результаты сканирования (payloads), отправляются в наш SOAR (StackStorm), откуда попадают в ASPM “базу данных” уязвимостей DefectDojo
ASPM видя уязвимости (findings) в коде или в библиотеках, триггерит SOAR (StackStorm), тот в свою очередь заводит Jira таски на исправление, а также результаты сканов отправляет в Slack канал команды
Зачем при первой же уязвимости генерить таски в Jira если AppSec еще не выполнил триад, разве не AppSec должен принимать решение о генерации Task?
Поэтому было решено, пару раз в неделю парсить наше локальное докер реджестри, где находим сервисы, билд которых старше 30 дней. И автоматически заводим Jira таски на пересборку (прохождение Security Gate) и перевыкатку сервиса
Почему бы просто не дергать конвейер сборки? Который далее стриеррит конвейер деплоя?
кнопка “Approve” триггерит в StackStorm runbook “pr_approve”, что в свою очередь разрешает мерж в мастер и выкатку нового релиза в production
Что происходит под капотом, можете рассказать подробнее? Запускается интеграци по API с Git системой в части перезапуска скана, который по результату проходит SG со статусом ОК и это не блокирует завершение PR?
Так вроде все делают нынче, например, Office 365 copilot объединяет как таблицы так и текстовый редактор. Туда же и Go от Яндекса. Видимо, проще заставить хотя бы одно, но многофункциональное ПО. WeChat или как там его, как понимаю, это начал еще лет 8 назад.
@Young-Programmer фильтр до сих пор работает? Как в вашем случае выглядит система исключения? Или в MR/PR есть только система парицания рецензентом (техлидом!?) того, кто сматерился в коде, и это выявление не влияет на техническое ограничения завершения MR/PR?
Получается никто не имеет права создавать PR в master кроме бота, который их делает только из stage?
Правильно понимаю, master статикой вообще не сканируете?
Зачем при первой же уязвимости генерить таски в Jira если AppSec еще не выполнил триад, разве не AppSec должен принимать решение о генерации Task?
Почему бы просто не дергать конвейер сборки? Который далее стриеррит конвейер деплоя?
Что происходит под капотом, можете рассказать подробнее? Запускается интеграци по API с Git системой в части перезапуска скана, который по результату проходит SG со статусом ОК и это не блокирует завершение PR?
Космос, когда увидим платный продукт или в составе PTAI?
Первым индикатором было поди наличие в коде whoami 😀
При наличии плашки This project has been quarantined получится скачать пакет?
Написано
получает информацию о номереВидимо, все же передается и хранится по факту какой-нибудь SHA256 вместо номера телефона, Яндексу этого хватает.
Так вроде все делают нынче, например, Office 365 copilot объединяет как таблицы так и текстовый редактор. Туда же и Go от Яндекса. Видимо, проще заставить хотя бы одно, но многофункциональное ПО. WeChat или как там его, как понимаю, это начал еще лет 8 назад.
Русский язык занял скромное 17-е место, подтверждая, что глобальное онлайн-образование пока говорит не на нашем языке.Отчасти неверный вывод, нас там забанили, выплату не производят ссылаясь якобы PayPal аккаунт подключен неверно.
@Young-Programmer фильтр до сих пор работает? Как в вашем случае выглядит система исключения? Или в MR/PR есть только система парицания рецензентом (техлидом!?) того, кто сматерился в коде, и это выявление не влияет на техническое ограничения завершения MR/PR?
На сегодня нет, может статью данную прочитали и стыдно стало, убрали явные ошибки
В аналитике 1С именно так, там главное знать бухгалтерию и другие процессы компании
Правильно понимаю, что согласно доке, 1С:Автоматизированная проверка конфигураций бесплатна?
То есть это эдакий scrum мастер?
SAST/DAST подают пускай, организационные меры не работают)
Delphi 7 есть несколько лямов строк, а SAST нет
Упоминается golang, значит ли, что его предустанавливает хакер или он уже есть на сервере чаще всего?
Так и не понял какой смысл раскрывать свой код