Новая версия Vampy 0.63.14

Добавлено:

- Возможность устанавливать дефолтный таск-трекер для продукта
- После изменения условий для QG запускается автоматический пересчет для всех продуктов/репозиториев с ним связанных

Технические обновления

- Добавился отдельный сервис, работающий с файлами
- Добавилась возможность установить пароль для редиса
- Улучшен хелм-чарт


Как обновиться:

- В случае Docker/docker compose

Скачать и запустить инсталлятор

https://hexway.io/wp-content/uploads/129/install_hw_vmp_en-US_0.63.14.run


- В случае Kubernetes инсталляции

helm pull oci://registry.hexway.io/charts/vampy --version 0.63.14

Новая версия Vampy 0.64.0

Добавлено:

В этом релизе мы представляем первую версию с функциональностью Оркестрации.

Теперь вы можете запустить ряд опенсорс сканеров, непосредственно из платформы (дополнительно устанавливать сканеры не требуется).
Для запуска сканирования вам достаточно просто выбрать репозиторий или продукт для сканирования и нажать кнопку "Scan" в web интерфейсе

На текущий момент поддерживаются следующие сканеры:

- semgrep
- trivi

Информацию о настройке оркестрации вы можете найти тут: https://help.hexway.io/asoc/orchestration/


Мы планируем активно развивать этот модуль: добавлять поддержку новых сканеров, в том числе и коммерческих

Улучшения:

1. Небольшие доработки по i18n + небольшие фиксы пермиссий в Rules Engine
2. Улучшения в области UX и навигации в web интерфейсе


Как обновиться:

- В случае Docker/docker compose

Скачать и запустить инсталлятор

https://hexway.io/wp-content/uploads/12059/install_hw_vmp_en-US_0.64.0.run


- В случае Kubernetes инсталляции

helm upgrade --install vampy oci://registry.hexway.io/charts/vampy --version 0.64.0 --reset-values --namespace vampy-asoc

Новая версия hexway Vampy 0.64.1

Rules Engine. Vampy Cli. Русский язык. Новые сканеры: Trufflehog и Gitleaks

Добавлено:

🚀 Rules Engine

Механизм, который позволят настроить как платформа будет реагировать на те или иные события.

Например, вы можете настроить получение нотификации по email при наступлении события "Создана новая issue со статусом Critical в репозитории XXX"

или

автоматически cменить статус issue на False Positive, если уязвимость найдена в файле содержащим слово test

На текущий момент мы поддерживаем события связанные с Gitlab интеграцией (создание/изменении репозитория), новый MergeRequest, создание/изменение issues

С каждым новым релизом будут добавляться новые события и новые возможные реакции на них!


🚀 Vampy Cli

Мы так же выпускаем первую версию нашей cli утилиты, которая позволит вам гораздо проще работать с Vampy без необходимости вызывать API

Например, вы можете запускать сканирования с помощью механизма оркестрации:

vampy-cli scan --repository <repo_name>

или загружать результаты сканирования в ci/cd пайплайне

vampy-cli upload --repository <repo_name> --file <scan_result> --scanner <scanner_name>

или проверять проходит ли Security Quality Gate

vampy-cli quality-gate --repository <repo_name>

или все это сразу одновременно и одной командой!

vampy-cli scan --repository <repo_name> --check-full 

Так же вы можете запускать отдельные сканеры с нужными вам параметрами. Например запустить semgrep с нужным вам набором правил:

vampy-cli scan --repository <repo_name> --scanner SEMGREP --scanner-options "--config=p/ai.python.detect-openai.detect-openai" --check-task 

Очень удобно!
Релиз доступен на нашем Github: https://github.com/hexway/Vampy-CLI/releases

Установка проста и не займет много времени:

curl -sSL https://get.vampy.ru | sh

🚀 Интерфейсе Vampy на русском языке

Появилась возможность сменить язык интерфейса с английского на русский.
Возможно какие-то разделы платформы переведены не до конца, но в будущих релизах мы это обязательно исправим


🚀 Поддержка сканеров Trufflehog и Gitleaks

Мы добавили поддержку Secret scan сканеров Trufflehog и Gitleaks. Вы можете как загружать результаты работы этих сканеров в платформу , так и запускать эти сканеры непосредственно из интерфейса Vampy или через vampy cli

vampy-cli scan --scanner GITLEAKS --repository <repo_name>

🚀 Улучшено

- обновлены базовые образа для контейнеров
- контейнеры для работы сканеров переведены в non-root режим



Как обновиться:

- В случае Docker/docker compose

Скачать и запустить инсталлятор

https://hexway.io/wp-content/uploads/1645/install_hw_vmp_en-US_0.64.1.run


- В случае Kubernetes инсталляции

helm upgrade --install vampy oci://registry.hexway.io/charts/vampy --version 0.64.1 --namespace vampy-release --reset-values

Vampy 0.64.2: новые возможности, улучшения и исправления

Мы рады представить обновление Vampy 0.64.2, в котором добавлены новые функции, улучшены существующие механики и повышена безопасность. В этом посте расскажем обо всех изменениях, которые ждут вас в новой версии.

