Security Wine (бывший - DevSecOps Wine)

Искусство ради искусства, или чем полезна безопасность? 🪨 🖋 О проблеме результативной ИБ и ценности ИБ для организаций, сегодня в России не говорит только ленивый. Отрасль становится более зрелой. Вендоры, интеграторы и консультанты стараются развивать рынок на фоне общеэкономического кризиса и создавать спрос, несмотря на высокую ставку и другие проблемы. Профессиональное сообщество окончательно сформировалось и превращается в "гильдию безопасников" с собственной спецификой и культурными прак...

Кадры решают все 🤝 Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок. 🪨 ‼️ С кадрами, как и с devsecops, отлично работает парадигма shift left. Чем раньше мы выявляем подходящего или неподходящего человека, тем лучше и дешевле нам даются последующие коммуникация, интеграция, адаптация и с...

🤝 На Территории безопасности в секции Алексея Лукацкого обсуждаем "вечный вопрос" - как оценить результативность ИБ и как нашему брату коммуницировать с лицами принимающими решения 🖋 Вариант 1. Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии❔ Вариант 2. Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы...

Secrets and Shadows: Leveraging Big Data for Vulnerability Discovery at Scale Помните, когда Big Data была такой же популярной, как сейчас искусственный интеллект? Очень объемная и интересная статья "Secrets and Shadows: Leveraging Big Data for Vulnerability Discovery at Scale". Автор с высокой степенью детализации описывает исследование, которое началось еще в 2021 году. Оно посвящено двум аспектам: поиску "висящих" DNS-записей (записей, указывающих на освобожденные IP-адреса, что может привест...

Не о PHD, а об уровне развития DevOps/DevSecOps в этой стране🕵‍♂️ Пока значительная часть ИБв и всех им сочувствующих находится на PHD, мы предлагаем вашему вниманию опрос: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF ‼️ 🤝 Партнер кооператива РАД КОП — компания Экспресс 42 — проводит ежегодное исследование DevOps в России. Когда-то этот канал начинался как производная от DevSecOps и личной потребности автора разобраться в теме. Сегодня, когда мы называемся Security Wine...

А вы импортозаместили виртуализацию? Тогда мы идем к вам! С момента мая 2022 и 250 Указа прошло почти 3 года. И хотя в рамках некоторых базовых технологий типа отечественного NGFW активно продолжается так называемое развитие и конкуренция, в других областях, больше привязанных не к "железу", а к "софту", российские решения уже достигли определенного уровня зрелости. Речь не только об известных кейсах типа антивируса Касперского, который еще в досанкционные времена успешно конкурировал с западным...

Vulncov - A tool that correlates Semgrep scans with Python test code coverage Небольшой тул-эксперимент недельной давности — VulnCov. Его цель — приоритизировать файндинги Semgrep, исключая уязвимости, найденные в "мертвом коде". Для этого тул берет файндинги из Semgrep и объединяет их с результатами работы юнит-тестов Pytest. Чтобы лучше разобраться, проще всего рассмотреть демонстрационный пример, где есть несколько уязвимостей внутри недостижимого участка кода: - Закомментированный роутер #@a...

GitHub Users Targeted by New Wave of Spambots Ищите чтиво на выходные? Если вдруг вы увидели спам в комментариях своего репозитория на GitHub на этой неделе, вы не одиноки. Недавно мы писали об атаках на разработчиков, но на этот раз методы напоминают устаревшие практики. Боты оставляют комментарии, предлагая загрузить файлы с платформы MediaFire, содержащие вредоносное ПО. Цель злоумышленников — убедить разработчиков загрузить эти файлы, что в итоге приводит к компрометации системы и аккаунта G...