Всем привет!
А вот и финальный разбор в нашей серии! Последний пазл, флаг за который дал целых 400 очков. Иногда самая простая ошибка — оставить introspection в GraphQL — становится очень дорогой...
Persik ICO Writeup
Проверим включена ли introspection:
Из схемы составим query getEligibleUsers и получим список список адресов участников airdrop'а:
Выберем любой адрес и передадим его в checkAirdrop:
Опционально можно было использовать адрес администратора из admin query:
На этом серия разборов подходит к концу. Мы прошли путь от базовых уязвимостей до тонкостей GraphQL, где одна невыключенная настройка открыла доступ ко всей логике и данным сервиса. Этот таск — отличное напоминание: безопасность API часто ломается на самых простых вещах: забытых отладочных интерфейсах, излишней детализации ошибок или избыточных правах.
Предыдущие разборы серии:
1 часть
2 часть
3 часть
VK Security | Буст этому каналу
#разбор #CTF
А вот и финальный разбор в нашей серии! Последний пазл, флаг за который дал целых 400 очков. Иногда самая простая ошибка — оставить introspection в GraphQL — становится очень дорогой...
Persik ICO Writeup
category: web, points: 400
Airdrop токена Persik уже прошёл, а вы - опоздали ... но сервис хранит больше данных, чем должен!
Достаньте любой eligible-адрес и заберите флаг
После подключения кошелька видно, что для проверки участвует ли адрес в airdrop'е отсылается GraphQL query checkAirdrop на эндпойнт /graphql. Увидим, что по этому пути нам доступен GraphiQL.
Проверим включена ли introspection:
query { __schema { types { name kind fields { name type { name kind } } } } }
Из схемы составим query getEligibleUsers и получим список список адресов участников airdrop'а:
query GetEligibleUsers { getEligibleUsers { address tokensClaimed airdropEligible } }
Выберем любой адрес и передадим его в checkAirdrop:
query CheckAirdrop($addr: String!) { checkAirdrop(address: $addr) { address tokensClaimed airdropEligible flag } }
И получим флаг:
{
"data": {
"checkAirdrop": {
"address": "0x8ba1f109551bD432803012645aac136c22C19e00",
"tokensClaimed": 3000,
"airdropEligible": true,
"flag": "vkctf{edd3417a9eb5c85b361d196e504b05a0}"
}
}
}
Опционально можно было использовать адрес администратора из admin query:
query AdminInfo { admin { secretKey vaultAddr } }
На этом серия разборов подходит к концу. Мы прошли путь от базовых уязвимостей до тонкостей GraphQL, где одна невыключенная настройка открыла доступ ко всей логике и данным сервиса. Этот таск — отличное напоминание: безопасность API часто ломается на самых простых вещах: забытых отладочных интерфейсах, излишней детализации ошибок или избыточных правах.
Предыдущие разборы серии:
1 часть
2 часть
3 часть
VK Security | Буст этому каналу
#разбор #CTF
👍6❤3🔥3🏆1
Сезон VK Security Confab 2026 объявляем открытым! И первая встреча — Bug Bounty Edition.
Когда: 19 марта
Где: Москва, БЦ SkyLight
Есть крутой кейс, полезный лайфхак или история, которыми стоит поделиться с коммьюнити? Приходите выступать! Ждем ваши заявки до 26 февраля.
🔹 Хочу выступить!
VK Security | Буст этому каналу
#confab #митап #bugbounty
Когда: 19 марта
Где: Москва, БЦ SkyLight
Есть крутой кейс, полезный лайфхак или история, которыми стоит поделиться с коммьюнити? Приходите выступать! Ждем ваши заявки до 26 февраля.
VK Security | Буст этому каналу
#confab #митап #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥10❤5👏3✍2
Привет! Меня зовут Владислав Верусь, я из команды инфраструктурной безопасности. Хочу рассказать кейс: один инцидент заставил нас полностью пересмотреть подход к GitHub — и в итоге привел к созданию собственной платформы для аудита безопасности.
Всё началось с отчёта от багхантера. В одном из наших публичных репозиториев на GitHub была опасная настройка: использовался триггер pull_request_target. Если кратко, он позволял коду из внешнего Pull Request запускаться с правами основной ветки — со всеми секретами и доступом.