🚀 RulesEngine: новые инструменты для работы с условиями

- Drug-drop механика: теперь создание и редактирование условий срабатывания правил стало проще и удобнее. Благодаря визуальному интерфейсу вы можете быстро перетаскивать элементы, настраивая логику без лишних усилий.

- Многоуровневые условия: появилась возможность задавать условия срабатываний правил, которые зависят друг от друга. Это расширяет возможности настройки логики и позволяет реализовывать более сложные сценарии.

Исправления мелких проблем: мы устранили небольшие баги, чтобы сделать работу с RulesEngine ещё стабильнее.

🚀 Сканеры: новые парсеры и улучшения

- PVS-Studio parser: добавлена поддержка инструмента статического анализа кода PVS-Studio, теперь вы можете удобно работать с результатами сканирований от этот SAST

- PT AI parser: исправлена обработка уровня серьёзности (severity), теперь информация о найденных уязвимостях отображается корректно.

🚀 Прочие улучшения

- Багфикс: пропуск пустых файлов: устранена проблема, из-за которой Vampy некорректно парсил пустые файлы (некоторые сканеры генерируют файлы размером 0 байт, если ничего не нашли в ходе сканирования). Теперь такие файлы корректно обрабатываются.

- Удаление UNKNOWN severity: категория UNKNOWN больше не используется, вместо него остался None

🚀 Безопасность: дополнительные меры защиты

- Новый базовый образ: обновили базовый образ, закрыли пачку CVE

- Read-only файловая система для сканер-образов: теперь образы сканеров работают на файловой системе только для чтения, что повышает устойчивость к потенциальным атакам.

Как обновиться:

- В случае Docker/docker compose

Скачать и запустить инсталлятор

https://hexway.io/wp-content/uploads/9558/install_hw_vmp_en-US_0.64.2.run

- В случае Kubernetes инсталляции

helm upgrade --install vampy oci://registry.hexway.io/charts/vampy --version 0.64.2 --namespace vampy-release --reset-values

Мы продолжаем совершенствовать программу, чтобы сделать её ещё более удобной и безопасной для пользователей. Благодарим вас за обратную связь и поддержку, благодаря которым мы можем улучшать продукт с каждым обновлением.

Следите за новостями и обновляйтесь. Спасибо.

Hexway Vampy 0.64.3: ещё больше гибкости, автоматизации и удобства

Мы рады представить новую версию Hexway Vampy — мощного решения ASPM для управления безопасностью приложений.

В этом обновлении мы добавили поддержку комментариев, возможность экспорта данных, упростили работу с дашбордами и статистикой, а также внесли важные исправления.

🔥 Основные обновления

💬 Синхронизируемые с таск трекером комментарии для дефектов

Появился UI для работы с комментариями, что упрощает взаимодействие внутри команд.
Помимо возможности оставить локальные комментарий, мы добавили возможность синхронизации комментариев с Jira

📤 Расширенные возможности экспорта информации об уязвимостях

Теперь можно экспортировать список дефектов в JSON через API (/ext/v1/scan_issues/export/)

Поддерживаются три варианта экспорта:

- Инлайн – данные передаются прямо в респонсе.
- Attachment – выгрузка в виде JSON-файла.
- Архив (ZIP) – удобный формат для работы с большим объемом данных.


Дополнительно вы можете применять различные фильтры, чтоб выгружать только те данные, что вам необходимы

📊 Улучшенная работа с дашбордами и статистикой

Расчёт статистики, QG (Quality Gates) и метрик дашбордов идет с учетом "дефолтных веток" репозиториев. Цифры на дашборде стали корректнее.

Так же теперь собирается статистика по следующим параметрам:

- TOP CWE
- TOP CVE
- TOP уязвимых файлов
- Группировка уязвимсостей по noscript

UI Карточки для дашборда для этих метрик добавим в следующем релизе

🛠 Парсеры

- Добавлена поддержка сканера образов Grype.

