Security Wine (бывший - DevSecOps Wine)

Контроль зависимостей в разработке от Cicada8 (решение Dependency Firewall🔗)

Современная ИТка очень динамична и, если ей не управлять - хаотична. Одна из типичных проблем: артефакты с уязвимостями, кривыми лицензиями или встроенными секретами попадают в пайплайн, а дальше выкатываются в прод и привет: аудит, откат, продакшн-инцидент. А хочется же #безвотэтоговсего 💻

🖋 На рынке есть много решений, которые ищут уязвимости уже после загрузки. Но есть и альтернативные подходы на базе нашего любимого shift left. Вот и CICADA8 заявляет о запуске решения Dependency Firewall, которое действует как фильтр на входе.

Что делает изделие, согласно заявке вендора:
⚪перехватывает запросы к внешним реестрам (npm, PyPI, dockerhub и т.д.);
⚪ анализирует артефакты "на лету" (CVE, лицензии, секреты, политика);
⚪ если что-то не ок — может блокировать, а не просто "помечать";
⚪ умеет собирать SBOM и интегрироваться с всяческими VM-платформы или SIEM;
⚪ может работать как HTTPS-прокси или кастомный реестр — без переписывания пайплайнов.

Заявляемые фичи :
⚪поддержка 12+ языков + контейнеры + бинарники;
⚪фильтрация по возрасту артефактов, типам лицензий, уровню угроз по CVSS/EPSS;
⚪интеграции с Kaspersky OSS, БДУ ФСТЭК, EPSS, кастомными фидами;
⚪реальное время, адаптивные политики, удобный UI.

📄 В общем: если хочется ловить нехорошие зависимости до того, как они уплывут в прод, — решение предлагает вариант отработать превентивно, а не "по следам". Все в лучших традициях supply chain security & compliance.

🎙 Товарищи организуют прямую трансляцию 8 июля в 12:00 по Мск. Залетайте, кому нннадо! 🤝

А как решаете подобные задачи вы? Какие решения и подходы используете и почему? И может быть кто-то уже работал с Cicada DF, и ему (ей) есть что сказать? 🤝

Please open Telegram to view this post

VIEW IN TELEGRAM

❤29🔥12💩7👎3👍2🙏1

www.tgoop.com/sec_devops/648

2.97K viewsedited  Jul 1 at 08:59

Контроль зависимостей в разработке от Cicada8 (решение Dependency Firewall🔗)

Современная ИТка очень динамична и, если ей не управлять - хаотична. Одна из типичных проблем: артефакты с уязвимостями, кривыми лицензиями или встроенными секретами попадают в пайплайн, а дальше выкатываются в прод и привет: аудит, откат, продакшн-инцидент. А хочется же #безвотэтоговсего 💻

🖋 На рынке есть много решений, которые ищут уязвимости уже после загрузки. Но есть и альтернативные подходы на базе нашего любимого shift left. Вот и CICADA8 заявляет о запуске решения Dependency Firewall, которое действует как фильтр на входе.

Что делает изделие, согласно заявке вендора:
⚪перехватывает запросы к внешним реестрам (npm, PyPI, dockerhub и т.д.);
⚪ анализирует артефакты "на лету" (CVE, лицензии, секреты, политика);
⚪ если что-то не ок — может блокировать, а не просто "помечать";
⚪ умеет собирать SBOM и интегрироваться с всяческими VM-платформы или SIEM;
⚪ может работать как HTTPS-прокси или кастомный реестр — без переписывания пайплайнов.

Заявляемые фичи :
⚪поддержка 12+ языков + контейнеры + бинарники;
⚪фильтрация по возрасту артефактов, типам лицензий, уровню угроз по CVSS/EPSS;
⚪интеграции с Kaspersky OSS, БДУ ФСТЭК, EPSS, кастомными фидами;
⚪реальное время, адаптивные политики, удобный UI.

📄 В общем: если хочется ловить нехорошие зависимости до того, как они уплывут в прод, — решение предлагает вариант отработать превентивно, а не "по следам". Все в лучших традициях supply chain security & compliance.

🎙 Товарищи организуют прямую трансляцию 8 июля в 12:00 по Мск. Залетайте, кому нннадо! 🤝

А как решаете подобные задачи вы? Какие решения и подходы используете и почему? И может быть кто-то уже работал с Cicada DF, и ему (ей) есть что сказать? 🤝