GH GambleHub

Boşluqları və yamaları tarayın

Qısa xülasə

Boşluqların idarə edilməsi davamlı bir dövrdür: aşkarlama → risk qiymətləndirilməsi → aradan qaldırılması (yamaq/miqrasiya/ ) → yoxlama → hesabat. Scan texnologiyası (SCA/SAST/DAST/IAST/Cloud/Container) siqnallar verir və kontekst (ekspozisiya, imtiyazlar, məlumatlar, EPSS, eksploytlar) prioriteti müəyyən edir. Məqsəd avtomatlaşdırma, kanarya hesablamaları və aydın SLO-lardan istifadə edərək iş dayandırmadan real riski azaltmaqdır.

Tarama taksonomiyası

SCA (Software Composition Analysis): asılılıq/lisenziyaların analizi; kitabxanalarda CVE aşkar, SBOM.
SAST: yığılmadan əvvəl öz kodunuzun statik analizi.
DAST: dinamik «qara qutu» işləyən xidmət qarşı.
IAST: proqram daxilində sensorlar (testlər zamanı) - daha az FP, daha dərin kontekst.
Container/OS Scan: şəkillər (base image, paket), hosts (core/paket/konfiq), CIS-bençmarklar.
Cloud/Infra (CSPM/KSPM): bulud miskonfiqləri/K8s (IAM, şəbəkələr, şifrələmə, ictimai baketlər).
Secrets Scan: anbarlarda və şəkillərdə açar/tokenlərin sızması.
Binary/Artifact Scan: toplanmış artefaktların yoxlanılması (imzalar, boşluqlar).

Risk modeli və prioritetləşdirmə

Qiymətləndirmə = CVSS v3. x (baza) × EPSS (istismar ehtimalı) × kontekst (ekspozisiya, məlumat, imtiyazlar, kompensasiya tədbirləri).

Kontekst amillər:
  • İnternet/daxili sərgilənməsi, WAF/mTLS/izolyasiya mövcudluğu.
  • Verilənlər: PII/maliyyə/sirləri.
  • Proses/qovşaq imtiyazları, lateral hərəkət potensialı.
  • İctimai eksployt/kütləvi hücumların mövcudluğu, komplayens tələbləri.

CVSS vektorunun nümunəsi: 'CVSS: 3. 1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H '→ tənqidi; xidmət ictimai və kompensasiya tədbirləri olmadan - P1.

SLO eşikləri (nümunə):
  • P1 (kritik, istismar): fix ≤ 48 saat
  • P2 (yüksək): 7 gün ≤ fiks.
  • P3 (orta): 30 gün ≤ fiks.
  • P4 (aşağı/məlumat) : planlı/backlog.

Boşluqların idarə edilməsi həyat dövrü

1. Aktivlərin inventarlaşdırılması: xidmətlər, şəkillər, klasterlər, ƏS, paketlər, asılılıqlar, versiyalar.
2. Qrafikə və hadisəyə görə tarama: kommitlər, yığımlar, deploy, gündəlik/həftəlik pəncərələr.
3. Triaj: deduplikasiya, normallaşma (CVE → Ticket), sahibinə mapping.
4. Kontekstə prioritetləşdirmə: CVSS/EPSS + ekspozisiya/məlumat.
5. Remediation: yamaq/asılılıq yeniləmə/ -hardning/virtual yamaq (WAF).
6. Doğrulama: təkrar tarama, testlər, kanarya.
7. Hesabat: bağlanış metrikası, zəiflik yaşı, SLO uyğunluğu.
8. Dərslər: şablonlarda fiks (base image, Helm chart), gələcək siyasət.

CI/CD-yə inteqrasiya

PR mərhələsində: SAST + SCA + gizli skan; «break build» P1/P2 və ya appruv tələbi ilə.
Bina mərhələsində: obraz taraması, SBOM (CycloneDX/SPDX) generasiyası, artefaktların imzası (cosign).
Deploy mərhələsində: Qəbul siyasəti (Admission) - 'critical/high' zəiflikləri olan və/SBOM imzasız şəkillərin qadağan edilməsi.
Postdeplay: DAST/IAST anti-staging və qismən production (təhlükəsiz profillər).