Когда мы разбирали ситуацию, то поняли главное: проблема была не в одной настройке. У нас не было целостной картины. Мы не знали полного списка репозиториев, не отслеживали используемые сторонние скрипты и не имели системы мониторинга для таких рисков.
Мы решили не просто латать дыры, а выстроить полноценный процесс. Так появился внутренний проект — Mega GitHub Security Automation (MGSA). Мы прошли несколько ключевых этапов:
1️⃣ Инвентаризация и контроль Actions. Мы нашли и проанализировали все сторонние скрипты в репозиториях (57 штук) и ввели «белый список». Теперь любой новый Action можно добавить только через запрос с согласованием безопасности.
2️⃣ Харденинг. Мы написали подробное руководство по безопасности для репозиториев. Оно включает настройки доступа, защиту веток, обязательное использование Dependabot для обновлений и Secret Scanning для поиска утечек токенов.
3️⃣ Автоматизация проверок. Чтобы стандарт работал, мы написали скрипты для сбора данных и мониторинга. Они показывали, какие репозитории отклоняются от правил. Это дало нам первую видимость.
Что это дало:
• Контроль над тем, какой код выполняется в наших CI/CD процессах.
• Понимание рисков и чек-лист для оценки новых настроек.
• Единые правила для всех команд, кто работает с GitHub.
Но на этом мы не остановились. Со временем старая система, построенная на скриптах, перестала справляться с ростом числа проектов и новых требований.
Мы пересобрали наш проект в MGSA — платформу с веб-интерфейсом. Теперь вместо сложных отчётов есть наглядный дашборд. В нём видно:
🔹 Все репозитории и их статус безопасности.
🔹 Конкретные проблемы с ссылками на правила.
🔹 Возможность запустить проверку любого репозитория по запросу.
Это сделало работу и для нас, и для разработчиков гораздо проще и прозрачнее.
Что будет дальше?
Сейчас мы развиваем MGSA в трёх направлениях:
▫️ Масштабирование. Подключаем репозитории новых команд и проектов.
▫️ Расширение. Мы хотим, чтобы платформа работала не только с GitHub, но и с нашим внутренним GitLab, став единым центром аудита для всех Git-платформ.
▫️ Интеграция. Планируем связать её с другими системами безопасности, например, для статического анализа кода (SAST), чтобы видеть полную картину по каждому проекту.
Мы прошли от реакции на одну уязвимость до построения проактивной системы, которая помогает предотвращать проблемы на раннем этапе. Главные выводы: нужны чёткие правила, автоматизация их проверки и, что важно, — удобный инструмент, который позволяет всем участникам процесса видеть общую картину.
VK Security | Буст этому каналу
#эксперты #проект #mgsa
Всё началось с отчёта от багхантера. В одном из наших публичных репозиториев на GitHub была опасная настройка: использовался триггер pull_request_target. Если кратко, он позволял коду из внешнего Pull Request запускаться с правами основной ветки — со всеми секретами и доступом.
Злоумышленник мог бы украсть токены, подменить процесс сборки или даже захватить репозиторий. К счастью, хакер действовал добросовестно и просто показал уязвимость.
Когда мы разбирали ситуацию, то поняли главное: проблема была не в одной настройке. У нас не было целостной картины. Мы не знали полного списка репозиториев, не отслеживали используемые сторонние скрипты и не имели системы мониторинга для таких рисков.
Мы решили не просто латать дыры, а выстроить полноценный процесс. Так появился внутренний проект — Mega GitHub Security Automation (MGSA). Мы прошли несколько ключевых этапов:
Что это дало:
• Контроль над тем, какой код выполняется в наших CI/CD процессах.
• Понимание рисков и чек-лист для оценки новых настроек.
• Единые правила для всех команд, кто работает с GitHub.
Но на этом мы не остановились. Со временем старая система, построенная на скриптах, перестала справляться с ростом числа проектов и новых требований.
Мы пересобрали наш проект в MGSA — платформу с веб-интерфейсом. Теперь вместо сложных отчётов есть наглядный дашборд. В нём видно:
Это сделало работу и для нас, и для разработчиков гораздо проще и прозрачнее.
Что будет дальше?
Сейчас мы развиваем MGSA в трёх направлениях:
Мы прошли от реакции на одну уязвимость до построения проактивной системы, которая помогает предотвращать проблемы на раннем этапе. Главные выводы: нужны чёткие правила, автоматизация их проверки и, что важно, — удобный инструмент, который позволяет всем участникам процесса видеть общую картину.
