S
кто нибудь https://vuls.io/en/
использует тут?
использует тут?
кто нибудь https://vuls.io/en/
использует тут?
Size: a a a
2020 April 09
AM
Судя по превьюхе похоже.
S
Судя по превьюхе похоже.
угу, но только оно у меня больше нашло всякого... вот только я не понимаю это false positive или нет ;)
S
Судя по превьюхе похоже.
ну оно только agent-less
то есть базу вроде как можно локально хранить
то есть базу вроде как можно локально хранить
AM
ну оно только agent-less
то есть базу вроде как можно локально хранить
то есть базу вроде как можно локально хранить
Если с какого то локального репозитория можно базу CVE тягать, а не напрямую с инета, то красота. Мне в vulners-agent не нравился тот момент, что результаты он выводил через API и вебморду сайта vulners.
Нечто похожее есть у lynis в коммерческой версии кстати. В любом случае спасибо за ссылку на vuls.io, завтра попробую затестить на стенде.
Нечто похожее есть у lynis в коммерческой версии кстати. В любом случае спасибо за ссылку на vuls.io, завтра попробую затестить на стенде.
S
Если с какого то локального репозитория можно базу CVE тягать, а не напрямую с инета, то красота. Мне в vulners-agent не нравился тот момент, что результаты он выводил через API и вебморду сайта vulners.
Нечто похожее есть у lynis в коммерческой версии кстати. В любом случае спасибо за ссылку на vuls.io, завтра попробую затестить на стенде.
Нечто похожее есть у lynis в коммерческой версии кстати. В любом случае спасибо за ссылку на vuls.io, завтра попробую затестить на стенде.
Да, там sqlite3 файл с CVE просто формируется
2020 April 10
DD
Когда госы выдают реально крутые документы
DD
DoD Enterprise DevSecOps
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice
K
огонь. спасибо!
2020 April 12
rd
Denis Denisov
DoD Enterprise DevSecOps
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice
О, я его читал выборочно, ещё осенью. Согласен, что это тот случай когда документ от госухи читать не противно =)
Update: Думал новая версия, а это он и есть =)
Update: Думал новая версия, а это он и есть =)
2020 April 13
NM
те госы очень годные документы выдают
NM
кто в грейлог умеет? как спросить referer: что бы и http и https?
rd
кто в грейлог умеет? как спросить referer: что бы и http и https?
NM
2020 April 14
AA
У меня есть виртуалочка в DO.
С такими настройками ssh
Но на случай проблем с сетью я хочу иметь возможность зайти через консоль DO в виртуалку под root и что-то починить.
Какие риски если я сделаю локальный вход под root вообще без пароля?
С такими настройками ssh
PasswordAuthentication no # запрещено логиниться по паролю, только по ключам
PermitEmptyPasswords no # запрещено логиниться с пустыми паролями
PermitRootLogin no # запрещено логиниться под root
Но на случай проблем с сетью я хочу иметь возможность зайти через консоль DO в виртуалку под root и что-то починить.
Какие риски если я сделаю локальный вход под root вообще без пароля?
AA
Не является ли вообще отсутсвие пароля на root более безопасным чем слабый пароль, т.к. PermitEmptyPasswords no это настройка по умолчанию.
A
Вопросом на ответ - а почему нельзя использовать доступ к вм из консоли DO, прикрутив второй фактор?
A
Для доступа в консоль DO имеется ввиду. Там вроде есть возможность получения доступа к виртуалке, а так же сброса root пароля
A
Оставив ключи для ssh без авторизации по паролю