Nümunə: Renovate/Dependabot (fraqment)

json
{
"extends": ["config:recommended"],
"vulnerabilityAlerts": { "enabled": true },
"packageRules": [
{ "matchUpdateTypes": ["minor","patch"], "automerge": true },
{ "matchManagers": ["dockerfile"], "enabled": true }
]
}

Qəbul siyasəti (Kubernetes, OPA/Gatekeeper - sadələşdirilmiş)

rego package policy.vuln

deny[msg] {
input.image.vuln.critical > 0 msg:= sprintf("Image %s has critical vulns", [input.image.name])
}

deny[msg] {
input.image.sbom == false msg:= sprintf("Image %s without SBOM", [input.image.name])
}

Patch Management (OS, konteynerlər, K8s)

ОС (Linux/Windows)

Patch window: P1 üçün müntəzəm pəncərələr + fövqəladə fövqəladə.
Strategiya: əvvəlcə 5-10% düyün, sonra dalğalar.
Avtomatik çevirmə: Ansible/WSUS/Intune/SSM; asılılığın yoxlanılması və geri qaytarılması.
Kernel Live Patching (mümkün olduqda) fasiləni minimuma endirmək üçün.
Restart xidmətləri: K8s nod, graceful shutdown üçün drain/cordon idarə olunur.

Konteynerlər

Immutable-yanaşma: heç bir «apt upgrade» ranttime; yenilənmiş baza ilə görüntünü yenidən seçin.
Əsas şəkillər: mütəmadi olaraq golden images (Alpine/Debian/Distroless) yeniləmək, versiyaları (digest) düzəltmək.
Çox mərhələli montajlar: səthi minimuma endirmək (build-tools aradan qaldırılması).
Deploydan əvvəl yoxlama: kritik CVE ilə görüntü bloku.

Kubernetes/Service Mesh

Control Plane: vaxtında minor relizlər, CVE k8s/etcd/containerd bağlanması.
Node OS/Container runtime: planlı yeniləmələr, versiyaların uyğunluğu.
Mesh/Ingress: Envoy/Istio/NGINX versiyaları kritikdir (tez-tez parserlərdə CVE/NTTR3).
Admission Policies: qadağa ': latest', imza tələbi, zəiflik limitləri.

Virtual yamalar və kompensasiya tədbirləri

Yamaq tez mümkün olmadıqda:
  • WAF/WAAP: Xüsusi end nöqtəsi üçün imza/müsbət model.
  • Fichflags: həssas funksionallığı söndürmək.
  • Şəbəkə ACL/mTLS/IP allow-list: həssas xidmətə girişi məhdudlaşdırın.
  • -hardning: aşağı hüquqlar, sandbox, read-only FS, təhlükəli modulları söndürmək.
  • TTL tokenlərinin/açarlarının azaldılması, sirlərin rotasiyası.

İstisnaların idarə edilməsi (Risk Acceptance)

İstisna: əsaslandırma, kompensasiya tədbirləri, aradan qaldırılması üçün SLA, yenidən baxılma tarixi olan bir biletlə rəsmiləşdirilir.
Hesabatda «müvəqqəti risk qəbulu» kimi qeyd edin və aylıq icmala daxil edin.

Müşahidə və metrika

Texniki:
  • Mean Time To Patch (MTTP) по P1/P2/P3.
  • Skanerlə əhatə olunmuş aktivlərin payı (%).
  • Açıq boşluqların yaşı (p50/p90), backlog burn-down.
  • SBOM və imza ilə görüntü faizi.
Biznes/SLO:
  • Bağlanış müddətinə görə SLO-nun icrası (məsələn, ≥ 95% P1 ≤ 48 saat).
  • Aptime təsiri (yamalar zamanı hadisələrin sayı).
  • Eyni CVE-nin təkrar aşkarlanması (şablonlarda fiksin keyfiyyəti).

Playbook (qısaldılmış)

P1: İctimai xidmətdə kritik RCE

1. WAF qaydasını aktivləşdirin/virt patch.
2. Icazəsiz mənbələrə girişi bloklamaq (icazə verildikdə).
3. Təcili surət yenidən montaj/patch OS, kanarya → dalğalar.
4. Təkrar DAST/Telemetriya testi, səhv monitorinqi.
5. Post-insident: Əsas/Helm chart şəkilindəki fiksi düzəldin, CI-yə test əlavə edin.

