home.social

#defectdojo — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #defectdojo, aggregated by home.social.

  1. ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК

    Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.

    habr.com/ru/articles/1033530/

    #ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL

  2. ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК

    Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.

    habr.com/ru/articles/1033530/

    #ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL

  3. ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК

    Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.

    habr.com/ru/articles/1033530/

    #ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL

  4. ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК

    Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.

    habr.com/ru/articles/1033530/

    #ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL

  5. Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:

    @arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.

    @mcfly wg. #defectdojo.

    @helenasteinhaus wg. #eattherich und #sanktionsfrei.

    Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.

    @C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.

    Und doch bleibt noch ne Menge für #relive und #release.

    Danke 🙏

  6. Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:

    @arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.

    @mcfly wg. #defectdojo.

    @helenasteinhaus wg. #eattherich und #sanktionsfrei.

    Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.

    @C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.

    Und doch bleibt noch ne Menge für #relive und #release.

    Danke 🙏

  7. Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:

    @arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.

    @mcfly wg. #defectdojo.

    @helenasteinhaus wg. #eattherich und #sanktionsfrei.

    Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.

    @C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.

    Und doch bleibt noch ne Menge für #relive und #release.

    Danke 🙏

  8. Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:

    @arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.

    @mcfly wg. #defectdojo.

    @helenasteinhaus wg. #eattherich und #sanktionsfrei.

    Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.

    @C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.

    Und doch bleibt noch ne Menge für #relive und #release.

    Danke 🙏

  9. I am using Kubeaudit to scan our AKS cluser but its going into deprecation by October 2024.

    Anyone an idea what to replace that with? It has to report into #DefectDojo and i prefer an open source tool (while still having to use Defender for Cloud).

    #kubernetes #AKS #security #DevSecOps

  10. Обзор инструмента DefectDojo: почему его выбирают?

    Практика ASOC (Application Security Orchestration and Correlation, оркестрация и корреляция безопасности приложений), интегрирующая инструменты анализа защищенности со стеком разработки ПО, сегодня широко известна в сфере безопасной разработки. О ней много писали мы и другие авторы на Хабре. Эта концепция была переосмыслена и вышла на новый уровень. Специалисты Gartner даже ввели для нее новый термин ASPM, обозначающий практику, которая вместе с анализом уязвимостей и прочих задач ASOC включает в себя управление рисками. Особенности этого подхода, а также его реализацию в продукте DefectDojo мы и разберем ниже.

    habr.com/ru/companies/swordfis

    #defectdojo #devops #devsecops #metrics #defect_management