#defectdojo — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #defectdojo, aggregated by home.social.
-
ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК
Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.
https://habr.com/ru/articles/1033530/
#ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL
-
ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК
Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.
https://habr.com/ru/articles/1033530/
#ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL
-
ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК
Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.
https://habr.com/ru/articles/1033530/
#ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL
-
ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК
Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.
https://habr.com/ru/articles/1033530/
#ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL
-
DefectDojo unveils Sensei, an AI-powered cybersecurity consultant https://www.helpnetsecurity.com/2025/11/04/defectdojo-unveils-sensei-an-ai-powered-cybersecurity-consultant/ #Industrynews #DefectDojo
-
Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:
@arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.
@mcfly wg. #defectdojo.
@helenasteinhaus wg. #eattherich und #sanktionsfrei.
Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.
@C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.
Und doch bleibt noch ne Menge für #relive und #release.
Danke 🙏
-
Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:
@arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.
@mcfly wg. #defectdojo.
@helenasteinhaus wg. #eattherich und #sanktionsfrei.
Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.
@C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.
Und doch bleibt noch ne Menge für #relive und #release.
Danke 🙏
-
Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:
@arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.
@mcfly wg. #defectdojo.
@helenasteinhaus wg. #eattherich und #sanktionsfrei.
Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.
@C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.
Und doch bleibt noch ne Menge für #relive und #release.
Danke 🙏
-
Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:
@arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.
@mcfly wg. #defectdojo.
@helenasteinhaus wg. #eattherich und #sanktionsfrei.
Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.
@C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.
Und doch bleibt noch ne Menge für #relive und #release.
Danke 🙏
-
DefectDojo Raises $7 Million for Application Security Platform https://www.securityweek.com/defectdojo-raises-7-million-for-application-security-platform/ #CybersecurityFunding #ApplicationSecurity #DefectDojo #funding
-
I am using Kubeaudit to scan our AKS cluser but its going into deprecation by October 2024.
Anyone an idea what to replace that with? It has to report into #DefectDojo and i prefer an open source tool (while still having to use Defender for Cloud).
-
Обзор инструмента DefectDojo: почему его выбирают?
Практика ASOC (Application Security Orchestration and Correlation, оркестрация и корреляция безопасности приложений), интегрирующая инструменты анализа защищенности со стеком разработки ПО, сегодня широко известна в сфере безопасной разработки. О ней много писали мы и другие авторы на Хабре. Эта концепция была переосмыслена и вышла на новый уровень. Специалисты Gartner даже ввели для нее новый термин ASPM, обозначающий практику, которая вместе с анализом уязвимостей и прочих задач ASOC включает в себя управление рисками. Особенности этого подхода, а также его реализацию в продукте DefectDojo мы и разберем ниже.
https://habr.com/ru/companies/swordfish_security/articles/808615/
-
Simply deduplicate and create reports for #UndefinedBehaviorSanitizer warnings with Casr: casr-ubsan -i corpus -o out -- /fuzz_target @@
https://github.com/ispras/casr/blob/master/docs/usage.md#casr-ubsan
#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps
Image -
Simply deduplicate and create reports for #UndefinedBehaviorSanitizer warnings with Casr: casr-ubsan -i corpus -o out -- /fuzz_target @@
https://github.com/ispras/casr/blob/master/docs/usage.md#casr-ubsan
#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps
Image -
Simply deduplicate and create reports for #UndefinedBehaviorSanitizer warnings with Casr: casr-ubsan -i corpus -o out -- /fuzz_target @@
https://github.com/ispras/casr/blob/master/docs/usage.md#casr-ubsan
#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps
Image -
Simply deduplicate and create reports for #UndefinedBehaviorSanitizer warnings with Casr: casr-ubsan -i corpus -o out -- /fuzz_target @@
https://github.com/ispras/casr/blob/master/docs/usage.md#casr-ubsan
#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps
Image -
casr-dojo: upload new and unique #crash reports found by #fuzzing to DefectDojo vulnerability management system: https://github.com/ispras/casr/blob/master/docs/usage.md#casr-dojo
#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps #cpp #rust #go #python
-
casr-dojo: upload new and unique #crash reports found by #fuzzing to DefectDojo vulnerability management system: https://github.com/ispras/casr/blob/master/docs/usage.md#casr-dojo
#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps #cpp #rust #go #python
-
casr-dojo: upload new and unique #crash reports found by #fuzzing to DefectDojo vulnerability management system: https://github.com/ispras/casr/blob/master/docs/usage.md#casr-dojo
#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps #cpp #rust #go #python
-
casr-dojo: upload new and unique #crash reports found by #fuzzing to DefectDojo vulnerability management system: https://github.com/ispras/casr/blob/master/docs/usage.md#casr-dojo
#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps #cpp #rust #go #python
-
casr-dojo: upload new and unique #crash reports found by #fuzzing to DefectDojo vulnerability management system: https://github.com/ispras/casr/blob/master/docs/usage.md#casr-dojo
#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps #cpp #rust #go #python