VK Security | Буст этому каналу
#эксперты #проект #mgsa
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤7✍6👍2🤝1
Всем привет!
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
▫️ tv․mail․ru;
▫️ health․mail․ru;
▫️ deti․mail․ru;
но фикс был в одном месте.
🔹 Ссылка на отчет
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
🔹 Ссылка на отчет
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
🔹 Ссылка на отчет
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
🔹 Обсудить репорты вживую, поспорить с коллегами и задать вопросы экспертам VK? Легко! 19 марта на VK Security Confab!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
но фикс был в одном месте.
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14❤4🤩3👍2🤓2🤔1👨💻1
Передали канал на время нашему HR-специалисту @lisenkova_a, чтобы она рассказала о свежих вакансиях в ИБ VK:
Инженер ИБ
Опыт от 5 лет: администрирование СЗИ, автоматизация (Python/Bash), знание Windows и сетей.
👉 Смотреть
AppSec-инженер в MAX
Внедрение SDLC, code review, пентесты веб-приложений/API. Опыт от 2 лет, знание OWASP, умение читать код (Python/Go/Java/JavaScript).
👉 Смотреть
Аналитик SOC
Реагирование на инциденты, разработка правил детектирования, проактивный поиск угроз. Глубокое знание ОС, сетей, SIEM/SOAR. Для L3 — опыт с Git, сертификации приветствуются.
👉 L2 👉 L3
Аналитик антифрода (L2/L3, MAX)
Расследование фрод-схем, выявление бот-сетей, работа с большими данными (SQL, дашборды). L3: калибровка правил, ML, взаимодействие с продуктовыми командами.
👉 L2 👉 L3
Data Protection & Governance Engineer (MAX)
Гибридная роль: трансляция 152-ФЗ в технические требования, data mapping, аудит систем. Знание SQL, Data Discovery, ELK, Privacy by Design.
👉 Смотреть
Ведущий инженер доступности в команду SOC
Развитие пайплайнов логов (Vector/Logstash, Elasticsearch/OpenSearch), настройка CI/CD, Docker, работа с БД (PostgreSQL, ClickHouse, Kafka) и дашбордами Grafana.
👉 Смотреть
Контакт для связи: @nstslis
VK Security | Буст этому каналу!
#вакансии
— Всем привет! Меня зовут Настя, я собрала для вас список актуальных вакансий в Москве! У нас много интересных задач — от защиты высоконагруженных сервисов до расследования сложных инцидентов. Жду ваши резюме!
Инженер ИБ
Опыт от 5 лет: администрирование СЗИ, автоматизация (Python/Bash), знание Windows и сетей.
AppSec-инженер в MAX
Внедрение SDLC, code review, пентесты веб-приложений/API. Опыт от 2 лет, знание OWASP, умение читать код (Python/Go/Java/JavaScript).
Аналитик SOC
Реагирование на инциденты, разработка правил детектирования, проактивный поиск угроз. Глубокое знание ОС, сетей, SIEM/SOAR. Для L3 — опыт с Git, сертификации приветствуются.
Аналитик антифрода (L2/L3, MAX)
Расследование фрод-схем, выявление бот-сетей, работа с большими данными (SQL, дашборды). L3: калибровка правил, ML, взаимодействие с продуктовыми командами.
Data Protection & Governance Engineer (MAX)
Гибридная роль: трансляция 152-ФЗ в технические требования, data mapping, аудит систем. Знание SQL, Data Discovery, ELK, Privacy by Design.
Ведущий инженер доступности в команду SOC
Развитие пайплайнов логов (Vector/Logstash, Elasticsearch/OpenSearch), настройка CI/CD, Docker, работа с БД (PostgreSQL, ClickHouse, Kafka) и дашбордами Grafana.
Если остались вопросы, пишите в комментариях или в личку. Буду на связи!
Контакт для связи: @nstslis
VK Security | Буст этому каналу!
#вакансии
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13✍6😁6👏4❤1
VK Security Confab: Bug Bounty edition — уже 19 марта 🔥
Соберёмся офлайн, чтобы обсудить: как ИИ меняет поиск багов, зачем нужны агрегаторы багбаунти и где искать миллионы в цифровых продуктах.
В программе:
🔹 Пётр Уваров, VK: про LLM в багхантинге и триаже, а также к чему всё может прийти.
