GH GambleHub

Gowşaklygy we ýamalary gözden geçirmek

Gysgaça gysgaça

Gowşaklygy dolandyrmak - bu üznüksiz sikl: tapmak → töwekgelçiligi bahalandyrmak → ýok etmek (patch/migrasiýa/ ) → barlag → hasabat. Skanirlemek tehnologiýasy (SCA/SAST/DAST/IAST/Cloud/Container) signal berýär, kontekst bolsa (eksponasiýa, artykmaçlyklar, maglumatlar, EPSS, ekspluatasiýa) ileri tutulýar. Maksat, awtomatlaşdyrma, kanareýa hasaplamalary we anyk SLO-lary ulanyp, iş kesilmezden hakyky töwekgelçiligi azaltmak.

Skaner taksonomiýasy

SCA (Software Composition Analysis): endikleriň/ygtyýarnamalaryň seljermesi; kitaphanalarda CVE tapmak, SBOM.
SAST: ýygnalmazdan ozal öz kodunyň statiki derňewi.
DAST: işleýän hyzmatyň garşysyna dinamiki "gara guty".
IAST: programmanyň içindäki datçikler (synaglar wagtynda) - az FP, kontekstden has çuň.
Container/OS Scan: şekiller (base image, paketler), hostlar (ýadro/paketler/konfigalar), CIS-bençmarklar.
Cloud/Infra (CSPM/KSPM): Bulutlar/K8s (IAM, torlar, şifrlemek, köpçülige açyk baketler).
Secrets Scan: ammarlarda we şekillerde açar/bellikleriň syzmagy.
Binary/Artifact Scan: toplanan artefaktlary barlamak (gollar, gowşaklyklar).

Töwekgelçilik-model we ileri tutulýan

Baha = CVSS v3. x (maglumat bazasy) × EPSS (ekspluatasiýa ähtimallygy) × kontekst (görkezilişi, maglumatlary, artykmaçlyklary, öwezini dolmak çäreleri).

Kontekst faktorlary:
  • Internetde/içerde görkezilmegi, WAF/mTLS/izolýasiýa bolmagy.
  • Maglumatlar: PII/maliýe/syrlar.
  • Prosesiň/düwüniň artykmaçlyklary, lateral hereket-potensial.
  • Köpçüligiň ekspluatasiýasynyň/köpçülikleýin hüjümleriň bolmagy, komplayensiň talaplary.

CVSS-wektoryň mysaly: 'CVSS: 3. 1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H '→ tankyt; eger hyzmat köpçülige açyk bolsa we öwezini dolmak çäreleri görülmese - P1.

SLO bosagalary (mysal):
  • P1 (kritiki, peýdalanylýan): fiks ≤ 48 sagat.
  • P2 (ýokary): fiks ≤ 7 gün.
  • P3 (ortaça): fiks ≤ 30 gün.
  • P4 (pes/maglumat) : meýilleşdirilen/belgi boýunça.

Gowşaklygy dolandyrmagyň durmuş sikli

1. Aktiwleriň inventarizasiýasy: hyzmatlar, şekiller, klasterler, OS, bukjalar, garaşlylyk, wersiýalar.
2. Meýilnama boýunça we waka boýunça skanirlemek: kommitalar, gurnama, deploý, gündelik/hepdelik penjireler.
3. Triaj: de-duplikasiýa, kadalaşma (CVE → Ticket), eýesine mapping.
4. Kontekst boýunça ileri tutulýan ugur: CVSS/EPSS + sergi/maglumatlar.
5. Remediasiýa: ýama/garaşlylygy täzelemek/ -hardning/wirtual ýama (WAF).
6. Tassyklamak: gaýtadan gözden geçirmek, synaglar, kanareýa.
7. Hasabat: ýapylyş metrikleri, gowşak ýaşy, SLO laýyklygy.
8. Sapaklar: şablonlarda fiks (base image, Helm chart), geljek üçin syýasat.

CI/CD integrasiýasy

PR tapgyrynda: SAST + SCA + gizlin-skan; "break build" P1/P2 ýa-da appruwyň talaby boýunça.
Build tapgyrynda: şekillendiriş skany, SBOM (CycloneDX/SPDX), artefaktlaryň goly (cosign).
Deploý tapgyrynda: Kabul etmek syýasaty (Admission) - 'critical/high' gowşak we/SBOM goly bolmadyk şekilleri gadagan etmek.
Postdeploy: DAST/IAST we bölekleýin önümçilige garşy (ygtybarly profiller).

