AppSec & Compliance

OWASP Authoritative Guide to SBOM Как может показаться из названия документа, речь пойдет об SBOM (software bill of materials), хотя, на самом деле, документ о многогранном и необъятном использовании BOM и CycloneDX (стандарт OWASP для supply chain). Да, здесь есть и про формат BOM, и про применении в SDLC на разных стадиях, но большинство внимания уделено все же сценариям использования. Чем это может быть полезно лично для вас и вашей организации? Стандарт затрагивает такие темы как: - Управление конфигурациями предприятия (CMDB): Отслеживание активов и управление конфигурациями в базе данных. - Проверка целостности: Обеспечение того, что компоненты программного обеспечения не были изменены с момента их выпуска. - Аутентичность: Подтверждение подлинности компонентов или самого SBOM. - Анализ устаревших компонентов: Определение компонентов, которые больше не поддерживаются или устарели. - Происхождение (Provenance): Отслеживание истории и происхождения компонентов. - Родословная (Pedigree): Представление информации о происхождении, изменениях и вариациях компонентов. - Управление поставщиками и рисками: Оценка и управление рисками, связанными с поставщиками и их продукцией. - Управление цепочкой поставок: Оптимизация процессов управления поставками программных компонентов. - Полнота состава и "известные неизвестные": Оценка полноты информации в BOM и идентификация элементов с неизвестным статусом. - Подтверждение и проверка состава: Проверка точности и полноты информации о составе продукта на всех этапах его жизненного цикла. - Управление криптографическими активами: Управление и отслеживание криптографических ключей, сертификатов и других элементов. - Идентификация слабых криптографических алгоритмов: Определение и замена устаревших или уязвимых криптографических алгоритмов. - Готовность к постквантовой криптографии (PQC): Подготовка к эре постквантовых вычислений и обеспечение безопасности криптографических систем перед лицом новых угроз. Кстати, на сайте Белого Дома в указе от 2021 года о повышении безопасности нации указано о необходимости создания SBOM для всех критически важных программных продуктов, используемых правительственными агентствами. Это далеко не первое упоминание SBOM правительством США. Самое раннее упоминание SBOM можно найти в «Cyber Supply Chain Management and Transparency Act» от 2014 года. В целом подобная документация позволяет отлично понять "куда копать дальше" тем, кто остается работать в РФ и уже выполнил базовые задачи в рамках тематики КИИ и хочет "порешать задачи под звездочкой". #sbom #owasp

Хорошая идея для #ТК362...

Подпись артефактов: необходимое и/или достаточное условие? Всем привет! В статье приведены интересные мысли Автора по вопросу: «Является ли подпись артефактов достаточным механизмом контроля целостности и мерой противодействия supply chain атакам?» С его точки зрения – нет. Да, она подтверждает авторство, но на ряд вопросов она ответить не сможет. Например: 🍭 Как был собран артефакт? 🍭 Какой исходный код использовался? 🍭 Какие параметры сборки передавались и т.д.? По этой причине Автор считает, что лучше (вместе с подписью) формировать provenance – набор metadata о процессе сборке. Например: информация об используемом исходном коде, процессе сборке, реализованных ИБ-проверках и вообще все, что вам кажется важным. Данные подписываются электронной подписью, формируя аттестацию. В завершении Автор рассказывает про slsa-github-generator – набор GitHub Actions, которые позволяют создавать те самые provenance в соответствии с рекомендациями SLSA. А что вы думаете по этому поводу? Нужны ли эти metadata или это «перебор» и привычной подписи вполне хватает?

МЫ ДОЖДАЛИСЬ! Я наконец-то нашла нормальные материалы по код-ревью. Некий умный дядька Пол Ионеску (или как-то так) выпустил серию статей на эту тему. Просто вниз листайте там еще статейки😏

На сайте идёт трансляция.

❗️❗️❗️❗️❗️❗️ Уже завтра коллеги из Лаборатории Касперского проводят очередной, уже ставший июньской традицией, Certification Day: https://certificationday.kaspersky.com/ —— В программе, как всегда, интересные технические доклады (я бы послушал представителя соседей-туляков из "ПВС" и Марка @socketpair про РБПО в Айдеко ) —— Из "теоретического" трека - обязательно посмотрю выступление Вартана Падаряна из ИСП РАН про сертификацию процессов безопасной разработки (т.к. ИСП РАН единственный пока получил соответствующую аккредитацию как Орган по сертификации процессов РБПО) и Алексея Смирнова (CodeScoring) - тема атак на supply chain вообще и SBoM \ композиционный анализ в частности актуальна как никогда. ❗️❗️❗️❗️❗️❗️

Автостопом по HashiCorp Vault Всем привет! Если вы начинаете свое знакомство с HashiCorp Vault и количество сущностей, терминов, возможностей, настроек и т.д. кажется вам ошеломляющим, и вы не знаете «с чего начать», то рекомендуем обратить внимание на статью. В ней Автор описывает: 🍭 Общая информация о том, что есть «секрет» и какие системы управления бывают 🍭 Базовые концепты Vault (API, Storage, (Un)seal, Secret Engine и т.д.) 🍭 Способы доставки Token (Response Wrapping, AppRole) 🍭 Управление политиками доступа к секретам 🍭 Интеграции с приложениями (SDK, Agent) и многое другое В статье много практических примеров и объяснений. Также в ней можно найти советы о том, «как лучше приготовить Vault» от практиков, которые занимаются его внедрением и эксплуатацией.