OpenVEX в CI/CD: как перестать бороться с ложными CVE и научить Trivy понимать контекст

Представьте: вы пытаетесь объяснить иностранцу, почему красный сигнал светофора не всегда означает «стоять», иногда это — «можно ехать, если ты — скорая помощь». Примерно так до недавнего времени выглядело наше общение с Trivy. Сканер находил уязвимости, DefectDojo их послушно складировал. А мы каждый раз вручную разбирали кучу тикетов, отделяя реальные угрозы от ложных срабатываний. Особенно болезненно это ощущалось во время подготовки релиза, когда каждая минута на счету. Проблема была не в инструментах — они исправно работали и возвращали отчеты о найденных уязвимостях — а в отсутствии «взаимопонимания». Нужно было как-то намекнуть Trivy, что конкретная уязвимость не эксплуатируется в нашем контексте, ее следует пометить как 'not_affected' и больше не отвлекать нас. Таким «мостиком» стал для нас OpenVEX. Меня зовут Роман Корчагин, я занимаюсь процессами безопасной разработки в контейнерной платформе «Штурвал». В статье расскажу, как мы интегрировали генерацию VEX-файлов в пайплайн, и почему разработчики больше не вздрагивают при слове «сканирование».

https://habr.com/ru/companies/chislitellab/articles/1044810/

#openvex #open_source #штурвал #kubernetes #trivy #сканирование #vex #уязвимости #безопасность_контейнеров

«1-РБПО для бедных»: сказ о том, как стартап безопасность прикручивал
https://habr.com/ru/companies/bastion/articles/1038686/

«2-РБПО для бедных»: разворачиваем виртуальные машины
https://habr.com/ru/companies/bastion/articles/1038692/

«3-РБПО для бедных»: разворачиваем сервисы безопасной разработки
https://habr.com/ru/companies/bastion/articles/1038710/

«4-РБПО для бедных»: собираем CI/CD-конвейер безопасной разработки
https://habr.com/ru/companies/bastion/articles/1041724/

#devops #security #DefectDojo #PostgreSQL #Redis #Nginx #uWSGI #Celery #DependencyTrack #Checkov #Trivy #Gitleaks #OpenGrep #Nuclei

Twórcy zabezpieczeń sami padli ofiarą hakerów. Jak atak na Trivy wywołał efekt domina

Kiedy firmy odpowiedzialne za ochronę naszych danych same stają się celem skutecznego ataku, w całej branży zapala się czerwona lampka.

Groźny atak na łańcuch dostaw skompromitował popularne narzędzia dla programistów, uderzając rykoszetem w gigantów cyberbezpieczeństwa – firmy Checkmarx oraz Bitwarden. To dobitny dowód na to, że przestępcy znaleźli nowy, niezwykle skuteczny wektor ataku: infekowanie samych strażników.

Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom

Efekt domina. Jak złośliwy kod zainfekował gigantów

Wszystko zaczęło się w połowie marca od przejęcia konta na GitHubie należącego do Trivy – szeroko wykorzystywanego skanera podatności w kodzie. Hakerzy z grupy TeamPCP wykorzystali ten dostęp, by przemycić złośliwe oprogramowanie bezpośrednio do aktualizacji pobieranych przez użytkowników narzędzia. Malware błyskawicznie zaczął przeczesywać zainfekowane maszyny w poszukiwaniu tokenów dostępu, kluczy SSH i poufnych danych uwierzytelniających.

W ten sposób przestępcy bezszelestnie włamali się do systemów firm Checkmarx oraz Bitwarden (o ataku na ten popularny menedżer haseł pisaliśmy już wcześniej). Zamiast atakować korporacje frontalnie, hakerzy weszli głównymi drzwiami, wykorzystując zaufane oprogramowanie firm trzecich.

Podwójny koszmar Checkmarx. Od kradzieży danych po szantaż

Dla firmy Checkmarx był to zaledwie początek trwającego ponad miesiąc kryzysu. Krótko po pierwszej infekcji, napastnicy przejęli oficjalne konto firmy na GitHubie i zaczęli rozsyłać złośliwy kod dalej – prosto do jej klientów. Choć Checkmarx poinformowało o szybkim załataniu luki, 22 kwietnia sytuacja się powtórzyła, co sugeruje, że intruzi nigdy nie utracili dostępu do infrastruktury.

Jakby tego było mało, do gry wkroczyła niesławna grupa ransomware Lapsu$, która pod koniec kwietnia opublikowała w dark webie prywatne pliki wykradzione z serwerów Checkmarx. Wskazuje to na brutalną rynkową praktykę: grupa TeamPCP najpewniej sprzedała dostęp do przejętej sieci młodym hakerom z Lapsu$, a firma przez tygodnie nie potrafiła zidentyfikować pełnej skali włamania.

Dlaczego hakerzy polują na narzędzia bezpieczeństwa?

Ten incydent obnaża nową strategię cyberprzestępców. Oprogramowanie zabezpieczające jest dziś traktowane przez hakerów jednocześnie jako główny cel i idealny mechanizm dystrybucji wirusów.

Tego typu programy mają z założenia głęboki, uprzywilejowany dostęp do najbardziej wrażliwych danych w systemach korporacyjnych. Atakując zaufane narzędzia, hakerzy jednym celnym ciosem otwierają sobie drzwi do tysięcy kolejnych ofiar w dół łańcucha dostaw. To efekt kaskadowy, który pokazuje, że w dzisiejszym świecie IT nikt nie jest w pełni bezpieczny – nawet ci, którzy ten świat chronią.

🚨 NEWS: Il Diffuso Scanner Trivy Compromesso in un Attacco alla Supply Chain

Ecco i punti chiave in breve:
💡 L'allarme è scattato nel mondo della sicurezza informatica: il diffusissimo scanner di vulnerabilità open-source Trivy è stato compromesso. L'attacco alla supply chain, una tattica...

🚀 LINK: https://meteoraweb.com/news/il-diffuso-scanner-trivy-compromesso-in-un-attacco-alla-supply-chain

#cybersecurity #malware #openSource #trivy #vulnerabilità

#Checkmarx confirms #LAPSUS$ hackers leaked its stolen #GitHub data

https://www.bleepingcomputer.com/news/security/checkmarx-confirms-lapsus-hackers-leaked-its-stolen-github-data/

#cybersecurity #DataBreach #TeamPCP #Trivy

From #trivy to #Checkmarx : Ongoing supply-chain attack targets security, dev tools

Attackers are deliberately targeting the tools developers are told to trust most: security scanners, password managers, and other high-privilege software wired directly into developer environments

https://www.theregister.com/2026/04/27/supply_chain_campaign_targets_security/

Checkmarx Breach Exposes GitHub Repository Data on Dark Web

Checkmarx revealed that a security breach, linked to a March 23 supply chain attack, exposed sensitive GitHub repository data, which has now surfaced on the dark web. The incident has been contained, with no customer data compromised, as the affected repository was separate from Checkmarx's customer production environment.

https://osintsights.com/checkmarx-breach-exposes-github-repository-data-on-dark-web?utm_source=mastodon&utm_medium=social

#SupplyChain #Github #Trivy #Checkmarx #DarkWeb