Mysal: Renovate/Dependabot (bölek)

json
{
"extends": ["config:recommended"],
"vulnerabilityAlerts": { "enabled": true },
"packageRules": [
{ "matchUpdateTypes": ["minor","patch"], "automerge": true },
{ "matchManagers": ["dockerfile"], "enabled": true }
]
}

Giriş syýasaty (Kubernetes, OPA/Gatekeeper - ýönekeýleşdirilen)

rego package policy.vuln

deny[msg] {
input.image.vuln.critical > 0 msg:= sprintf("Image %s has critical vulns", [input.image.name])
}

deny[msg] {
input.image.sbom == false msg:= sprintf("Image %s without SBOM", [input.image.name])
}

Patch-management (OS, konteýnerler, K8s)

ОС (Linux/Windows)

Patch window: P1 üçin yzygiderli penjireler + adatdan daşary gyssagly penjireler.
Strategiýa: ilki 5-10% düwün, soň tolkun.
Awto öwrülişik: Ansible/WSUS/Intune/SSM; garaşlylygy we yza gaýdyp barmak.
Iş wagtyny azaltmak üçin Kernel Live Patching (mümkin boldugyça).
Restart hyzmatlary: K8s nod, graceful shutdown üçin dolandyrylýan drain/cordon.

Konteýnerler

Immutable-çemeleşme: kärendesinde "apt upgrade" däl; täzelenen maglumatlar bazasy bilen şekili täzeden düzmek.
Esasy şekiller: golden images (Alpine/Debian/Distroless), wersiýalary (digest) yzygiderli täzelemek.
Köp basgançakly gurnama: üstüni minimallaşdyrmak (build-tools aýyrmak).
Deplodan öň barlamak: möhüm CVE bolan şekiller blogy.

Kubernetes/Service Mesh

Control Plane: öz wagtynda minor goýberilmegi, CVE k8s/etcd/containerd ýapylmagy.
Node OS/Container runtime: meýilleşdirilen täzelenmeler, wersiýalaryň laýyklygy.
Mesh/Ingress: Envoy/Istio/NGINX wersiýalary gaty möhüm (köplenç parserlerde CVE/NTTR3).
Admission Policies: gadaganlyk ': latest', gol talap, gowşaklyk çäkleri.

Wirtual ýamalar we öwezini dolmak çäreleri

Patch çalt mümkin bolmadyk ýagdaýynda:
  • WAF/WAAP: belli bir endpoint üçin oňyn model.
  • Fichflags: gowşak funksiýany öçürmek.
  • ACL/mTLS/IP allow-list: gowşak hyzmatyň elýeterliligini çäklendirmek.
  • -hardning: hukuklaryň peselmegi, sandbox, read-only FS, howply modullaryň öçürilmegi.
  • TTL bellikleriniň/açarlarynyň gysgaldylmagy, syrlaryň aýlanmagy.

Kadadan çykma dolandyryşy (Risk Acceptance)

Kadadan çykma: esaslandyryş, öwezini dolmak çäreleri, SLA-ny ýok etmek üçin, gaýtadan seredilen senesi bilen tiket bilen resmileşdirilýär.
Hasabatda "töwekgelçiligi wagtlaýyn kabul etmek" diýip belläň we her aýda gözden geçirilişe goşuň.

Syn edilişi we ölçegleri

Tehniki:
  • Mean Time To Patch (MTTP) по P1/P2/P3.
  • Skanirlemek bilen örtülen aktiwleriň paýy (%).
  • Açyk gowşaklyk ýaşy (p50/p90), backlog burn-down.
  • SBOM we goly bolan şekilleriň göterimi.
Iş/SLO:
  • SLO ýapylyş möhletleri boýunça ýerine ýetirilýär (mysal üçin, 95% P1 ≥ 48 s ≤).
  • Aptaime täsiri (patçlarda hadysalaryň sany).
  • Şol bir CVE-leri gaýtadan kesgitlemek (şablonlarda fiksiň hili).

Pleybuklar (gysgaça)

P1: Jemgyýetçilik hyzmatynda möhüm RCE

1. WAF düzgünini/wirt patch.
2. Rugsat berilmedik çeşmelere girmegi bökdäň (rugsat berilse).
3. Suraty gyssagly gaýtadan ýygnamak/OS patch, kanareýa → tolkunlar.
4. DAST/Telemetriýany barlamak, ýalňyşlyklara gözegçilik etmek.
5. Post-waka: Esasy/Helm diagrammasyndaky fiksi düzüň, CI-e synag goşuň.