🔹 Заурбаев Заур, багхантер: как история одного спора привела к созданию платформы-агрегатора баг баунти программ.
🔹 Павел Никитин, VK: взгляд на большой цифровой продукт изнутри — MAX.
🔹 Всеволод Кокорин aka Slonser: доклад о применениях ИИ-агентов для багхантинга.
И это еще не всё!
Разыгрываем 10 мест на экскурсию по обновлённому офису VK🔥
Условия:
🤩 Подписка на канал
🤩 Регистрация на митап
🤩 Кнопка «Участвую!» под постом
Итоги — 17 марта.
👉 Зарегистрироваться
VK Security | Буст этому каналу
#confab #митап #bugbounty
Соберёмся офлайн, чтобы обсудить: как ИИ меняет поиск багов, зачем нужны агрегаторы багбаунти и где искать миллионы в цифровых продуктах.
В программе:
И это еще не всё!
Разыгрываем 10 мест на экскурсию по обновлённому офису VK
Условия:
🤩 Подписка на канал
🤩 Регистрация на митап
🤩 Кнопка «Участвую!» под постом
Итоги — 17 марта.
👉 Зарегистрироваться
VK Security | Буст этому каналу
#confab #митап #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13🤩4👍3❤1💔1
Всем привет! Давайте сегодня поговорим о важной теме — что делать, если другие open-source проекты не успели защититься и уже оказались взломаны? Как нам действовать в такой ситуации? У нас для этого в Security Gate появилось два сервиса, и сегодня я расскажу о них подробно.
👉 Первый — это SG Malware Protector. Важно понимать разницу между обычной уязвимостью и malware. Уязвимость — это ошибка в коде, которую можно использовать. Malware — это целенаправленное вредоносное действие. Его встраивают в зависимости для кражи данных, создания бэкдоров или шифрования файлов. Такая угроза может пройти весь путь от компьютера разработчика до продакшена. В случае, если вы используете проксирующий сервис – то malware зависимость останется в ней, даже после удаления из публичного регистра.
🔹 В этом году было несколько заметных атак. Одна из них — Shai Hulud, червь для кражи секретов. Злоумышленники скомпрометировали популярные библиотеки, встроив в их код вредоносный компонент червя, который с помощью сканера секретов TruffleHog извлекал секреты и публиковал их на GitHub. А если находил npm-токены — начинал выпускать новые версии легитимных пакетов, но уже с тем же вредоносом. Результат — экспоненциальный рост заражений: более 25 000 репозиториев за первые 72 часа, по 2000 новых заражений в час на пике и около 14 000 утекших секретов. Червя можно было даже отследить по маске названий репозиториев на GitHub, куда он всё складывал. В нашей практике был случай, когда через заражённый пакет скомпрометировались секреты сотрудника — пришлось проводить форензику, ротировать ключи.
🔹 Другой пример — компрометация популярных фронтенд-библиотек, таких как debug, chalk, ansi-styles. Через социальную инженерию злоумышленники получили доступ к аккаунту в npm и загрузили вредоносные версии. Эти пакеты крали криптокошельки из браузеров пользователей. Суммарная загрузка данных пакетов из NPM превышает 1 млрд в неделю.
🔹 Рост подобных атак составляет около 250% в год, поэтому нужны эффективные меры. Для этого и был создан SG Malware Protector. Он автоматически отслеживает новые источники информации о malware, находит угрозы в нашем Nexus и блокирует их. Также он ищет использование вредоносных зависимостей в проектах компании через инвентаризатор зависимостей Security Gate. Поддерживаются npm, Maven, PyPI, Go, NuGet.
Мы внедрили ежедневное дежурство для отслеживания новых угроз. Security Gate сканирует репозитории, а SG Malware Protector проверяет инвентаризатор и корпоративный Nexus. Мы уже подключили кастомный Nexus для RuStore.
В результате мы заблокировали 220 000 вредоносных зависимостей. Среднее количество новых malware-угроз в неделю — 202. Поиск по 70 000 фидам занимает менее часа по всем источникам.
Наши планы по развитию:
🔹 Карантин для новых пакетов: будем отстаивать свежие версии, так как среднее время выявления malware в пакете — около 5 дней.
🔹 Расширение покрытия: подключение большего количества Nexus-репозиториев.
🔹 Malware byte search: сигнатурный анализ самих артефактов.
🔹 Быстрая инвентаризация: В Security Gate она занимает пару дней, что для опасных зависимостей всё ещё долго.
