что чтобы не случилось, виноват SRE Вася

хахахаха

виноват Куберенетис от Васяна

не, ну чё вы на новый культ наезжаете. ну, для менеджеров - новый.

Добрый день, подскажите кое что, пожалуйста, так как не имею опыта никакого, пишу диплом, где простое приложение внедряю в цепочку ci/cd, где использую travis, better code ,docker и heroku для развертывания этого приложения, хотел узнать какие бесплатные или условно бесплатные инструменты есть для проверки безопасности кода, контейнера, библиотек, настройки соединения? Чтоб и sast и dast проверить?

Напиши на питоне что-то с использованием pickle, bottle framework 2 версии или.. любой другой уязвимой библиотекой, вставь sql инъекцию конкатенацией и запользуй bandit как саст, а sqlmap как dast))
Для диплома сойдёт

Ну и потом придется зафиксить учзвимости и показать, что больше ничего не находится

sonarqube посмотри

и lgtm.com

Если сможешь пояснить комиссии все эти слова, то да :)

Dependency-Track is an intelligent Supply Chain Component Analysis platform that allows organizations to identify and reduce risk from the use of third-party and open source components.
https://github.com/DependencyTrack/dependency-track

Два доклада про то как происходит интеграция в Jenkins pipeline

Find and Track the hidden vulnerabilities inside your dependencies
https://www.youtube.com/watch?v=d2WMONyBbTw

Dependency Track - Steve Springett (OWASP)
https://www.youtube.com/watch?v=IPWPISSk5rc

спасибо всем)

У нас на работе только недавно было активное обсуждение нашего корпоративного Антивируса, и тут такая прелесть про большинство из них:
https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/

Ну так то и ОС тогда не стоит использовать))

Интересно

Всем привет! 7 мая стартует цикл вебинаров от «Инфосистемы Джет» по теме DevSecOps. Приглашаем вместе с нами шаг за шагом пройти путь от простых понятий к техническим деталям и live demo решений. Мы поделимся «боевыми» примерами и лайфхаками, полученными в реальных проектах: от автоматизации тестирования приложений до встраивания ИБ в конвейер разработки.

Участников ждет подробный разбор темы DevSecOps с трёх сторон: ИТ, разработка и безопасность. Поэтому мероприятие будет интересно как ИТ-менеджменту – для взгляда на весь процесс сверху, так и узким специалистам – для погружения в свои области и понимания смежных участков.

Подробная информация о цикле вебинаров на Хабре: https://m.habr.com/ru/company/jetinfosystems/blog/499762/

В начале года была опубликована вторая версия OWASP SAMM (Software Assurance Maturity Model), которая разрабатывалась пять лет.

Это фреймворк позволяющий построить безопасную разработку приложений, так же он помогает провести оценку текущего состояния.

Список изменений - https://owaspsamm.org/release-notes-v2/

Свежие материалы по теме

1. В рамках OWASP Moscow (https://t.me/tech_b0lt_Genona/1621) был доклад

Проекты OWASP: SAMM выпуск 2
https://www.youtube.com/watch?v=mNTCO0mzjsI

2. 1 мая проходил BSides Knoxville и один из докладов был посвящён SAMM v2.0

Navigating DevOps Security Journey with OWASP SAMM v2.0
https://www.youtube.com/watch?v=3Kv-SNuL95Q

3. OZON сделал пост в блоге

Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM
https://habr.com/ru/company/ozontech/blog/498272/

Сайт проекта - https://owaspsamm.org/
GitHub - https://github.com/OWASP/samm

ЗЫ Чат OWASP Moscow - @OWASP_Russia

Dureysa Y: user has been CAS banned

Building Secure Systems using Security Chaos Engineering and Immunity
https://www.youtube.com/watch?v=wxUHpKDal6Q

Все видосы с конфы https://t.me/tech_b0lt_Genona/1698

Abc -DCA Ambassador: user has been CAS banned