В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DevSecOps - русскоговорящее сообщество

551 membersпожаловаться на группу
2020 August 05

НБ

Никита Бубликов... in DevSecOps - русскоговорящее сообщество
Привет!
Может кто находил скрипт для загрузки результатов скана dependency check или других тулов в defect dojo? Вероятно делал кто-то, есть ссылка на github? Посмотреть
источник
10:48пожаловаться#1

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
Вот видео про всякие тулзы с таймкодом скрипта перлового отправки в дефектдожо под zap
https://youtu.be/llQH7R_5JNE?t=692
YouTube
Shift Left: Scanning in the Pipeline with Gitlab, Sonarqube, OWASP ZAP, Trivy, and DefectDojo
We give an overview of our presentation last month at the Atlanta Gitlab Meetup.  CI/CD DevOps pipeline with security scanning.
источник
10:57пожаловаться#2
2020 August 07

SC

Stanislav Chesnovsky in DevSecOps - русскоговорящее сообщество
Добрый день, уважаемые коллеги!
Есть ли здесь кто-то, кто щупал enterprise версию teleport от gravitational ?
источник
17:39пожаловаться#3
2020 August 13

D(

Dmitry (zakrush) in DevSecOps - русскоговорящее сообщество
Никита Бубликов
Привет!
Может кто находил скрипт для загрузки результатов скана dependency check или других тулов в defect dojo? Вероятно делал кто-то, есть ссылка на github? Посмотреть
Там же все просто. Я на питоне написал скрипты которые грузят в дефект доджо. Могу репку свою дать. Но у меня там пока только ЗАП.
источник
19:55пожаловаться#4
2020 August 18

NT

Nikita Tikhomirov in DevSecOps - русскоговорящее сообщество
Hi, у кого нибудь был опыт в ProxMox?
Дело такое, есть 2 IP адреса, купленых на дедик  у Hetzner
Я хочу, что бы один IP смотрел на хост, другой IP смотрел на виртуалку Qemu запущенную на ProxMox'e
Как это возможно реализовать?
Если кто сможет помочь, то с меня пиво)
источник
01:11пожаловаться#5

!

! ما شاء الله... in DevSecOps - русскоговорящее сообщество
https://pve.proxmox.com/pve-docs/pve-admin-guide.html#sysadmin_network_configuration
источник
07:42пожаловаться#6

!

! ما شاء الله... in DevSecOps - русскоговорящее сообщество
https://community.hetzner.com/tutorials/install-and-configure-proxmox_ve/ru?title=Proxmox_VE/ru
Hetzner
Hetzner Online Community
Hetzner Online Community – a free collection of high-quality tutorials
источник
07:44пожаловаться#7
2020 August 20

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
Народ а какой бы простой и елегантный способ подкладывать trusted root CA в контейнеры в кубе для приватных доменов?
источник
19:57пожаловаться#8

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Roman Rusakov
Народ а какой бы простой и елегантный способ подкладывать trusted root CA в контейнеры в кубе для приватных доменов?
Приватные ключи? Генерь пару Vaultом при деплое и доставляй.
источник
19:59пожаловаться#9

VS

Vasilyev Sergey in DevSecOps - русскоговорящее сообщество
Roman Rusakov
Народ а какой бы простой и елегантный способ подкладывать trusted root CA в контейнеры в кубе для приватных доменов?
Конфигмапом. Или кладите прям в образ, если образы билдите
источник
19:59пожаловаться#10

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
А там не надо ещё запускать update-ca-certificates?
источник
20:00пожаловаться#11

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
И если образы разные и некоторые даже не свои
источник
20:01пожаловаться#12

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
Всмысле разные ОС в них, где убунта, где альпайн
источник
20:01пожаловаться#13

С

Сергей in DevSecOps - русскоговорящее сообщество
докерфайл же есть, через него лучше всего класть, это же CA, они не короткоживущие
источник
20:04пожаловаться#14

С

Сергей in DevSecOps - русскоговорящее сообщество
update-ca-certificates нужен, он обновляет в /etc/ssl/ симлинки, откуда их берёт большинство софта
источник
20:05пожаловаться#15

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
sticker.webp
(31.88 Кб)
источник
20:14пожаловаться#16
2020 August 21

YS

Yury Shabalin in DevSecOps - русскоговорящее сообщество
Не могу не поделиться) как поднять в бб 30к долларов с помощью грепа и изучения документации 😁

https://t.me/mobile_appsec_world/113
Telegram
Mobile AppSec World
​​Firebase Cloud Messaging - как отправить push миллиарду пользователей

Во время анализа приложений мы постоянно находим различные токены от сервисов аналитики, а иногда и от нескольких, разных сервисов геолокации, карт и многих других, не сильно критичных (вроде) 😄

После этой статьи я стану намного пристальнее на них смотреть и на те возможности, что они дают. И обязательно добавлю такую проверку в анализ.

Если кратко - багхантер практически с помощью одного grep, детального изучения документации и функционала сервисов FCM получил возможность отправить любое push-сообщение от имени уязвимого приложения. А в их числе оказались и гугловские сервисы (Google music, Youtube Music и т.д.),то есть миллиарды пользователей 😱

В статье подробно описан процесс анализа, изучения сервиса FCM, есть алгоритм, как искать и проверять валидность таких ключей (что с их помощью действительно можно отправить push), как сделать PoC и как митигировать подобные риски.

И спасибо автору за ссылки на материалы, статьи и утилиты…
источник
00:08пожаловаться#17

J

John Roe in DevSecOps - русскоговорящее сообщество
Yury Shabalin
Не могу не поделиться) как поднять в бб 30к долларов с помощью грепа и изучения документации 😁

https://t.me/mobile_appsec_world/113
Telegram
Mobile AppSec World
​​Firebase Cloud Messaging - как отправить push миллиарду пользователей

Во время анализа приложений мы постоянно находим различные токены от сервисов аналитики, а иногда и от нескольких, разных сервисов геолокации, карт и многих других, не сильно критичных (вроде) 😄

После этой статьи я стану намного пристальнее на них смотреть и на те возможности, что они дают. И обязательно добавлю такую проверку в анализ.

Если кратко - багхантер практически с помощью одного grep, детального изучения документации и функционала сервисов FCM получил возможность отправить любое push-сообщение от имени уязвимого приложения. А в их числе оказались и гугловские сервисы (Google music, Youtube Music и т.д.),то есть миллиарды пользователей 😱

В статье подробно описан процесс анализа, изучения сервиса FCM, есть алгоритм, как искать и проверять валидность таких ключей (что с их помощью действительно можно отправить push), как сделать PoC и как митигировать подобные риски.

И спасибо автору за ссылки на материалы, статьи и утилиты…
@alexsuslin: @bhavenger @AlexAkulov @Frod0x
источник
00:13пожаловаться#18

YS

Yury Shabalin in DevSecOps - русскоговорящее сообщество
Ну и проверьте ключи свои, если используете в мобильных приложениях FCM для пушей
источник
00:14пожаловаться#19

YS

Yury Shabalin in DevSecOps - русскоговорящее сообщество
John Roe
@alexsuslin: @bhavenger @AlexAkulov @Frod0x
Ну я же не спамер :(
источник
00:16пожаловаться#20