Secret leak (avtorizasiya):

1. Sirlərin/açarların dərhal dəyişdirilməsi, tokenlərin geri çağırılması.

2. İstifadə izlərinin axtarışı, end nöqtələrinin məhdudlaşdırılması.

3. Repo/Secret Image Scan, pre-commit scanner tətbiqi.

Artefaktların nümunələri

1) «isti» zəifliklər haqqında SQL hesabatı

sql
SELECT service, cve, cvss, epss, exposed, has_exploit, created_at,
PRIORITY(exposed, has_exploit, cvss, epss) AS prio
FROM vuln_findings
WHERE status = 'open' AND (cvss >= 8.0 OR has_exploit = true)
ORDER BY prio DESC, created_at ASC;

2) Admission Siyasəti (Kyverno, kritik zəifliklər bloku)

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata:
name: block-critical-vulns spec:
validationFailureAction: Enforce rules:
- name: image-must-have-no-critical match: { resources: { kinds: ["Pod"] } }
validate:
message: "Image contains critical vulnerabilities"
pattern:
metadata:
annotations:
vuln.scanner/critical: "0"

3) SBOM Generation və imza (Makefile fraqment)

make sbom:
cyclonedx create --output sbom.json sign:
cosign sign --key cosign.key $(IMAGE_DIGEST)

iGaming/Fintech üçün xüsusiyyətlər

Yüksək risk zonaları: ödəniş şlüzləri, ödəniş backofisi, antifrod, PII/PAN emalı - yamalar prioritet P1/P2.
Xidmət pəncərələri: turnirlər/promosyonlar, öncədən yığılmış caches, aşağı yüklü bölgələrdə kanaryalar ilə uyğunlaşma.
Tənzimləyici (PCI DSS/GDPR): zəifliklərin aradan qaldırılması vaxtı, sübut (ekran görüntüləri/hesabatlar), CHD zonasının seqmentləşdirilməsi, şifrələmə.
Partnyor inteqrasiyası: vebhuklarda version SDK/müştərilər, mandat SCA və HMAC/mTLS tələb.

Tipik səhvlər

«Hər şeyi skanerləyin - heç bir şeyi təmir edin»: sahibləri və SLO yoxdur.
Yalnız kontekstsiz CVSS-ə diqqət yetirin (ekspozisiya, EPSS, məlumatlar).
Konteynerin kirayəsində görüntünün yenidən toplanması əvəzinə yama.
Kanaryaların/rollback planlarının olmaması.
Buludlar/K8s miskonfiqləri (tez-tez CVE-dən daha kritik).
Heç bir SBOM/imza - zəif izləmə (supply chain).

Yol xəritəsi

1. Aktivlərin və sahiblərin inventarlaşdırılması; xidmətlərin/şəkillərin vahid reyestri.
2. Skaner yığını: SCA/SAST/DAST/Konteyner/Cloud + secret-scan; CI/CD inteqrasiya.
3. SLO və prioritetləşdirmə siyasəti: CVSS + EPSS + kontekst; biletlərin şablonları.
4. Admission/Policy-as-Code: kritik zəifliklərin qadağan edilməsi, SBOM/imza tələbi.
5. Patch prosesləri: pəncərələr, kanaryalar, geri dönüşlər; minor/patch versiyaları üçün avtopilotlar.
6. Hesabat və metrika: MTTP, əhatə dairəsi, yaş; həftəlik risk baxış.
7. Müntəzəm təlimlər: kritik CVE simulyasiyası, playbook yoxlama və rollback.

Yekun

Yetkin boşluqların idarə edilməsi birdəfəlik «təmizləmə» deyil, bir prosesdir: avtomatik aşkarlama, kontekstdə prioritetləşdirmə, kanaryalar/rollback, prod girişində policy-as-code və şəffaf icra metrikləri vasitəsilə təmiz yamaqlar. Əsas şəkillərdə və şablonlarda fiksləri düzəltməklə, təkrarlanma riskini azaldır və hücum səthini davamlı nəzarət altında saxlayırsınız.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.