А существует хоть один VPN-протокол, который любит РКН? Проблема же не в протоколах, а в самой сущности туннелирования трафика, которую нельзя контролировать.
Ну, завтра властная группировка поймет, что им в целом надоел современный TLS (уже есть проблемы с eSNI и т.д.) — РКН, разумеется, возьмёт под козырёк — тогда что будем делать? Это будет "поводом" перейти на HTTP?
Туда же многочисленные истории про блокировки просто не понятного цензору трафика. Это всё кончится очень плохо.
Привет! На связи команда продуктовой безопасности Авито) Проверки у нас встроены параллельно CI-пайплайну: сканируем каждый пуш в любой репозиторий, дальше отслеживаем дедуплицированные файндинги по их жизненному циклу (переходы между ветками, исчезновения, пометки как false positive и т.д.). Nolint, разумеется, игнорируем, фолзами промечаем конкретные находки либо сами, либо по просьбе разработчиков, которых уведомляем алертами и задачами.
Для сервисов на go последние 4 года используем gosec, последние 2 - codeql в пару к нему. Пуши в репозитории не блокируем из-за находок по языковым сканерам, блокируем только вычурно уязвимые зависимости и секреты.
Со стороны Security идея продавалась довольно прямолинейно: это единственный адекватный способ масштабировать эту фукнцию в растущей компании без пропорционального роста штата Security-юнита. Плюс есть успешный опыт других компаний.
Я думаю, мы напишем отдельную статью, где расскажем, как именно строили сообщество Security-чемпионов.
А существует хоть один VPN-протокол, который любит РКН? Проблема же не в протоколах, а в самой сущности туннелирования трафика, которую нельзя контролировать.
Ну, завтра властная группировка поймет, что им в целом надоел современный TLS (уже есть проблемы с eSNI и т.д.) — РКН, разумеется, возьмёт под козырёк — тогда что будем делать? Это будет "поводом" перейти на HTTP?
Туда же многочисленные истории про блокировки просто не понятного цензору трафика. Это всё кончится очень плохо.
какие милые попытки директивного управления смыслом, даже не информацией или данными
Привет! На связи команда продуктовой безопасности Авито)
Проверки у нас встроены параллельно CI-пайплайну: сканируем каждый пуш в любой репозиторий, дальше отслеживаем дедуплицированные файндинги по их жизненному циклу (переходы между ветками, исчезновения, пометки как false positive и т.д.). Nolint, разумеется, игнорируем, фолзами промечаем конкретные находки либо сами, либо по просьбе разработчиков, которых уведомляем алертами и задачами.
Для сервисов на go последние 4 года используем gosec, последние 2 - codeql в пару к нему. Пуши в репозитории не блокируем из-за находок по языковым сканерам, блокируем только вычурно уязвимые зависимости и секреты.
Со стороны Security идея продавалась довольно прямолинейно: это единственный адекватный способ масштабировать эту фукнцию в растущей компании без пропорционального роста штата Security-юнита. Плюс есть успешный опыт других компаний.
Я думаю, мы напишем отдельную статью, где расскажем, как именно строили сообщество Security-чемпионов.
Если про SC, то общение - сейчас уже в канале в Mattermost, встречи в основном через Zoom, курсы и записи - на внутренней образовательной платформе.
СМС — совершенно не безопасный канал связи в современных реалиях.