Forwarded from Патчкорд
Обёртка для nmap - sandmap. Уже приготовленный
nmap для разных задач, плюс интерактивный командный интерфейс, чтобы не помнить все 100500 опций и скриптов. Забирать с GitHub, там же есть помощь на Wiki.Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
On-Demand Container Scanning API
Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.
Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/
#tools #docker
Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.
Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/
#tools #docker
Forwarded from GitHub'ненько
A collection of power tools for the Linux/Unix/macOS command line https://altbox.dev/
#cli #tools
https://github.com/petdance/altbox
#cli #tools
https://github.com/petdance/altbox
altbox.dev
altbox.dev - A collection of power tools for the Linux/Unix/macOS command line
Every programmer should know the standard Unix tools, but there are plenty of tools that go beyond them.
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
DefectDojo
DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)
#tools
DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)
#tools
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
IAST and hybrid analysis
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому сервере (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указание на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acuetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому сервере (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указание на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acuetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Docker-Slim
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может также автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может также автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Validating Kubernetes YAML for best practice and policies
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s