🔐 Инфраструктурные улучшения

- Теперь поддерживается проброс CA root-сертификатов в Kubernetes-инсталляциях, что делает деплой более гибким и безопасным.
- Реализован автоматический логаут пользователей при их деактивации, как для стандартной аутентификации, так и для LDAP.
- Поддержка freeIPA LDAP

🐛 Исправления

- Исправлена проблема парсинга Trivy, повышена стабильность работы с отчётами.
- Исправлена некоректна работа с SARIF отчетом от сканера CodeScoring

Как обновиться:

- В случае Docker/docker compose

Скачать и запустить инсталлятор

https://hexway.io/wp-content/uploads/3301/install_hw_vmp_en-US_0.64.3.run

- В случае Kubernetes инсталляции

helm upgrade --install vampy oci://registry.hexway.io/charts/vampy --version 0.64.3 --namespace vampy-release --reset-values

🚀 Заключение

Мы продолжаем развивать Hexway Vampy, делая его ещё удобнее и функциональнее для команд AppSec.

📢 Обновляйтесь и оставайтесь в безопасности с Hexway Vampy!

Hexway Vampy 0.64.4: Новая версия с поддержкой сканера PT AI, импортом из DefectDojo и улучшенной аналитикой

Мы продолжаем совершенствовать Hexway Vampy, делая платформу еще мощнее, гибче и удобнее для команд AppSec. В этом обновлении вас ждут новые интеграции, расширенные возможности работы с данными и улучшенный интерфейс.

🔥 Ключевые обновления

🚀 Интеграция с PT AI

Теперь Positive Technologies Application Inspector (PT AI) интегрирован с Hexway Vampy!

- Настройте интеграцию с PT AI в Vampy и запускайте сканирование кода репозиториев прямо из платформы с помощью Vampy CLI или API Vampy.
- Результаты сканирований сразу попадают в ASPM, дедублицируются, проходят проверку SQG и т.д.

В следующем релизе мы добавим возможность запускать сканирование и настраивать его параметры из web интерфейса Vampy

🔄 Импорт данных из DefectDojo

- Теперь можно импортировать данные из DefectDojo, что значительно упрощает перенос результатов сканирования между системами, в случае, когда вы хотите переехать с DD в прекрасный Vampy

📊 Две новые карточки на дашборде

- Топ-5 уязвимостей сгруппированных по заголовку (noscript)
- Топ-5 уязвимостей сгруппированных по пути к файлу

Данные карточки, позволяют быстро понимать наиболее проблемные места в безопасности ваших продуктов

⚙️ Прочее

- Добавлена возможность игнорировать проверку SSL сертификата при настройки к интеграций. Может быть полезно, когда у вас самоподписанные сертификаты.
- В истории изменений уязвимостей теперь корректно отображаются изменения статусов от RulesEngine.
- В списке дубликатов теперь отображается источник (сканер), который их обнаружил.

Как обновиться:

- В случае Docker/docker compose

Скачать и запустить инсталлятор

- В случае Kubernetes инсталляции

helm upgrade --install vampy oci://registry.hexway.io/charts/vampy --version 0.64.4 --namespace vampy-release --reset-values

📢 Заключение

Мы продолжаем развивать Hexway Vampy, чтобы сделать управление безопасностью приложений ещё удобнее. Новая интеграция с PT AI, поддержка DefectDojo, улучшенный интерфейс и аналитика помогут вам быстрее находить уязвимости и эффективнее управлять рисками.

Обновляйтесь и держите безопасность под контролем вместе с Hexway Vampy! 🚀

Hexway Vampy 0.64.6: новые возможности профилей сканирования, расширение интеграций и улучшения локализации

Мы продолжаем активно развивать Hexway Vampy, делая платформу ещё гибче, удобнее и мощнее для команд, работающих с безопасностью приложений. Новый релиз открывает возможности кастомизации сканирований, улучшает интеграции и делает интерфейс приятнее.

🔍 Профили сканирования: настройка под ваш процесс
Теперь вы можете создавать собственные профили сканирования — пресеты из предустановленных SAST, SCA и Secret сканеров, которые легко применять к различным продуктам или репозиториям. Это особенно удобно, если у вас разные политики сканирования для разных проектов или команд.

Более того, теперь вы можете в рамках оркестрации, запускать произвольные или кастомные сканеры. Очень удобно! Подробнее тут

🤝 Интеграция с PT AI теперь и через UI
Продолжая развитие интеграции с Positive Technologies Application Inspector, мы добавили возможность запускать PT AI напрямую из интерфейса Vampy. Настроили профиль — запустили — получили результат. Просто и удобно.

🔄 Импорт из Defect Dojo: точнее и стабильнее
Мы переработали логику импорта файдингов из Defect Dojo с учётом обратной связи от пользователей. Импорт стал более корректным, особенно при сложных структурах данных.

📡 Новый релиз Vampy Cli
Vampy cli — это утилита командной строки для взаимодействия с сервером Vampy. Новый релиз Vampy Cli позволяет отображать больше контекстной информации о сканерах, профилях сканирования, qulity gates и т.д. Работать с Vampy теперь ещё удобнее в автоматизированных сценариях и ci/cd пайплайнах.

