Trivy: вредные советы по скрытию уязвимостей

На Хабре опубликована статья Анастасии Березовской, инженера по безопасности процессов разработки приложений в Swordfish Security. Анастасия расскажет о Trivy, сканер внедрен в компаниях даже с низким уровнем зрелости ИБ. Определенные выводы можно сделать после внимательного изучения раздела “Coverage” из официальной документации сканера. Это наводит на мысль: “Очевидно, что Trivy сканирует конфигурационные файлы установщиков и пакетных менеджеров”. Но, как часто подобное бывает в математике, очевидное совсем не очевидно и требует доказательств. Именно поэтому, как выразился один из наших коллег, мы «зареверсим опенсурс» и попытаемся разобраться, как в точности работает сканер Trivy. Читать статью.
-
- 18 марта
DevSecOps в «облаках»: эксперт Swordfish Security выступил на митапе RCCPA и Nubes
-
- 10 марта
Индустриальный переход на отечественное безопасное ПО
-
- 06 марта
Спрос на разработчиков в России в сфере кибербезопасности в ИИ вырос в шесть раз в 2024 году
-
- 03 марта
Хук не по правилам: может ли компания ответить на попытку взломать ее инфраструктуру?
-
- 17 февраля
Болевая точка: типичные уязвимости API
-
- 11 февраля
Безопасная разработка. Эволюция по ГОСТУ