A
Archery схожими функциями обладает
Size: a a a
2020 July 18
A
Если есть GRC, то, гипотетически, можно на нее завернуть
AM
A
Мы долго-долго искали, искали.. тестили, тестили и в итоге своё сделали :)
А какое у вас?)
VS
Всем ответившим, спасибо!!
YS
Anton
А какое у вас?)
Своё решение, используем во всех проектах) ну и продаём тоже)
Оркестрация инструментов, агрегация информации, консолидация дефектов со всех инструментов в одном месте, группировка, корреляция)
Appsec.Hub называется)
Оркестрация инструментов, агрегация информации, консолидация дефектов со всех инструментов в одном месте, группировка, корреляция)
Appsec.Hub называется)
A
Спасибо!
Wo
3к багов и 1к уязвимостей. Не пора ли валить?
YS
3к багов и 1к уязвимостей. Не пора ли валить?
Неразобранных, легко! Это ещё мало 😂😂
c
Еще есть kenna security и risk sense
A
3к багов и 1к уязвимостей. Не пора ли валить?
И это только во вторник! 😜
c
Но кажется пилить лучше свое
c
С преферансом и поэтэссами
GG
Но кажется пилить лучше свое
Насколько это дорого ? Мульт, пять или десять и результат через полгода ?
c
Сильно зависит от того что вам нужно
c
Если просто импорт резулттатов и мердж уязвимостей, то довольно дешего выходит
c
Дальше можно развивать по мере появления новых процессов
С
Гайз, подскажите пожалуйста, а как и главное каким инструментом вы пользуетесь для учёта всех багов и уязвимостей в вашем коде, имейджах, инфраструктуре? Приведу пример - вот мы начали юзать сонарКуб для сканирования нашей кодовой базы у которой 2М строк и 3к багов и 1к уязвимостей. Далее просканировли имейджи и тоже нашли три десятка уязвимостей. Про инфру я вообще молчу. Но при этом проект живёт и развивается и я понимаю, что текущие баги и уязвимости не смогут быть пофикшеными за какое-то вменяемое кол-во времени, но хочу хотя бы начать учитывать и реагировать на новосозданные уязвимости.
Что из инструментов можно попробовать, что используете вы? Это siem? Или уже есть что-то более продвинутое?
Что хочется - вменяемый АПИ, возможность быть интегрированным с тем же сонаркубом. Возможно, отдача каких-то метрик, алерты(?) Ну, отчёты там, графики. Возможно это будет не опенсорс, но хотелось бы.
Если что, сильно не пинайте, я пока только учусь (с)
Что из инструментов можно попробовать, что используете вы? Это siem? Или уже есть что-то более продвинутое?
Что хочется - вменяемый АПИ, возможность быть интегрированным с тем же сонаркубом. Возможно, отдача каких-то метрик, алерты(?) Ну, отчёты там, графики. Возможно это будет не опенсорс, но хотелось бы.
Если что, сильно не пинайте, я пока только учусь (с)
Жира вполне может подойти
OS
Гайз, подскажите пожалуйста, а как и главное каким инструментом вы пользуетесь для учёта всех багов и уязвимостей в вашем коде, имейджах, инфраструктуре? Приведу пример - вот мы начали юзать сонарКуб для сканирования нашей кодовой базы у которой 2М строк и 3к багов и 1к уязвимостей. Далее просканировли имейджи и тоже нашли три десятка уязвимостей. Про инфру я вообще молчу. Но при этом проект живёт и развивается и я понимаю, что текущие баги и уязвимости не смогут быть пофикшеными за какое-то вменяемое кол-во времени, но хочу хотя бы начать учитывать и реагировать на новосозданные уязвимости.
Что из инструментов можно попробовать, что используете вы? Это siem? Или уже есть что-то более продвинутое?
Что хочется - вменяемый АПИ, возможность быть интегрированным с тем же сонаркубом. Возможно, отдача каких-то метрик, алерты(?) Ну, отчёты там, графики. Возможно это будет не опенсорс, но хотелось бы.
Если что, сильно не пинайте, я пока только учусь (с)
Что из инструментов можно попробовать, что используете вы? Это siem? Или уже есть что-то более продвинутое?
Что хочется - вменяемый АПИ, возможность быть интегрированным с тем же сонаркубом. Возможно, отдача каких-то метрик, алерты(?) Ну, отчёты там, графики. Возможно это будет не опенсорс, но хотелось бы.
Если что, сильно не пинайте, я пока только учусь (с)
Правильно ли я понял, что новые баги - лучше старых, тем, что они новее?
GG
Жира вполне может подойти
Это не то