ваш ИИ, который, как утверждают энтузиасты, вот-вот всех заменит и годы обучения пойдут прахом.
В общем, поволноваться этим людям пришлось в среднем больше, чем некоторым другим поколениям (и потому, вспоминая вчерашний пост, впору создавать мем «Поколение, пострадавшее от…»).
И потому свое ментальное благополучие эти люди ценят несколько больше, чем их предшественники, и охотнее идут в те компании, которые в своих объявлениях о работе заявляют, что о нем заботятся. Хозяйке, как говорится, на заметку.
А результаты опроса, кстати, почитайте – ибо наши выпускники во многих смыслах не сильно отличаются от опрошенных американских. Пригодится. ПДФ для гурманов – как всегда, следующим постом.
Хороших выходных!
Люди, которые провели некоторое время на Балканах, хорошо знакомы с понятием «полако». Это слово в зависимости от контекста может означать очень разные вещи – от «спокойно» (такое, например, кричат друг другу сербские водители на перекрестках) до «да забей, давай тяпнем ракии за обедом».
В сообществе неприлично много по местным меркам работающих русских эмигрантов употребление этого слова в целом отражает столь непривычное им балканское неторопливое отношение к жизни.
Апофеоз «полако», впрочем, встречается не в Сербии, а в Черногории, где люди, если следовать популярным мемам, «рождаются уставшими и живут, чтобы отдыхать».
Именно эта максима из «Черногорских заповодей» мгновенна вспомнилась нам, как только мы прочли результаты нового опроса, проведенного среди более тысячи американских студентов, начинающих в эти самые дни последний курс обучения и собирающихся выпуститься в 2024 году.
Как всяких нормальных студентов последнего курса, их беспокоит неизвестность, которая лежит впереди, они сильно заинтригованы и слегка напуганы новыми технологиями и мечтают стать обеспеченными и счастливыми людьми. Но есть, как мы любим, один нюанс.
Около 80 (восьмидесяти!) процентов респондентов, утвердительно ответили на вопрос «Как часто вы испытывали выгорание» ответили «часто» или «время от времени», еще 16% ответили на вопрос «редко», и лишь 4% выгорание не испытывали совсем.
В общем, нынешние студенты, судя по исследованию, приходят на работу уже выгоревшими и работают, чтобы отдыхать.
Все, конечно, не так однозначно (с). Тут дело, конечно, отчасти в том, что термин «я выгорел» уже используется и вместо «мне было страшно за свое будущее», и «мне пришлось столкнуться со сложной задачей», и даже просто «я немного устал». С ним произошло примерно то же самое, что и со словами «токсичный», «обесценивание», «газлайтинг» и прочими «опопсевшими» терминами, которые могут иметь или не иметь конкретных определений, но которые вовсю использует экзальтированная молодежь, чтобы в красках описать, через что им приходится прохолить.
Но есть у нынешних выпускников бакалавриата и своя правда: они начинали учиться в ковидные времена, затем видели, как наступает (или не наступает) экономический кризис, а потом пришел этот ваш ИИ, который, как утверждают энтузиасты, вот-вот всех заменит и годы обучения пойдут прахом.
В общем, поволноваться этим людям пришлось в среднем больше, чем некоторым другим поколениям (и потому, вспоминая вчерашний пост, впору создавать мем «Поколение, пострадавшее от…»).
И потому свое ментальное благополучие эти люди ценят несколько больше, чем их предшественники, и охотнее идут в те компании, которые в своих объявлениях о работе заявляют, что о нем заботятся. Хозяйке, как говорится, на заметку.
А результаты опроса, кстати, почитайте – ибо наши выпускники во многих смыслах не сильно отличаются от опрошенных американских. Пригодится. ПДФ для гурманов – как всегда, следующим постом.
Хороших выходных!