Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 38
сайт не работает
Не понятен смысл проекта при условии что можно загрузить только 1 файл. Как "быстрый способ проверить код" вообще не канает. Может чекнуть dockerfile и хватит, но даже более менее реальный проект - нет. А проверять по файлу, ну... это дурка. Тот же trivy/bandit можно натравить на весь проект и получить полноценный отчет локально, ничего никуда не отправляя по всему проекту. Установка в 1 команду. Всё же есть огромная разница корпоративных решений за 6-10 миллионов, и пары опенсорсных утилит в 1 кнопке
Возможно, кстати, будь это в виде опенсорсной cli утилиты-комбайна, а не saas - было бы куда удобнее. И вам серверные ресурсы тратить не нужно, и людям спокойнее что ничего никуда не уйдёт. Там глядишь и сообщество подтянется, что-то своё добавит. А пока кажется совершенно не юзабельным в реальной работе
Для MVP - норм. Dockerfile, конфиг Kubernetes, небольшой скрипт - это 80% кейсов для быстрой проверки. Да, для полноценного проекта нужно больше - я это знаю и планирую добавить загрузку архивов. По Trivy/Bandit: Да, если ты умеешь их настраивать. А теперь представь: 1) Менеджер, который не знает, что такое CLI 2)Тимлид, которому нужно показать отчёт прямо сейчас 3) Разработчик на Windows, который не хочет возиться с Python/Docker. Для них это не "1 команда", а головная боль. Мой сервис решает эту проблему.
cli утилиты-комбайна
Возможно добавить это всё как хук pre-commit
Это инструмент не для полноценного аудита всего проекта, а для быстрой санитарной проверки
Интересно было бы почитать про архитектуру проекта.
Ну я проектирую похожее решение, но локальное! Оно не просто по файлу, а весь проект сканит и еще LLM тебе объяснит где что и почему не так. 😁 Все работает на относительно слабых ПК.
А так да, прикольно. НО! У вас сайт помрет, уже помер, от нагрузок.. 😁
Да, хаброэффект дал о себе знать) Сейчас проект на небольших ресурсах, но если зайдёт - добавлю мощностей. Буду масштабироваться по мере роста. Спасибо, что тестируете, несмотря на лаги!
ИИ-триаж найденных уязвимостей сейчас в разработке, хочется максимально отточить эффективность эту фичи, а потом ее релизить.
Можно поинтересоваться, как SCA работает без SBOM?
Будет ли исходный код? Если базы сами обновляются, многим легче было бы к себе поставить.
А так классный сайт, сам я особо не задумывался об уязвимостях
Посмотрите на https://github.com/marketplace/jit-security
NeuVector oss уже 2 года
Именно такие простые и полезные инструменты часто выстреливают, автор молодец, что не побоялся и сделал
А зачем это нужно? Я подключал semgrep, trivy прям в пайпен cicd и оно вроде работало, что-то собирало, артифакты слало, пайп ставило на паузу и его руками можно было продолжить, даже нашло sql иньекции.
Я делал это для изучения инструментов, хотя-бы на уровне понимать, что это, но не сильно погрузился. Далек от иб. С подходом, как делал, что-то не так?
Ваш подход правильный, так и надо делать в продакшене! Мой сервис - это скорее для быстрых разовых проверок: скачал чужой конфиг, хочешь глянуть - загрузил и всё, без настройки CI/CD. Это как разница между полноценной IDE и онлайн-компилятором - оба нужны, но для разных ситуаций.
А есть же сервисы дорогие про которые вы писали в статье, зачем они нужны? Я не сильно погружался, сделал чтоб собрать нужные мне репорты и чтоб разрабы сразу видели где накормили хотя-бы поверхностно и все. Как я знаю у semgrep есть даже платные функции и можно подключать его по токену, я этого не делал.
Кстати радует, что подход правильный. Это пока отложено в долгий ящик до появления devsecops'а, но хотя-бы сами подходы самому тоже будет знать полезно
Дорогие решения за миллионы - это для крупных корпораций: централизованная панель на сотни проектов, отчёты для аудиторов, интеграция со всей инфраструктурой. Малым командам и среднему бизнесу это избыточно - подход с бесплатными инструментами отлично работает!
Вы уже впереди большинства, а когда появится DevSecOps, у вас будет крутая база.
А сайт работает? У vеня только 1 раз из пары десятков просканировал, все остальные разы падал по tiomeout
Все работает. Попробуйте меньше файлы по разрмеру использовать.
50 строк терраформа много?!
Сервис в бета-тесте, есть шанс что большие файлы может не успевать обработать. Со временем увеличу лимиты и ресурсы, чтобы можно было очень большие файлы/несколько файлов сканировать
Ещё раз хотел бы уточнить, что значит "большой файл"?
50 строк терраформа - это совсем немного по количеству строк, и проблема точно не в размере файла. Скорее всего, сервис временно перегружен или возникают задержки при обработке. Рекомендую попробовать:
-Загрузить файл в другое время (когда меньше нагрузка)
-Проверить, что файл корректно сформирован и не содержит спецсимволов
Люди успешно грузят файлы на сотни и тысячи строк, так что дело не в объёме кода. Сейчас сервис на минимальных ресурсах (как писал в статье), и иногда бывают такие проблемы. Планирую улучшить стабильность и увеличить мощности, если проект зайдёт сообществу.
Вот и хотел опробовать сервис, но видимо не судьба. Как раз так большинство потенциальных клиентов и отваливается. Если я из 20 попыток получил только одну работающую, то сервис попадет в "раздел - неработающие".
Как часто обновляются базы данных уязвимостей?
Я сразу всем пишу что не обещаю работоспособность SLA 99% - чисто на энтузиазме. В будущем, планирую ввести много новых фичей которые сильно бустят продуктивность в теме кибербезопасности в том числе и безопасной разработки, поэтому заходите как говориться в гости) Вообще ежесуточно базы актуализируются.
Прямо сейчас загрузил тестовый файл на 68 строк кода terraform. Все просканировало быстро. Извиняюсь заранее, если испытываете сложности со сканированием, постараюсь улучшить производительность.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DevSecOps за 20 миллионов? Я сделал свой сканер и выложил бесплатно