Теперь Кью работает в режиме чтения

Мы сохранили весь контент, но добавить что-то новое уже нельзя

DevSecOps

"Shift security left (everywhere)" Канал, в котором публикуются материалы о выстраивании безопасного DevOps
DevSecOps
2,4 K
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

Наиболее распространенные уязвимости в мобильных приложениях

Вы могли заметить, что я почти не пишу ничего про безопасность мобильных приложений (и вы окажетесь правы), но сегодня я хочу сделать исключение. Открываем короткую неделю со статьи... Читать далее
Наиболее распространенные уязвимости в мобильных приложениях
habr.com/ru/company/swordfish_security/blog/658433
DevSecOps
2,1 K
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

CI/CD Security - то без чего DevSecOps не имеет смысла

13 и 14 июня 2022 года в Кампусе Сколково пройдет конференция DevOps Conf & TechLead Conf 2022, где я буду выступать с докладом "CI/CD Security - то без чего DevSecOps не имеет смысла"... Читать далее
Денис Якимов на DevOpsConf 2022
devopsconf.io/moscow/2022/abstracts/9092
DevSecOps
1,6 K
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения

“В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя... Читать далее
NPM,
opennet.ru/57108
DevSecOps
761
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

Securing Developer Tools: Package Managers

Случались ли у вас ситуации, когда антивирусный агент начинает генерировать алерты о вредоносной активности будучи установленным на сборщике? Вероятно, вы столкнулись с вредоносами... Читать далее
DevSecOps
120
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

DevSecOps Wine

Code Review Hotspots with Semgrep Автор сегодняшней статьи предлагает поделить сработки на две группы - security и hotspots. Сработки группы security имеют низкий уровень ложных... Читать далее
DevSecOps
191
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

Code Review Hotspots with Semgrep

Автор сегодняшней статьи предлагает поделить сработки на две группы - security и hotspots . Сработки группы security имеют низкий уровень ложных срабатываний и предназначаются... Читать далее
DevSecOps
107
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

How Flipkart Reacts to Security Vulnerabilities

Пятница - отличный день, чтобы вернуться к постам после продолжительного перерыва. Начнем мы с несложной темы для восприятия - с организационных процессов. Команда Flipkart рассказывает... Читать далее
How Flipkart Reacts to Security Vulnerabilities
blog.flipkart.tech/how-flipkart-reacts-to-security-vulnerabilities-17dae9b0661e
DevSecOps
255
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

Improving Web Vulnerability Management through Automation

Опыт Lyft по периодическому авто-сканированию внутренних веб-приложений с помощью Burp. В принципе, все отражено на схеме. В статье вы можете познакомиться с некоторыми деталями... Читать далее
Improving Web Vulnerability Management through Automation
eng.lyft.com/improving-web-vulnerability-management-through-automation-2631570d8415
DevSecOps
697
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

New Argo CD Bug Could Let Hackers Steal Secret Info from Kubernetes Apps

Для тех, кто еще не видел, у ArgoCD вышла CVE-2022-24348 (CVSS score: 7.7), позволяющая дампить секреты из кластера благодаря кастомному вредоносному helm-чарту. Уязвимость затрагивает... Читать далее
Build software better, together
github.com/argoproj/argo-cd/security/advisories/GHSA-63qx-x74g-jcr7
DevSecOps
162
Денис ЯкимовHead of DevSecOps, https://t.me/sec_devops

OWASP WrongSecrets

12 тасков на компрометацию секретов. Здесь есть hardcoded passwords, использование секрета в ENV, ConfigMap, AWS Secrets Manager, Vault и инжект во время сборки. Для работы с платформой, с... Читать далее
GitHub - commjoen/wrongsecrets: Examples with how to not use secrets
github.com/commjoen/wrongsecrets