И здесь мы плавно переходим ко второму сервису, который как раз помогает закрыть вопрос скорости и не пропускать угрозы на самых ранних этапах. О нём расскажу подробнее в следующем посте. Не переключайтесь!
VK Security | Буст этому каналу!
#технологии #appsec
#devsecops #VKSecurityGate
Мы внедрили ежедневное дежурство для отслеживания новых угроз. Security Gate сканирует репозитории, а SG Malware Protector проверяет инвентаризатор и корпоративный Nexus. Мы уже подключили кастомный Nexus для RuStore.
В результате мы заблокировали 220 000 вредоносных зависимостей. Среднее количество новых malware-угроз в неделю — 202. Поиск по 70 000 фидам занимает менее часа по всем источникам.
Наши планы по развитию:
И здесь мы плавно переходим ко второму сервису, который как раз помогает закрыть вопрос скорости и не пропускать угрозы на самых ранних этапах. О нём расскажу подробнее в следующем посте. Не переключайтесь!
VK Security | Буст этому каналу!
#технологии #appsec
#devsecops #VKSecurityGate
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤19
Привет! 👋
Март постепенно входит в свои права, радуя солнцем и тающим снегом, а багхантеры радуются приближению нашего первого в этом году митапа — VK Security Confab: Bug Bounty edition!
Уже в этот четверг встречаемся в московском офисе💙
Обратите внимание, если вы не нашли подтверждение приглашения во «Входящих», оно могло попасть в «Спам».
Регистрация закроется сегодня в 15:00.
👉 Зарегистрироваться
P.S. Не переключайтесь: сегодня в 12:00 опубликуем имена тех, кто выиграл экскурсию по офису. Если увидите себя в списке — ждите сообщение от нас в личке 😉
VK Security | Буст этому каналу
#confab #митап #bugbounty
Март постепенно входит в свои права, радуя солнцем и тающим снегом, а багхантеры радуются приближению нашего первого в этом году митапа — VK Security Confab: Bug Bounty edition!
Уже в этот четверг встречаемся в московском офисе
Обратите внимание, если вы не нашли подтверждение приглашения во «Входящих», оно могло попасть в «Спам».
Регистрация закроется сегодня в 15:00.
👉 Зарегистрироваться
P.S. Не переключайтесь: сегодня в 12:00 опубликуем имена тех, кто выиграл экскурсию по офису. Если увидите себя в списке — ждите сообщение от нас в личке 😉
VK Security | Буст этому каналу
#confab #митап #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍3🤝2💔1
InfoSec VK Hub
VK Security Confab: Bug Bounty edition — уже 19 марта 🔥 Соберёмся офлайн, чтобы обсудить: как ИИ меняет поиск багов, зачем нужны агрегаторы багбаунти и где искать миллионы в цифровых продуктах. В программе: 🔹 Пётр Уваров, VK: про LLM в багхантинге и триаже…
1. katok (@katok)
2. 🐯 (@seller_air)
3. Илья (@mihailovily)
4. RS (@ReliableSecurity)
5. (@chalkbutter)
6. 𝙫𝙖𝙣𝙚𝙨𝙝𝙞𝙠 (@vaneshik)
7. Jura S. (@devstout)
8. Constantine 🎲 (@DETROITP7AY3R5)
9. ia
10. Ekelen (@Ekelen)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
Продолжаем разговор об инструментах Security Gate. Если SG Malware Protector защищает нас от уже попавших в экосистему вредоносов, то второй сервис — SG Fast Scanner — создан для быстрого сканирования Merge Request’ов, чтобы не допустить появления новых проблем.
🔹 Ранее существовала следующая проблема: разработчик вливает merge request, содержащий, например, уязвимую зависимость. Мы узнаём об этом уже после того, как код попал в основную ветку, и начинается долгий цикл исправления — выпуск патча, новый MR. Схема работала, но создавала временной лаг и требовала эскалаций.
🔹 В настоящее время процесс выглядит иначе: инструмент SG Fast Scanner анализирует изменения в коде непосредственно в момент создания merge request. Он выявляет открытые секреты, уязвимые зависимости и различные проблемы через SAST, после чего автоматически оставляет в MR комментарий с предупреждением. Разработчик может исправить проблему сразу, не покидая интерфейс, благодаря чему в основную ветку попадает только безопасный код.