🌐 Русский язык — лучше, понятнее, дружелюбнее
Особое внимание в этом релизе мы уделили улучшению поддержки русского языка: тексты, сообщения, подсказки и интерфейс теперь ещё более точные и понятные для русскоязычных пользователей.


Обновляйтесь и ускоряйте свой AppSec-процесс с Hexway Vampy! 🚀

Завтра в 11:00 проводим вебинар «ASOC как фундамент безопасной разработки: от первых шагов до зрелых процессов». Хотите выстроить безопасную разработку с нуля или оптимизировать зрелый DevSecOps? Приходите на вебинар и узнайте:
✅ Как начать анализ кода без покупки сканеров
✅ Как автоматизировать рутину
✅ Почему Hexway Vampy удобнее и надежнее DefectDojo

Для кого: AppSec, DevOps, ИБ-архитекторы, тимлиды в ИБ.

📅Зарегистрируйтесь, чтобы не пропустить

▶️Запись вебинара про ASOC и контакты

На вебинаре 21 мая разобрали концепцию ASOC, посмотрели демо Hexway Vampy и поделились советами по внедрению. На вебинар попали не все, кто хотел. Извините нас за ошибку – недооценили интерес и неверно рассчитали количество мест. Смотрите запись вебинара здесь.

❓Если хотите углубиться в тему построения безопасной разработки, получить персональную консультацию и расчет стоимости продукта под ваши потребности, напишите нам на почту support@hexway.ru.

А ещё можно задавать вопросы и общаться с нами в комментариях — пишите!

🐋 Vampy 0.65.0. Обновление с акцентом на сканирование Docker образов

Мы выпустили обновление VAMPY. В этот раз сосредоточились на улучшении управления артефактами, новых интеграциях и доработке пользовательского интерфейса. Вот ключевые изменения:

Интеграция с Harbor
Настройте интеграцию с Harbor и добавляйте Docker образы для SCA сканирования прямо в Vampy.

Работа с артефактами — теперь удобнее
Мы разработали отдельный экран для работы с Docker образами. На этом экране вы можете привязывать образы к продуктам, сканировать их и работать с найденными уязвимостями.

Обновлённый дашборд
Добавили новые карточки:
✅ Среднее время триажа и закрытия ишью
✅ Таблица ишью по статусам и severity

Также добавили возможность кастомизировать и настраивать дашборд. Выбирайте необходимые для отображения карточки метрики.

Другие улучшения и инструкции по обновлению здесь

🚀 Hexway Vampy 0.66.0 — новый релиз!

И у нас много нового:

🧛 CodeScoring
Мы добавили возможность оркестрации SCA-сканера CodeScoring.
Теперь вы можете запускать сканирование Docker-образов и репозиториев с помощью CodeScoring прямо из Vampy.

🧛 Интеграция с Bitbucket
Многие наши пользователи используют Bitbucket как систему контроля версий.
Двусторонняя интеграция с этой платформой позволяет не только быстро импортировать репозитории в Vampy, но и автоматически запускать сканирование при таких событиях, как новый Merge Request.

🧛 Принятие риска на время
Нужно принять статус на определённый срок? Теперь это можно сделать!
Причём настроить временную смену можно для любых статусов — гибкость под ваши процессы.

🧛 Обязательные комментарии при смене статусов
Теперь вы можете задать, для каких статусов перевод будет требовать обязательного комментария.
Это удобно и помогает понять причины принятых рисков и изменений.

🧛 Ветки по умолчанию
В новой версии можно указывать, какие ветки репозиториев будут использоваться как дефолтные.
Это упрощает работу со статистикой и дашбордами. Изменить дефолтную ветку можно в любой момент прямо в интерфейсе Vampy.

🧛 Новый интерфейс страницы входа
Мы делаем Vampy не только функциональным, но и красивым. Страница входа обновлена — пользуйтесь с удовольствием!

🧛 Багфиксы и другие улучшения:
✔️ Исправлен баг с SBOM severity.
✔️ Улучшен движок агрегации.
✔️ Исправлены ошибки 500 при запуске сканеров без custom slug.
✔️ Обновлён Redis до версии 7.2.9.
✔️ Добавлены новые параметры кастомизации для K8s: URL Deck и переменные окружения.


Для того чтобы обновиться, как обычно достаточно скачать последнюю версию с нашего сайта:

https://hexway.io/download/vampy/latest


🔥 Hexway Vampy становится ещё гибче, умнее и удобнее. Обновляйтесь и держите безопасность продуктов под контролем!