امروز ، من کاملاً هیجان زده ام که جدیدترین نوآوری خود را در فضای امنیتی اعلام کنم: ابزار جدید CLI ما ، Greybeard. پس از سالها ارائه مشاوره امنیتی مودبانه و حرفه ای ، ما متوجه شدیم که چه توسعه دهندگان واقعاً Need یک متخصص امنیت مجازی Ornery است که آن را مانند آن می گوید.
مشکل ابزارهای امنیتی امروز
بیایید با آن روبرو شویم – خروجی های استاندارد اسکن امنیتی به همان اندازه تماشای رنگ خشک است. شما یک لیست استریل از CVE ، رتبه بندی شدت و مراحل اصلاح دریافت می کنید. خمیازه
من به عنوان کسی که ساعتهای بی شماری را صرف بررسی یافته های امنیتی با توسعه دهندگان کرده است ، من یک الگوی را متوجه شده ام: هرچه شخصیت بیشتر در زایمان باشد ، احتمال وجود پیام بیشتر است.
به آن فکر کنید که بیشتر به یاد می آورید:
-
“آسیب پذیری شناسایی شده: CVE-2023-1234 (بالا)”
-
“چه چیزی در Tarnation؟ شما یک حافظه را به اندازه تگزاس نشت کرده اید! من دیده ام که توسعه دهندگان تازه کار با چشمان بسته شده کد بهتری می نویسند!”
وارد Greybeard: ابزار امنیتی با نگرش بد
Greybeard ابزاری انقلابی CLI است که قابلیت های اسکن امنیتی قدرتمند Snyk را در شخصیت آن مهندس امنیتی ناخوشایند و فصلی که همه آن را دیده است ، می پیچد و با کد شما کاملاً تحت تأثیر قرار نمی گیرد.
این چیزی است که Greybeard را ویژه می کند:
- بازخورد بدون مزخرف: Greybeard آسیب پذیری های روکش قند را نمی دهد – این حقیقت غیرقابل توصیف را در مورد مسائل امنیتی شما به شما می دهد.
- حکمت متن: با چندین دهه تجربه امنیتی شبیه سازی شده ، Greybeard فقط مسائل را شناسایی نمی کند-این اظهار نظر رنگارنگ در مورد اینکه چرا آسیب پذیری شما باعث می شود هرگونه گریه حرفه ای امنیتی خود را به خود جلب کند ، ارائه می دهد.
- توهین های انگیزشی: هیچ چیز باعث ایجاد مشکلات امنیتی مانند معادل دیجیتال سخنرانی شدید از یک متخصص ناامید نمی شود.
چگونه Greybeard کار می کند: AI اساسی
بنابراین ، Greybeard چگونه کار می کند؟ مانند هر چیز دیگری در دوران مدرن ، Greybeard از هوش مصنوعی بهره می برد. برای استفاده از این ابزار ، باید یک کلید API OpenAI را در یک متغیر محیط به نام داشته باشید OPENAI_API_KEYبشر
Greybeard دقیقاً مانند Snyk CLI کار می کند ، و هنگام اعدام ، تمام استدلال های CLI را به ابزار زیرین Snyk CLI منتقل می کند و خروجی اصلی Snyk را ضبط می کند و آن را با شخصیت Greybeard “تقویت” می کند.
این ابزار در GO ساخته شده است ، کاملاً منبع باز است ، روی Mac ، *Nix و Windows اجرا می شود و نصب آن آسان است. می توانید repo github را در اینجا مشاهده کنید.
نمونه های دنیای واقعی
هنگام آزمایش Greybeard در داخل ، متوجه شدیم که توسعه دهندگان هستند 412،025 ٪ به احتمال زیاد آسیب پذیری ها را به یاد می آورید و رفع می کنید:
====================
LISTEN HERE, YOUNGSTER!
====================
I just found a critical prototype pollution vulnerability in your lodash dependency.
Back in MY day, we vetted our dependencies manually before adding them to our projects!
What are they teaching in coding bootcamps these days?!
I've seen more secure code written on napkins at the 1999 DefCon!
FIX THIS: npm update lodash to version 4.17.21 or later.
And while you're at it, consider a career in basket weaving instead.
*grumbles incoherently about modern development practices*
علم امنیت به یاد ماندنی
این فقط مربوط به سرگرمی نیست (اگرچه اگر می گفتم از ساختن شخصیت Greybeard لذت نمی بردم دروغ می گویم). روانشناسی واقعی در پشت این رویکرد وجود دارد:
- اطلاعات تحویل شده با احساسات متفاوت پردازش می شوند و طولانی تر به یاد می آورند.
- طنز ارتباطات مثبتی را با وظایف امنیتی خسته کننده ایجاد می کند.
- بازخورد متمایز و شخصیت محور از سر و صدای هشدارهای روزمره است.
چگونه می توان با Greybeard شروع کرد
شروع کار با Greybeard ساده تر از متقاعد کردن من برای استفاده از یک چارچوب JavaScript است:
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/snyk-labs/snyk-cli-greybeard/refs/heads/main/install.sh)"
سپس به سادگی اجرا کنید:
greybeard
و خود را برای برخی از توصیه های امنیتی وحشیانه صادقانه آماده کنید.
آینده امنیت … شخصیت است؟
در حالی که ممکن است Greybeard به عنوان یک پروژه سرگرم کننده برای روز آوریل احمق آغاز شده باشد ، ایده اساسی جدی است: بازخورد امنیتی جذاب تر ، به یاد ماندنی و مؤثر است.
ما واقعاً کنجکاو هستیم که ببینیم توسعه دهندگان چگونه به این رویکرد پاسخ می دهند. آیا افزودن شخصیت به ابزارهای امنیتی می تواند به شکاف بین یافته های امنیتی و اقدامات توسعه دهنده کمک کند؟ آیا می تواند امنیت را در دسترس تر و ارعاب کمتری قرار دهد؟
یا آیا Greybeard به سادگی به یاد خواهد آمد زیرا آن زمان Snyk اجازه می دهد تا با یک شوخی احمق آوریل ، روابط خود را به سمت عمق عمیق برساند؟
فقط زمان خواهد گفت. در ضمن ، از چمن من پیاده شوید و آسیب پذیری های خود را برطرف کنید!
Snyk Cli Greybeard یک پروژه آزمایشی از آزمایشگاه های Snyk است ، جایی که ما روش های جدیدی را برای دسترسی و مؤثرتر امنیت کشف می کنیم.