🔹 Визуально это выглядит следующим образом: в интерфейсе GitLab появляется комментарий с перечнем обнаруженных проблем — будь то SAST-предупреждения, секреты или уязвимые библиотеки. Интеграция выполняется через настройки интерфейса, без необходимости открывать консоль. Можно даже настроить блокировку вливания небезопасных MR.
Что мы получили в итоге?
🔹 Уязвимости находят и устраняют до попадания в основную ветку.
🔹 Разработчики видят проблемы в своём коде сразу.
🔹 Среднее время сканирования MR — чуть больше 21 секунды.
🔹 Подключение занимает до 10 минут целыми группами.
🔹 Реализован сбор новых зависимостей в единую систему инвентаризации для оперативного реагирования на критические уязвимости
🔹 Постоянное улучшение UX на основе обратной связи.
🔹 Уязвимости в зависимостях разделены на те, которые были в проекте до MR, и те, которые были добавлены или изменены в рамках данного MR.
А планы у нас ещё амбициознее:
▫️ интеграция с Security Gate для просмотра сработок прямо в интерфейсе;
▫️ плагин для IDE на основе того же API;
▫️ автофикс некоторых проблем с помощью LLM;
▫️ подключение всех репозиториев GitLab через глобальные хуки, что исключает необходимость настройки для каждого проекта в отдельности.
📱 Нам удалось решить проблему каскадных обновлений уязвимых зависимостей. Ранее нередко возникала ситуация, когда рекомендуемая для исправления версия сама содержала новые уязвимости. Из-за этого приходилось проходить повторный цикл обновлений — и так до тех пор, пока не находилась действительно безопасная версия.
Теперь Security Gate работает иначе. Инструмент собирает информацию обо всех известных уязвимостях и обо всех доступных версиях зависимости. На основе этих данных формируется конечный перечень безопасных версий, не имеющих уязвимостей.
VK Security | Буст этому каналу!
#технологии #appsec
#devsecops #VKSecurityGate
Что мы получили в итоге?
А планы у нас ещё амбициознее:
Теперь Security Gate работает иначе. Инструмент собирает информацию обо всех известных уязвимостях и обо всех доступных версиях зависимости. На основе этих данных формируется конечный перечень безопасных версий, не имеющих уязвимостей.
VK Security | Буст этому каналу!
#технологии #appsec
#devsecops #VKSecurityGate
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥3👍1🤝1
Пошумели на VK Security Confab: BB edition 🤟
Вчера было так: приходишь на митап, а вокруг — свои. Кто-то давно знаком, кто-то наконец встретился лично после долгого общения в чатиках, а кто-то только познакомился — но сразу нашёл общие темы для разговоров.
О чем говорили:
🔹 Петр Уваров открыл митап докладом о том, почему не стоит слепо доверять ИИ и как триажеры разбирают потоки сгенерированных отчетов. Добавил живых примеров и даже мемчиков для наглядности.
🔹 Заур Заубаев выступил с историей создания HackAdvisor — платформы, созданной хакером для хакеров, которая помогает обеим сторонам и борется за справедливость.
🔹 Павел Никитин поделился инсайтами, как системно смотреть на большой технологический продукт и не бояться искать там уязвимости.
🔹 Завершал митап Всеволод Кокорин — продолжил тему ИИ, рассказал, как AI стал незаменимым помощником в хантинге, поделился своим успешным опытом и забрал победу в голосовании за лучший доклад.
📎 Презентации спикеров
Мы получили больше 400 заявок на участие! В этот раз зал еле-еле вместил всех, кто пришёл. Вызов принят: в следующий раз будем искать площадку побольше 🙌
Спасибо, что пришли и сделали этот вечер таким невероятным! Было очень круто🔹
Расскажите, а вам как?👇
Вчера было так: приходишь на митап, а вокруг — свои. Кто-то давно знаком, кто-то наконец встретился лично после долгого общения в чатиках, а кто-то только познакомился — но сразу нашёл общие темы для разговоров.
О чем говорили:
📎 Презентации спикеров
Мы получили больше 400 заявок на участие! В этот раз зал еле-еле вместил всех, кто пришёл. Вызов принят: в следующий раз будем искать площадку побольше 🙌
Спасибо, что пришли и сделали этот вечер таким невероятным! Было очень круто
Расскажите, а вам как?👇
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤23🔥11🆒5👍2🎉2😁1