Mentionsy
Bezpieczny Kod Podcast
Bezpieczny Kod Podcast
31.01.2025 06:00

Semgrep vs Szlachetni OpenGrepiarze. Google kradnie hasła pracowników. - Bezpieczny Kod Podcast #14

🔥 Styczniowy Bezpieczny Kod Podcast już dostępny! 🔥

Tym razem zanurzamy się w świat dramy i intryg, demaskując kontrowersyjne zagrania w branży bezpieczeństwa IT. 😈Dowiesz się:➡️ Dlaczego Semgrep wstrząsnął rynkiem, zmieniając licencję i zostawiając niektórych na lodzie? 🥶   ➡️ Czy OpenGrep to szlachetna inicjatywa, czy może co innego? 🤑   ➡️ Jak Google przez 15 lat hakował swoich pracowników i co z tego wynikło? 🤯   ➡️ Dlaczego większość szkoleń z cyberbezpieczeństwa nie ochroni Cię przed phishingiem? 🤷‍♂️   A to nie wszystko! Oprócz solidnej dawki wiedzy, Andrzej i Krzysztof gwarantują też sporą dawkę humoru i ciętych ripost. Sub. Like. Dzwoneczek. YT i inne takie. 🔔#cyberbezpieczenstwo #Semgrep #OpenGrep #LivingTradition #szkolenia #podcast #drama #intrygi #bezpieczenstwoIT #Google #hacking #szkolenia #strataCzasu 📌 Sprawdź też: Strona firmowa - https://bezpiecznykod.pl Szkolenie online ABCD - https://abcdevsecops.pl Szkolenie online OTWA - https://ofensywnetestowanie.pl

📖 Rozdziały:

- Intro

- Semgrep Zamyka Furtkę

- Podejście Opengrepowców (Aikido?)

- Fakap Opengrepa

- Google Kradnie Hasła Pracowników

- Chaos Engineering i Antifragility

- Podatności NIE MAJĄ znaczenia

- Skupcie Się Na Jednym

- Szkolenia Nie Chronią Przed Phishingiem

- Outro 🔗 Referencje: https://bughunters.google.com/blog/6355265783201792/the-great-google-password-heist-15-years-of-hacking-passwords-to-test-our-security-and-build-team-culture 🔔 Subskrybuj kanał: https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1 ❤️ Dziękujemy za Twoją uwagę! © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. #cybersecurity #appsec #software #softwareengineer #supplychain #programowanie #bezpieczeństwo #devops #devsecops #Cyberbezpieczeństwo #AI #TechTalk #AppSec #PodcastIT #BezpieczeństwoIT #ExpertInsights #QA #TestowanieOprogramowania #IT

Google Semgrepem Semgrepa Aikido Living Tradition Michał Zalewski Semgrep Sgrep Semgrepa PIP Nation States Doomsday Artiwicus Forgery Easy Peasy Lemon Squeezy DAST

Rozdziały (12)

1. Wprowadzenie i zmiany w sezonie

Krzysztof i Andrzej przedstawiają nowy sezon podcastu i opowiadają o osiągnięciach w 2024 roku.

2. Semgrep i zmiana licencji

Krzysztof opisuje sytuację z Semgrepem i jego zmianą licencji, a Andrzej analizuje sytuację z perspektywy architekta.

3. Konkurencja i OpenGrepa

Krzysztof opowiada o konsekwencjach zmiany Semgrep i powstaniu OpenGrepa.

4. Aikido i open source

Krzysztof porusza temat firmy Aikido i korzystania z open source, a Andrzej analizuje sytuację z perspektywy etycznej.

5. OpenGrepa i konflikty

Krzysztof i Andrzej analizują sytuację z OpenGrepa i konflikty między firmami.

6. Incident z paczką Python

Krzysztof opisuje incident z paczką Python i Google's Living Tradition.

7. Living Tradition i Google

Rozmowa kontynuuje omówienie historii Living Tradition w Google, jej wpływ na bezpieczeństwo systemów oraz relacje z inżynierami. Wspomniano o antykruchości i jej zastosowaniu w Google.

8. Antykruchość i chaos engineering

Diskurs przenosi się na antykruchość i chaos engineering, omawiając ich zastosowanie w systemach i organizacjach. Podkreślono, że systemy muszą się ulepszać po przeżyciu ataków.

