Я ближе к девопсу, без -сек-, но я постоянно вижу разработчиков, говорящих «нам пм сказал фичу делать - мы делаем. Чо там с ней в проде это ваша проблема». Такой себе девопс во всё лицо. И атаковать там надо не линецных разработчиков, а их лидов всяких разных

О

Какой у вас холивар благодатный

Стало быть, процессы нужны, а не инструменты?)

Люди с головой нужны, а не это всё :)

Они напилят и процессов, и инструментов, и какаву с чаем

И чем выше такие люди есть, тем лучше

Им проще проводить изменения потому что

ну ... да, игра с 2 миллионами DAU
соответственно если базу навернут, то все, бизнес можно закрывать

соответственно делали аудиты всякие
и SAST прикручивали

но поскольку я подрядчиков не выбирал, я думаю что пионеры были какие нибудь

- аудитчики - "у вас тут возможен SQL Injection"
- я "почему?"
- они "нам так SAST сказал"
-я ок. приведите пример HTTP\HTTPS запроса с curl/wget с эксплуатацией уязвимости?
- они "молчание ягнят..."

единственное что серьезное нашли это zabbix с открытым наружу портом древней версии который опять же стоял чисто как http пинговалка

А насколько сложно было убрать эту потенциальную SQL ? )

;) дак ее там не было
потому что это уже экранированное значение конкатенировалось

Я к чему - мб SAST был прав, человек аудитор/ИБшник мог не знать запроса, но это не означает, что его (запрос) придумать нельзя. Допустим, время устранения - минут 20. Вопрос - зачем эти "сперва добейся"? )

Если же нет, то Ваш вопрос вполне релевантен

а

да я бы с радостью убрал бы
такого добра просто SAST штук 20 нашел
но понять что данные экспейпятся и к интам приводятся ранее, через типы, ему сложно

Ну вот, вводите в заблуждение SAST, ай-ай. Зачем там вообще конкатенация в запросе? Неужели шардинг?

ну вот опять начинается...
вот что вы за народ такой, с умными щами кричать "мы все умрем, дайте мне денег" на всех углах, это запросто
а как "подтвердите уязвимость", так сразу начинаете издеваться....

при этом на конференциях тоже "мы нашли уязвимость.... она вот тут, работает приемерно так, но мы вам деталей больше не расскажем. вендор нам заплатил" или наоборот "вот уязвимость вот CVE, деталей нет, есть какой то неработающий PoC, который ни у кого не воспроизводится, аааа severity 9.0"

вот просто интересно, как такие вещи вендорам отправляют?
вот hackerone тот же самый, люди отправляют там XSS какой нибудь, а есть возможность его эксплуатировать или нет, должен уже ИБшник на стороне баунти программы определять? и как он определяет? тупо делает точно такой же запросец и делает тикет разрабам "исправьте тут XSS"?

я просто видимо в этом всем ничего не понимаю ;) это факт

Ну, умрёте вы все независимо от факта передачи денег, поэтому предлагаю сильно не горевать. Я вот видел достаточно проблем, про которые говорили «да ты успокооойся, мы сто раз так делали, всё норм», а потом они стреляли через год, да так, что заглядение. И это все ещё не повод ни той, ни другой стороне вставать в позу «быстра починили/сначала докажите». В этих находках SAST разобрались же, пометили эти конкретные срабатывания как ложноположительные, и поехали дальше. Где проблема-то?

Снова, если безопасность нужна только безопасникам, ничего не сделать. Если у безопасников и остальных ответственность общая за безопасность чего бы то ни было, тогда разработчики идут к безопасникам и говорят «ребята, как бы нам там сделать, чтобы нас не заовнили». Потому что внезапно у разработчиков намного больше возможностей как накосячить, так и починить, чем у кого бы то ни было ещё