Secret leak (ygtyýarnama):

1. Syrlary/açarlary haýal etmän aýlamak, bellikleri yzyna almak.

2. Ulanyş yzlaryny gözlemek, endpointleri çäklendirmek.

3. Repo/şekilleriň syrlary üçin skanerleri, pre-commit skanerini ornaşdyrmak.

Artefaktlaryň mysallary

1) "Gyzgyn" gowşaklyklar boýunça SQL-hasabat

sql
SELECT service, cve, cvss, epss, exposed, has_exploit, created_at,
PRIORITY(exposed, has_exploit, cvss, epss) AS prio
FROM vuln_findings
WHERE status = 'open' AND (cvss >= 8.0 OR has_exploit = true)
ORDER BY prio DESC, created_at ASC;

2) Admission syýasaty (Kyverno, critical gowşaklyk bloky)

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata:
name: block-critical-vulns spec:
validationFailureAction: Enforce rules:
- name: image-must-have-no-critical match: { resources: { kinds: ["Pod"] } }
validate:
message: "Image contains critical vulnerabilities"
pattern:
metadata:
annotations:
vuln.scanner/critical: "0"

3) SBOM öndürmek we gol (Makefile bölek)

make sbom:
cyclonedx create --output sbom.json sign:
cosign sign --key cosign.key $(IMAGE_DIGEST)

iGaming/fintech üçin aýratynlyklar

Töwekgelçiligiň ýokary zolaklary: töleg şlýuzlary, tölegleriň ekofisi, antifrod, PII/PAN-lary gaýtadan işlemek - ýamalar ileri tutulýar P1/P2.
Hyzmat penjireleri: ýaryşlar/aksiýalar bilen utgaşdyrmak, az ýüklenen sebitlerdäki öň warm keşleri, kanareýkalary.
Düzgünleşdiriji (PCI DSS/GDPR): gowşak goralanlyklary ýok etmegiň möhletleri, subutnamalar (ekran suratlary/hasabatlar), CHD zonasynyň segmentasiýasy, şifrlemek.
Hyzmatdaş integrasiýalary: Webhuklarda SDK/müşderileri, mandatly SCA we HMAC/mTLS talap etmek.

Adaty ýalňyşlyklar

"Hemme zady skanirleýäris - hiç zady bejerýäris": eýeleri we SLO ýok.
Diňe kontekstsiz CVSS-e ünsi jemläň (görkezilişi, EPSS, maglumatlar).
Konteýneriň kärendesindäki ýama, şekili gaýtadan ýygnamagyň ýerine.
Kanareýalar/rollback meýilnamalarynyň ýoklugy.
Bulutlar/K8s (köplenç CVE-den has möhüm).
SBOM/gol ýok - yzarlamak gowşak (supply chain).

Durmuşa geçirmegiň ýol kartasy

1. Aktiwleri we eýeleri hasaba almak; hyzmatlaryň/şekilleriň ýeke-täk sanawy.
2. Skaner yığını: SCA/SAST/DAST/Konteýner/Cloud + secret-scan; CI/CD integrasiýasy.
3. SLO we ileri tutulýan syýasatlar: CVSS + EPSS + kontekst; bilet şablonlary.
4. Admission/Policy-as-Code: möhüm gowşaklygy gadagan etmek, SBOM/gollary talap etmek.
5. Patch-prosesler: penjireler, kanareýkalar, gaýdyşlar; minor/patch-wersiýalary üçin awtopilotlar.
6. Hasabat we ölçegler: MTTP, örtük, ýaş; töwekgelçilige hepdelik syn.
7. Yzygiderli maşklar: möhüm CVE simulýasiýasy, playbuklary barlamak we rollback.

Jemi

Gowşaklygy doly dolandyrmak bir gezeklik "arassalamak" däl-de, bir prosesdir: awtomatiki ýüze çykarmak, kontekstde ileri tutulmak, kanareýkalar/rollback, önümiň girelgesindäki policy-as-code we ýerine ýetirişiň aç-açan metrikleri arkaly üznüksiz ýamalar. Esasy şekillerde we şablonlarda fiksleri berkitmek bilen, gaýtalanmak howpuny peseldýärsiňiz we hüjümiň ýüzüni yzygiderli gözegçilikde saklaýarsyňyz.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.