AppSec & Compliance

С помощью View8 можно декомпилировать сериализованные объекты (файлы JSC) в высокоуровневый читаемый код. Это упрощает анализ и отладку приложений на движке V8. Check Point открыла код View8 для анализа байт-кода V8 https://habr.com/ru/news/827870/ + View8 - Decompiles serialized V8 objects back into high-level readable code. https://github.com/suleram/View8 Так же у CheckPoint  вышел недавно пост как раз про анализ и View8 EXPLORING COMPILED V8 JAVASCRIPT USAGE IN MALWARE https://research.checkpoint.com/2024/exploring-compiled-v8-javascript-usage-in-malware/

Вот и запись #КИИ #безраб

AppSec-платформа для сотен миллионов строк кода https://habr.com/p/824496/

*И иллюстрация к предыдущему посту

OWASP Dep-scan В чате участники нашего сообщества поделились проектом Dep-scan — инструментом поиска уязвимостей в зависимостях "нового поколения" от OWASP. Несмотря на то что инструмент не новый, известен он не так сильно как Dependency-Check и Dependency-Track. Отличительная особенность данного инструмента — это предоставление возможности по приоритизации уязвимостей. Dep-scan добавляет к каждой уязвимости графу "Insights". Приоритизация осуществляется за счет так называемого Reachability анализа — анализа кода на предмет того, может ли уязвимый пакет быть затронут опасными методами, например, пользовательским вводом с помощью параметров requests или методов safecode. Механизм построен на базе проекта Atom и поддерживает Java, JavaScript, TypeScript и Python. В проект также добавили режим аудита риска. Этот режим позволяет оценить степень рискованности npm или PyPI-пакетов с помощью заложенной разбивки весов. Баллы риска могут прибавляться, например, если у пакета всего два npm-пользователя, приватный пакет доступен в публичном реестре (привет атаки dependency confusion), либо пакет в принципе достаточно старый. Среди фич авторы отмечают генерацию SBOM за счет интеграции с cdxgen, быстроту сканирования и количество поддерживаемых языков и форматов (Node.js, Java, PHP, Python, Go, .NET, C/C++, Docker, OCI image, YAML). А какие SCA используете вы? И есть ли положительный опыт работ с импортозамещенными инструментами? Обсуждаем в комментариях и чате. #sca

Безраб ПО для ЗОКИИ 🔥 Провели вебинар, давно я не видел такой активности публики. Всё было не зря))) Вопросов много, поэтому отдельный материал по ним выкатим 💬 Было два небольших интерактива. Первый: ✔️ 52% выполняют требования ФСТЭК по безрабу сами или с подрядчиком ❌ 31% не выполняют, а 17% не знали о существовании требований Второй: ✔️ 26% применяют SAST + DAST + Fuzz ✔️ 43% применяют SAST + DAST/Fuzz ❌ 31% не применяют ничего из инструментов Запись опубликуем до конца недели. Всем большое спасибо за вовлеченность! 🫡 #КИИ

Spectra Assure Community: анализ open source! Всем привет! Тема безопасности open source не перестает быть актуальной и даже наоборот – все больше и больше набирает обороты. Вспомнить хотя бы то, что было недавно - xz, Polyfill. И это не говоря о том, что «следы» Log4Shell нет-нет, да найдутся. Поэтому важно получать как можно больше информации о том, насколько тот или иной пакет «здоров». Есть множество ресурсов, которые помогают получить информацию: БДУ ФСТЭК,  NVD, OpenSSF Scorecard, OSV, SCALIBR, Vet, CVEMap, Trusty и много-много-много чего еще. Сегодня хотим рассказать про еще один такой ресурс – Spectra Assure Community. При помощи него можно проверять более 5 миллионов пакетов из NPM, PyPi и RubyGems. Он позволяет получить информацию о: вредоносном ПО, code tampering, известным уязвимостям, проблемах с лицензиями, сведения о секретах и общий статус «здоровья» пакета. Почитать детальнее про то, как создавался ресурс можно по ссылке, а ознакомиться с ним можно вот тут.