DefectDojo — Платформа управления уязвимостями и DevSecOps

DefectDojo (django-DefectDojo) — это open-source решение для управления безопасностью приложений. Платформа объединяет сканеры, трекинг уязвимостей, автоматизацию, отчёты и аналитику на одной панели. Помогает командам DevSecOps, исследователям и инженерам безопасности управлять рисками, устранять дублирования и ускорять ответ на угрозы.

⚡️ Основные возможности DefectDojo
➡️ Импорт результатов от множества сканеров (SAST, DAST, SCA и др.).
➡️ Объединение и устранение дублирующихся уязвимостей (deduplication) и автоматическое подавление ложных срабатываний.
➡️ Модель «Продукт / Взаимодействие / Engagement» — позволяет отслеживать проект, период сканирования, сравнивать состояния, создавать отчёты по проектам и версиям.
➡️ Интеграции: с более чем 180 инструментами и платформами, включая Jira, репозитории кода, инструменты сканирования, LDAP, OAuth2/SAML и др.
➡️ Отчёты, метрики и визуализация — дашборды, метрики тенденций, отчёты для различных заинтересованных сторон.

⬇️ Установка и запуск
Клонируйте репозиторий:

git clone https://github.com/DefectDojo/django-DefectDojo.git
cd django-DefectDojo

Запуск через Docker Compose (предпочтительный вариант):

docker compose build
docker compose up -d

Администраторские учётные данные автоматически создаются через инициализатор.

⚙️ Преимущества DefectDojo
⏺️ Снижает ручную работу, помогая автоматизировать импорт, triage, отчёты.
⏺️ Централизует управление уязвимостями, предотвращает дубли и «шум» от одинаковых ошибок в разных сканах.
⏺️ Подходит как для малых команд, так и для крупных организаций, за счёт масштабируемости и множества интеграций.
⏺️ Прозрачность и видимость: дашборды, отчёты, метрики помогают донести состояние безопасности до руководства.

⚠️ Linux в опасности!

🐧 Агентство по кибербезопасности и защите инфраструктуры США (CISA) 29.09.2025 добавило в свой каталог (KEV) критическую уязвимость в Unix-системах, влияющую на утилиту командной строки Sudo, сославшись на свидетельства её активной эксплуатации.

❗️ Уязвимость имеет идентификатор CVE-2025-32463 с оценкой CVSS: 9.3, которая затрагивает версии Sudo до 1.9.17p1. Обнаружил её исследователь из Stratascale в июле 2025 года.

💻 По заявлению CISA, уязвимость в sudo позволяет злоумышленнику, получивший локальный доступ, использовать опцию sudo -R (—chroot) для запуска произвольных команд от имени пользователя root, даже если они не указаны в файле sudoers.

🛡 На данный момент официального патча, закрывающий данную уязвимость, нет, поэтому рекомендуются принять соответствующие меры для защиты своих сетей.

❓ А как вы планируете защищаться в данном случае?

Checkov: Статический анализатор безопасности IaC

Checkov — фреймворк с открытым исходным кодом от компании Bridgecrew, предназначенный для сканирования облачной инфраструктуры, описанной в виде кода, на предмет наличия ошибок конфигурации. Он анализирует ваши шаблоны Terraform, CloudFormation, Kubernetes манифесты, конфигурации Helm и другие файлы IaC, проверяя их на соответствие сотням предопределенных политик. Эти политики основаны на практиках от облачных провайдеров (AWS, Azure, GCP) и стандартов безопасности (CIS Benchmarks).

🔜 Что умеет?
- Находит уязвимости до того, как инфраструктура будет развернута, следуя принципу «Shift Left» в безопасности.
- Поддерживает все основные облачные платформы.
- Работает с Terraform, CloudFormation, Kubernetes, ARM Templates, Dockerfile и многими другими.
- Позволяет создавать собственные пользовательские политики на простом языке Python.

🟣Установка
Самый быстрый способ — использовать менеджер пакетов pipх.

pipx install checkov

🟣Проверка

checkov -h

🟣Базовое использование
У вас есть директория с файлами Terraform (.tf). Просканируем ее:

checkov -d /path/to/your/terraform/code

Checkov рекурсивно просканирует все файлы в указанной директории, определит их тип и запустит соответствующие проверки.

🟣Сканирование конкретного файла
Проверим конкретный файл, например, манифест Kubernetes:

checkov -f deployment.yaml

🟣Интеграция в CI/CD
Сила Checkov раскрывается при его интеграции в конвейер непрерывной интеграции и доставки (CI/CD). Например, в GitHub Actions это можно сделать так:

name: "Security Scan"
on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

jobs:
  checkov:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Run Checkov
        uses: bridgecrewio/checkov-action@master
        with:
          directory: .
          framework: terraform  #можно указать конкретный фреймворк

Это гарантирует, что каждый

Pull Request

будет автоматически проверен на соответствие стандартам безопасности.

🎃Друзья, напоминаем, на каких курсах начинается обучение в октябре, выбирайте направление и присоединяйтесь!🟧

Старт 2 октября:
🟧 Курс «Тестирование Веб-приложений на проникновение (WAPT)» — отработаем полный цикл тестирования: от разведки до пост-эксплуатации.

Старт 9 октября:
🟧 Курс «Основы программирования на Python» — овладеем самым попуярным ЯП за 2 месяца.

Старт 13 октября:
🟧Курс «Цифровая криминалистика и реагирование на инциденты ОС Linux (DFIR)» — ищем и анализируем следы кибервзломов (анализ артефактов, работа с opensource инструментами).

Старт 20 октября:
🟧 Курс «Специалист центра мониторинга инцидентов информационной безопасности (SOC)» — освоите полный цикл работы: от обнаружения киберугроз до расследования инцидентов.
🟧Курс «OSINT: технология боевой разведки» — освоим профессиональный поиск информации и анализ данные из открытых источников.
🟧 Курс «Анализ защищенности приложений Андроид» — изучим этапы создания мобильного приложения, приемы реверса и возможные уязвимости.

🟧Запишитесь у нашего менеджера @CodebyManagerBot

Или узнайте подробности и программы курсов — на нашем 🟧сайт

🍺 Пиво в Японии - В С Ё!

🇯🇵 Хакеры остановили производство на крупнейшем пивоваренном заводе в Японии.

🏭 Крупнейший производитель пива в Японии Asahi Group заявил, что приостановил заказы и доставку продукции в стране после того, как кибератака привела к остановке его производственных операций.

❌ По данным информационного агентства, компания, выпускающая пиво Asahi Super Dry Beer и виски Nikka, а также ряд безалкогольных напитков, заявила, что не может предсказать, когда возобновится производство.

❗️ Об атаке впервые стало известно 29.09, когда компания Asahi опубликовала заявление, в котором говорилось, что операции по заказу и доставке в ее японских компаниях, а также услуги колл-центра были приостановлены «из-за сбоя системы»

😡 Группа не раскрыла возможную личность злоумышленника, но заявила, что кибератака не привела к утечке данных клиентов.