Pour celles et ceux qui quittent le twitterverse, un bon rappel : comme Twitter peut être utilisé comme source d'authentification, il vaut mieux aussi réussir à se connecter autrement avant de supprimer votre compte 😉

Imagine tu développe la lib de sécurité que TOUT LE MONDE utilise.
Et bêtement tu mets ">" à la place de ">=". ET PAF! VULNERABILITE!
Zero pression sur les développeurs, hein 😅

Parfois, la sécurisation des navigateurs est une plaie

La fondation OWASP maintent un scanner de vulnérabilité ? C'est super chouette !

Tout à fait vrai
(et la discussion sur l'intérêt du casque en vélo qui en découle est parfaitement rafraichissante)

Ce résumé de l'attaque d'Uber est franchement terrifiant

Suite aux problèmes de SolarWinds, le gouvernement américain a mené une enquête, et son résultat semble ... mitigé.

Je suis toujours content de voir un logiciel réussir.
Mais je suis toujours triste de voir ce genre d'entreprise racheter des logiciels sur ces fonctionnalités, parce qu'à mon sens ça signe la fin du produit.

Si vous voulez savoir à quel point votre serveur web utilise correctement SSL/TLS (ou pas), ce projet open-source peut faire un tas de test depuis n'importe quel conteneur près de chez vous.

C'est le genre de démarche de sécurité que j'apprécie beaucoup.

Une application à installer dans votre SI qui se connecte à la base des CVE vous permettant de n'afficher que celles qui sont utiles dans votre environnement.

Une alternative à l'OWASP

Ca m'a l'air fort pratique et malin, cet outil de recherche de code prenant en compte les particularités du langage ...

Un outil d'attaque de base de donnée, qui se place dans le cas particulier d'un accès déja ouvert à la base de données ...

Ce moteur de recherche liste les services accessibles sur un serveur (et les CVE associées)

Une liste d'exploits pour aller corrompre des systèmes distants

Quand je lis ce document, j'ai l'impression de voir une autre forme de description d'architecture applicative se dessiner. C'est intéressant ...

Ca m'a l'air d'être une méthode d'identification des risques de sécurité qui sorte de "oulala, c'est grave, non mais tu te rends compte" tellement fréquent dans cet univers ...

Vraiment, les modules ont amélioré la sécurité 😅
(Je frappe sous la ceinture, il est vrai)
Franchement, je n'aimerai pas maintenir une application Java>15 sans conteneurisation correcte.

Il va falloir que je prenne le temps de lire toute cette liste tranquillement, parce que ça a l'air long, précis ... et efficace !

Je n'ai pas connaissance d'un équivalent en Java. Mais dans tous les cas, c'est un exemple frappent de l'intérêt x de sortir du string-typed programming si courant