tg-me.com/sec_devops/596
Last Update:
Siren by Open Source Security Foundation (OpenSSF)
Те, кто давно подписан на канал, помнят проект OpenSSF, о котором здесь неоднократно писалось. Наши любимые проекты – это Scorecard и Insights. Недавно они выпустили новый мини-проект Siren, Open Source Threat Intelligence. Это рассылка писем о последних техниках и IOC, связанных с атаками на open-source проекты. Инструмент появился логично спустя месяц после атак на xz-utils.
По словам OpenSSF, эффективность таких TI ресурсов, живущих за счет сообщества, подтверждается проектами oss-security mailing list и (linux)-distros. И понятно почему так происходит - это ключевая фича сообществ и open source, про которую написана замечательная "Социальная Архитектура: Создание онлайн сообществ" П. Хинченса (русский перевод доступен по ссылке: https://irus.github.io/social-architecture-ru/ ).
Интересно, что именно будет попадать в данную рассылку и какая будет частота оповещений? Подписались, посмотрим. Тот же DataLog, например, собрал только датасет из 1500 вредоносных PyPI и NPM пакетов меньше чем за 2 года с помощью своего open-source инструмента GuardGod. Они же недавно писали про вредоносные PyPI пакеты, которые атаковали MacOS машины месяц назад...
#supplychain
BY Security Wine (бывший - DevSecOps Wine)
Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283
Share with your friend now:
tg-me.com/sec_devops/596