«1-РБПО для бедных»: сказ о том, как стартап безопасность прикручивал
https://habr.com/ru/companies/bastion/articles/1038686/

«2-РБПО для бедных»: разворачиваем виртуальные машины
https://habr.com/ru/companies/bastion/articles/1038692/

«3-РБПО для бедных»: разворачиваем сервисы безопасной разработки
https://habr.com/ru/companies/bastion/articles/1038710/

«4-РБПО для бедных»: собираем CI/CD-конвейер безопасной разработки
https://habr.com/ru/companies/bastion/articles/1041724/

#devops #security #DefectDojo #PostgreSQL #Redis #Nginx #uWSGI #Celery #DependencyTrack #Checkov #Trivy #Gitleaks #OpenGrep #Nuclei

«РБПО для бедных»: настраиваем сервисы безопасной разработки

В прошлой статье цикла мы закончили разворачивать инфраструктуру будущего РБПО: установили GitLab, Nexus, HashiCorp Vault, Dependency-Track и DefectDojo, подготовили отдельную виртуальную машину с инструментами безопасности и убедились, что все сервисы успешно запускаются. Но установить сервисы — это только половина дела. Теперь их нужно настроить и подготовить к совместной работе. Без этого GitLab останется просто GitLab, Vault — просто хранилищем секретов, а DefectDojo и Dependency-Track — красивыми веб-интерфейсами без практической пользы. В этой статье займемся базовой конфигурацией. Настроим GitLab и GitLab Runner, подготовим Nexus к приему артефактов, научим Vault доверять GitLab через JWT-аутентификацию и создадим необходимые сущности в DefectDojo и Dependency-Track. Документация открыта, терминал запущен, банка кваса на месте. Начинаем настройку инструментов.

https://habr.com/ru/companies/bastion/articles/1041704/

#vault #devsecops #рбпо #безопасная_разработка #gitlab #Nexus #hashicorp_vault #DefectDojo #DependencyTrack #настройка

«РБПО для бедных»: разворачиваем сервисы безопасной разработки

В прошлой части цикла мы подготовили фундамент будущего РБПО: развернули виртуальные машины, настроили Ubuntu Server, сеть, брандмауэр и Docker. Другими словами, построили площадку, на которой теперь можно начинать возводить сам конвейер безопасной разработки. Теперь пора наполнять наши виртуальные машины полезным содержимым. Если продолжать сказочную аналогию — заселим наше царство безопасной разработки первыми жителями: хранителем секретов, смотрителем артефактов, летописцем уязвимостей и прочими полезными персонажами. То есть установим и настроим GitLab, Nexus, HashiCorp Vault, DefectDojo и Dependency-Track, а также подготовим отдельную виртуальную машину с набором CLI-инструментов для анализа безопасности. Большая часть сервисов будет работать в Docker-контейнерах, поэтому заодно разберемся с настройкой постоянного хранения данных, Docker Compose и некоторыми особенностями конфигурации отдельных компонентов. Что ж, глаза боятся, а руки команды в терминале набирают. Начнем с GitLab.

https://habr.com/ru/companies/bastion/articles/1038710/

#рбпо #безопасная_разработка #стартапы #DevSecOps #развертывание_GitLab #управление_секретами #HashiCorp_Vault #конвейер_безопасной_разработки #defectdojo #DependencyTrack

Интеграция «Сканер-ВС» и DefectDojo: парсим HTML-отчеты и автоматизируем импорт

Представим, что после очередного сканирования инфраструктуры сертифицированным сканером вы получили красивый HTML- или PDF-отчет на сотни страниц. Его можно открыть, пролистать, даже отправить кому-нибудь на почту, но вот встроить результаты такого сканирования в рабочий процесс обработки уязвимостей уже сложнее. Особенно если речь идет о сертифицированных решениях, которые чаще всего не поддерживают передачу результатов в удобном формате для дальнейшей автоматизации. В итоге данные живут порознь: сканер отдельно, Jira отдельно, DefectDojo отдельно, а аналитики продолжают искать нужные CVE в огромных отчетах. Под катом не будет слов про домашнюю безопасность или очередной «пентест за 15 минут». Материал рассчитан на специалистов по Под кат!

https://habr.com/ru/companies/selectel/articles/1043012/

#selectel #информационная_безопасность #defectdojo #сканервс

ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК

Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up , миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL. Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris , open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.

https://habr.com/ru/articles/1033530/

#ASOC #AppSec #DevSecOps #DefectDojo #vulnerability_management #БДУ_ФСТЭК #onpremise #airgapped #Go #PostgreSQL

Auf meiner #Tag3 Musste-Sehn-Liste des #38c3 war dann:

@arnesemsrott weil u.a. wegen @fragdenstaat #VerklagdenStaat #GegenRechtsschutzversicherung und aber auch dem Mond.

@mcfly wg. #defectdojo.

@helenasteinhaus wg. #eattherich und #sanktionsfrei.

Anne #Brorhilker wg. @Finanzwende und ihrem Kampf gegen die GroßGauner & Gangster der #CumEx Lobby.

@C3_LightningTLK Teil2 weil wegen dien vielen tollen Gedankenblitzen.

Und doch bleibt noch ne Menge für #relive und #release.

Danke 🙏

I am using Kubeaudit to scan our AKS cluser but its going into deprecation by October 2024.

Anyone an idea what to replace that with? It has to report into #DefectDojo and i prefer an open source tool (while still having to use Defender for Cloud).

#kubernetes #AKS #security #DevSecOps

Обзор инструмента DefectDojo: почему его выбирают?

Практика ASOC (Application Security Orchestration and Correlation, оркестрация и корреляция безопасности приложений), интегрирующая инструменты анализа защищенности со стеком разработки ПО, сегодня широко известна в сфере безопасной разработки. О ней много писали мы и другие авторы на Хабре. Эта концепция была переосмыслена и вышла на новый уровень. Специалисты Gartner даже ввели для нее новый термин ASPM, обозначающий практику, которая вместе с анализом уязвимостей и прочих задач ASOC включает в себя управление рисками. Особенности этого подхода, а также его реализацию в продукте DefectDojo мы и разберем ниже.

https://habr.com/ru/companies/swordfish_security/articles/808615/

#defectdojo #devops #devsecops #metrics #defect_management

Simply deduplicate and create reports for #UndefinedBehaviorSanitizer warnings with Casr: casr-ubsan -i corpus -o out -- /fuzz_target @@

https://github.com/ispras/casr/blob/master/docs/usage.md#casr-ubsan

#casr #defectdojo #vulnerabilitymanagement #VulnerabilityAssesment #AppSec #DevSecOps
Image