ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК

Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.

https://habr.com/ru/articles/1033530/

#ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL

Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:

@arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.

@mcfly wg. #defectdojo.

@helenasteinhaus wg. #eattherich und #sanktionsfrei.

Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.

@C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.

Und doch bleibt noch ne Menge für #relive und #release.

Danke 🙏

I am using Kubeaudit to scan our AKS cluser but its going into deprecation by October 2024.

Anyone an idea what to replace that with? It has to report into #DefectDojo and i prefer an open source tool (while still having to use Defender for Cloud).

#kubernetes #AKS #security #DevSecOps

Обзор инструмента DefectDojo: почему его выбирают?

Практика ASOC (Application Security Orchestration and Correlation, оркестрация и корреляция безопасности приложений), интегрирующая инструменты анализа защищенности со стеком разработки ПО, сегодня широко известна в сфере безопасной разработки. О ней много писали мы и другие авторы на Хабре. Эта концепция была переосмыслена и вышла на новый уровень. Специалисты Gartner даже ввели для нее новый термин ASPM, обозначающий практику, которая вместе с анализом уязвимостей и прочих задач ASOC включает в себя управление рисками. Особенности этого подхода, а также его реализацию в продукте DefectDojo мы и разберем ниже.

https://habr.com/ru/companies/swordfish_security/articles/808615/

#defectdojo #devops #devsecops #metrics #defect_management

Simply deduplicate and create reports for #UndefinedBehaviorSanitizer warnings with Casr: casr-ubsan -i corpus -o out -- /fuzz_target @@

https://github.com/ispras/casr/blob/master/docs/usage.md#casr-ubsan

#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps
Image

casr-dojo: upload new and unique #crash reports found by #fuzzing to DefectDojo vulnerability management system: https://github.com/ispras/casr/blob/master/docs/usage.md#casr-dojo

#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps #cpp #rust #go #python