home.social

#сканеры_безопасности — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #сканеры_безопасности, aggregated by home.social.

  1. Habr @[email protected] ·

    Как мы реализовали SCA при помощи SBOM

    Чем больше микросервисов в компании, тем веселее жизнь у тех, кто отвечает за безопасность. Количество зависимостей растёт, и в какой-то момент становится нереально уследить, откуда в коде может вылезти критичная уязвимость — будь то старая библиотека или транзитивная зависимость, о которой никто даже не помнит. Решение этого — SCA (Software Composition Analysis) автоматический анализ зависимостей, который помогает вовремя вылавливать уязвимые библиотеки и понимать, что с ними делать. Меня зовут Эрик Шахов, я AppSec-инженер в Циан. В этой статье расскажу, как мы перестроили систему SCA, изменили её архитектуру и какие инструменты теперь используем для контроля зависимостей. Поделюсь реальным опытом внедрения SBOM (Software Bill of Materials) и тем, как он помогает нам держать код в порядке.

    habr.com/ru/companies/cian/art

    #trivy #cyclonedx #управление_зависимостями #sbom #appsec #sca #сканеры_безопасности #cdxgen #безопасная_разработка #сканеры_уязвимостей

    #trivy #cyclonedx #управление_зависимостями #sbom #appsec #sca
  2. Habr @[email protected] ·

    Trivy: вредные советы по скрытию уязвимостей

    Привет, Хабр! Это что, еще одна статья о Trivy? Кажется, будто ничего нового уже об этом инструменте написать нельзя, а сам сканер внедрен в компаниях даже с низким уровнем зрелости ИБ. Но мы заметили, что большая часть статей в интернете представляет собой развернутое руководство по администрированию. А вот описания внутренней логики его работы нам найти так и не удалось. Определенные выводы можно сделать после внимательного изучения раздела “Coverage” из официальной документации сканера . Это наводит на мысль: “Очевидно, что Trivy сканирует конфигурационные файлы установщиков и пакетных менеджеров”. Но, как часто подобное бывает в математике, очевидное совсем не очевидно и требует доказательств. Именно поэтому, как выразился один из наших коллег, мы «зареверсим опенсурс» и попытаемся разобраться, как в точности работает сканер Trivy. Материал подготовила Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security.

    habr.com/ru/companies/swordfis

    #информационная_безопасность #trivy #сканеры_безопасности #сканеры_уязвимостей #сканирование_образов #безопасность_вебприложений #безопасная_разработка #безопасность

    #безопасность #безопасная_разработка #безопасность_вебприложений #сканирование_образов #сканеры_уязвимостей #сканеры_безопасности