Tribe29 jetzt häufig auf https://wid.cert-bund.de

https://wid.cert-bund.de/portal/wid/kurzinformationen
tribe29 ist in letzter Zeit auffällig oft vertreten.
Was hat sich geändert?
Gruß
Ralf

1 Like

Was ist das für eine Seite? Ist das gut oder schlecht, wenn man dort erwähnt wird?

Sorry für die Fragen, aber ich scheue mich immer etwas, irgendwelche Links anzuklicken, die mir „jemand im Internet empfiehlt“.

Alles gut.

https://wid.cert-bund.de/portal/wid/certbund

Über CERT-Bund

CERT-Bund, das Computer Emergency Response Team für Bundesbehörden, ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen.

Gruß

1 Like

Ich denke die Schwachstellen gehen linear hoch mit dem Umfang der Änderungen. Checkmk wird immer komplexer, neue API, neue Software wie redis, neue Agents etc. Da gibt es eine Menge Stolperfallen.
Solange wir nicht so einen Vorfall wie bei Orion haben bin ich NOCH nicht beunruhigt.

Gruß

Michael

Hallo,
ich bin da auch enstpannt. Transparenz schadet eher selten wenn alle fair spielen.
Gruß

…und die Sicherheitslücken schnell gestopft werden :slight_smile:

Wie auch auf der letzten Konferenz angekündigt, haben wir unsere Security-Fähigkeiten und Kapazitäten im Team deutlich ausgebaut. Damit können wir jetzt mehr Dinge leisten, Prozesse verbessern und die Transparenz erhöhen.

Beispielsweise veröffentlichen wir für relevante Fixes auch systematischer CVEs selber anstatt nur Werks zu veröffentlichen. Das sorgt bewusst dafür, dass das was wir in Bezug auf Security-Fixes tun nachvollziehbarer wird.

Da jetzt mehr Kapazität verfügbar ist, arbeiten wir sowohl mit externen Audits, als auch intern selber intensiver daran Sicherheitslücken zu suchen und zu beheben.

Zum Thema wo wir Probleme aufdecken: Die neuen Architekturen und Features durchlaufen intern bereits gezielte Sicherheitsreviews. Dadurch stellen wir sicher, dass neue Features bereits von Anfang an einen guten Standard haben. Trotzdem kann man natürlich bei den ersten Audits immer noch Dinge aufdecken, die vorher nicht bedacht wurden. Für uns ist aber auch weiterhin ein großer Berg Arbeit die umfangreichen Bestandsfeatures zu sichten und zu bewerten. Auch das findet statt.

10 Likes

Sauber.
Das liest Mann/ Frau gerne.
Es wird euch bei Kunden mit gewissen Kompetenzen und Ansprüchen mit Sicherheit auch weiter helfen.
Gruß

2 Likes

Hallo zusammen,

also mich beunruhigt das viel mehr, dass es so viele Meldungen gibt!
Es wurde auf den Konferenzen immer die Sicherheit erörtert aber dass es dann so viele Meldungen gibt für eine solche Software beunruhigt mich jetzt sehr, da ja auch der Security Experte Ralf Spenneberg Partner ist (Monitoring mit Checkmk) (RS: Seit 1999 unterstütze ich Unternehmen und Behörden bei dem Einsatz von OpenSource Software in sicherheitskritischen Umgebungen).

Hoffe dass die offenen Punkte schnell zu sind und das QS Team die QS der Software verbessert und auch die Konsistenz.

Vielen Dank
Grüße
JPH

Hallo,
wenn andere Unternehmen auch transparent arbeiten würden sähe die Welt anders aus.
Schau einfach mal nach wieviele Fehler z.B. Oracle pro Patchday dokumentiert.
Da cmk Admin in der Regel wissen sollten was sie tun und die wenigsten ihre Sites direkt ins Internet hängen ist doch alles gut.
Gruß

Ich finde die Menge nicht problematisch. Was einfach Zeit kostet ist sich die Meldungen anschauen und im eigenen Kontext bewerten. Wenn der Großteil der Probleme “nur” nutzbar ist wenn ich direkten Zugriff auf der Monitoring Maschine hab dann bin ich schonmal etwas entspannter wie wenn alles RCE ohne Authentifizierung wäre :smiley:

1 Like

Es gilt wie so häufig.
Wenn jemand schon so weit ist hat man ganz andere Probleme.
Gruß

2 Likes

Um ein anderes Beispiel zu nennen:
Es gibt Automobilhersteller, bei denen man selten von Rückrufen hört, da diese derartige Rückrufe im Rahmen der normalen Wartung ‘heimlich’ mit erledigen.
Andere Hersteller haben regelmäßige Rückrufe und stellen so sicher, das Kunden schnell in die Werkstatt zur Behebung kommen können.
Ich sage mal so: Ich weiß, welches Auto ich lieber fahre. :slight_smile:

…und wer frei von Schuld ist der werfe den ersten Stein :wink:

2 Likes