9. Czarny Łabędź i bezpieczeństwo

Rozmowa kontynuuje omówienie czarnego łabędzia, anegdot i strategii w programach bug bounty. Podkreślono znaczenie trzeźwego podejścia do bezpieczeństwa i analizy anegdot.

10. Audyt i komentarze na Reddity

Korepetytor opowiada o swojej anegdotce z audytu ClamAV i komentarzach na Reddity.

11. Badanie na temat efektywności szkoleń antyphishingowych

Korepetytor omawia badanie naukowe na temat efektywności szkoleń antyphishingowych w dużych organizacjach.

12. Krytyka szkoleń i świadomości

Korepetytor krytykuje efekty szkoleń i świadomości w kontekście bezpieczeństwa informacji.

Szukaj w treści odcinka

Wyczyść
Znaleziono 15 wyników dla "Semgrepa"

I tak naprawdę okazało się, że branża była, można powiedzieć, w pewien sposób bezbronna na ten bold move Semgrepa.

No i okazało się, że duża część konkurencji Semgrepa po prostu wykorzystuje w tych swoich kombajnach Semgrepa pod spodem, co wydaje się racjonalnym ruchem ze strony biznesowej firmy Semgrep, aby położyć kres takim działaniom.

Oczywiście oni tam dali pewien grace period dla tych, dla swojej konkurencji, dla tych pozostałych vendorów, żeby mogli się wycofać z używania Semgrepa w swoich rozwiązaniach.

Cały galimatias jest o to, że te rozwiązania, o których wspomniałeś, te kombajny, te ASPM-y, takie duże kobyły, które wdrażamy po to, żeby ten kod, te aplikacje, które wytwarzamy na końcu były bezpieczne, zaczęli w pewnym momencie korzystać z Semgrepa pod spodem

Ale tutaj ważnym faktem jest to, że po prostu wzięli sobie rozwiązanie open source, wdrożyli je pod spodem i niejako tworzyli bezpośrednią konkurencję dla samego Semgrepa, który ma oczywiście wersję open source, ale też jest rozwiązaniem komercyjnym.

I ci wędorzy mieli jak najbardziej prawo wykorzystywać Semgrepa jako narzędzie pod spodem i sprzedawać, robić tak naprawdę reselling.

Ale czy autorzy Semgrepa mogą w tym wypadku poczuć się jakby ktoś ich wykorzystywał?

Ja widziałem takiego posta dzisiaj na LinkedInie, gdzie jakiś, nie wiem czy to był pracownik Semgrepa, ale generalnie ktoś zrobił listę top kontrybutorów do Semgrepa przez cały projekt, przez całe życie.

I wyszło, że w zasadzie jakbyśmy wzięli top 10 kontrybutorów do Semgrepa, no to wszyscy pracowali w Semgrepie.

Tam bodajże, z tego co pamiętam, ponad 60% ogółem wszystkich kontrybutorów do Semgrepa to byli ludzie, którzy byli związani bezpośrednio z firmą Semgrep.

Ludzi z tych pozostałych firm, którzy wykorzystywali Semgrepa pod spodem w swoich rozwiązaniach jako sasy.

Traci biznes w formie Semgrepa.

Przez tę deltę pomiędzy 2017 a 2024 pojawiło się sporo vendorów, którzy po prostu sobie wciągnęli Semgrepa i zaczęli z niego korzystać i odsprzedawać swoje narzędzia.

Ale myślę, że każdy zrozumie, że jest to o tyle drażniące autorów Semgrepa, bo te wszystkie firmy, które go wykorzystywały, tak naprawdę za bardzo nie kontrybuowały, po prostu brały.

Tak, tak, tam w tej całej dyskusji przetaczają się głosy rozsądku, znaczy to wiecie, tutaj głos rozsądku w zależności, po której stronie stoicie, jak sobie ułożycie tą linię etyczną, gdzie ona przebiega, ale podobało mi się, jak ktoś napisał, okej, no to w takim razie do tych, bo to jest bodajże 10 albo 11 film, które zawiązało taką koalicję dookoła tego nowego, starego rozwiązania, czyli Open Grepa, sforkowanego Semgrepa.

Ostatnie odcinki