Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает…
С 2022 года российский VM живет по своим правилам. Приказ ФСТЭК № 117 впервые ввел обязательные сроки устранения (сутки на критическую уязвимость), штрафы за утечки стали оборотными, а само обновление зарубежного ПО превратилось в управляемый риск. Собрал всю регуляторику в одном месте и объяснил человеческим языком. Читать далее
Application Security Orchestration and Correlation (ASOC) – не самая тривиальная тема в реалиях отечественного подхода к обеспечению ИБ, но от этого не менее важная, и, что главное – не менее интересная. Поэтому, мне, кажется, мое мнение, как практикующего devsecops-инженера будет не лишним для развития appsec,…
Привет, Хабр! Сегодня я хочу поделиться своим опытом разработки ASOC платформы. В статье я расскажу о преимуществах такого решения, затем опишу особенности реализации всех ключевых компонентов. Моя цель показать, что разработка собственных ИБ инструментов сегодня не является сложной задачей и, возможно, вдохновить кого‑то на самостоятельное улучшение практик AppSec и DevSecOps в своей компании. Читать далее