Size: a a a

DevSecOps - русскоговорящее сообщество

2020 January 18

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Konstantin
у меня давно есть хорошая идея, как ML к SAST прикрутить, но там дохера работы. инвесторы есть? :-)
Не дохера
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
В позитиве делали подобное
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
И да, меньше расходов на аналитиков
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
И меньше фолзов
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Код мл скинуть?)
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Модельку я подскажу, вопрос в датасете
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Нужна база из 100к+ свалидированных уязвимостей с описанными свойствами в стиле токенизированной точки входа и выхода, трейса между ними и характере функций. Имеются ли в трейсе функции приведения типов и тд
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Самое больное это продать потом такой саст.
ТК сам по себе механизм валидации састового репорта интересен в первую очередь безопаснику. Да, меньше денег на 1 человека. Но он 1. Т.е любые фичи данного продукта, которые направлены на сокращение костов на анализ будут стоить не больше, чем человек или 2.
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
А сам саст это тот ещё слоняра. Чтобы написать свой саст, который не будет грепалкой (pattern matching), а полноценно компилить участки кода и фаззить их/анализировать изменения переменных и при этом быть лучше fortify.. ну тут как бы прям постараться надо не одному десятку разрабов
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
Макс, там другое совсем делали. у моей идеи сесурити - это бонус, а не цель.
про fuzzy тоже интересно, но там ниша уже забита. ;-)
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Konstantin
у меня давно есть хорошая идея, как ML к SAST прикрутить, но там дохера работы. инвесторы есть? :-)
Ээ
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Вот оно прям)
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Но если хочешь свой саст, то глянь как активно продаются састы, а как dast и насколько больше пользы от depcheck)
источник
2020 January 20

as

alex suslin in DevSecOps - русскоговорящее сообщество
Народ привет, при аудите IT инфраструктуры часто ссоставляют security checklist чтобы потом оценить масштаб, ну и был план работ
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
есть ли у кого такой, который не попадает под NDA и можете поделиться?
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Зависит от того на соответствие чему проводят аудит
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Вот тут для NIST 800-53 например https://nvd.nist.gov/800-53
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
спасибо
источник