Vulnerability management with DefectDojo
Defect Dojo is an open source tool for vulnerability management. I will give an introduction into vulnerability management and show how that is implemented with defect dojo
Vulnerability management is a try to integrate finding, managing and mitigating of vulnerabilities in code into your workflow.
It usually starts with some tools to find vulnerabilities in different areas - let it be with image scanning like Trivy and Clair, classical vuln scanning like Nessus, Static code analysis like Sonar or dependency management with the OWASP dependency tracker.
Defect Dojo takes all those reports, dedublicates findings, manages the handling of false positives and gives a Product Owner a tool to the hand how to move that on into your development tracking software like Jira or else.
I will show how all of that works and what advantages this have. Also some insight how its used in a medium size critical infrastructure company.
Additional information
| Live Stream | https://streaming.media.ccc.de/38c3/huff |
|---|---|
| Type | Talk 40 (30min +10 Q&A) |
| Language | English |
More sessions
| 12/27/24 |
Exploring the security of the new iPhone Mirroring feature as well as the current threat model of the iOS ecosystem
|
| 12/27/24 |
Das neue Gesetz über die Selbstbestimmung in Bezug auf den Geschlechtseintrag (SBGG) ist da und Menschen können endlich unkompliziert ihren Geschlechtseintrag und ihre Vornamen ändern lassen. Doch der Weg dahin ist nicht einfach. Kommt mit auf eine Roadshow gespickt mit Tipps und Erfahrungen, damit ihr eurer Ziel einfacher erreicht.
|
| 12/27/24 |
In a world of centralized internet control, building your own mesh network isn't just a technical challenge—it's digital independence. This beginner-friendly guide walks through creating resilient mesh networks using accessible hardware like LoRa and ESP devices. From antenna selection to node placement strategy, learn how to build networks that operate independently of traditional infrastructure.
|
| 12/27/24 |
End-users in cellular networks are at risk of connecting to fake base stations, and we show that mitigations pushed in 5G are insufficient.
|
| 12/27/24 |
Im Rahmen eines vom Prototype Fund geförderten Projektes entstand zusammen mit 4 Schulen die Open Source Software BinBa. Diese Software wurde in enger Zusammenarbeit mit den Schulen konzipiert, umgesetzt und in Betrieb genommen. In dem Talk soll der Weg über die Finanzierung mit Hilfe des Prototyp Funds, die Softwareentwicklung zusammen mit den LehrerInnen und SchülerInnen also auch die Inbetriebnahme beleuchtet werden.
|
| 12/27/24 |
Staatliche Repression aufgrund der Teilnahme an Demonstrationen oder wegen anderer politischer Tätigkeiten gehören zur leidigen Erfahrung von Aktivist*innen. Wir geben Tipps und diskutieren, wie man mit einigen, typisch auftretenden Situationen bzw. Repressionsmaßnahmen umgehen kann.
|
| 12/27/24 |
Wenn Sicherheitsforscher und Hacker Datenlecks direkt dem dafür Verantwortlichen melden, setzen sich u.U. strafrechtlichem Risiko aus oder werden auch mal schlicht ignoriert. Stattdessen kann es in der Praxis aber auch sinnvoll sein, die Möglichkeiten der DS-GVO und die Befugnisse der Datenschutz-Aufsichtsbehörden zu nutzen, um Sicherheitslücken schnell zu schließen.
|
