Cet ancien jardinier est devenu un expert de la sécurité. Quand il ne s'occupe pas de tester des bibliothèques natives et de contourner la sécurité moderne des applications, Raul cherche des moyens d'optimiser son pain au levain tout en savourant une Delirium, une bière belge classique.
Security Labs
L’équipe Security Labs de Snyk contribue à l’amélioration de la sécurité des applications en réalisant des études à fort impact. Nous cherchons à renfoncer l’expertise des développeurs et équipes de sécurité en mettant à leur disposition des articles de recherche et outils complets.
Nos travaux ont abouti à des CVE majeures en lien avec l’infrastructure centrale des conteneurs, éliminé des vecteurs importants d’attaque de la chaîne d’approvisionnement de registres open source très connus et mis au jour des attaques inédites sur des technologies émergentes comme l’IA et les LLM.
Nos valeurs
Sensibilisation
Faire connaître les domaines de la sécurité qui restent dans l’ombre et former les développeurs à l’aide d’articles de recherche.
Sécurité efficace
Détecter et corriger des vulnérabilités à l’impact étendu dans les logiciels open source et les applications modernes.
Évolutivité
Multiplier les études de sécurité.
Collaboration avec la communauté
Créer des outils qui aident la communauté à détecter et contrecarrer les vulnérabilités et les menaces.
Rencontrez notre équipe
Découvrez les membres de notre équipe de recherche en sécurité.
Découvreur de failles de longue date, ancien testeur d’intrusions et ingénieur en sécurité des applications. Rory adore les situations de compétition et les exploits Linux.
Ancien testeur d’intrusion et ingénieur AppSec qui s’intéresse à tout ce qui a trait à la sécurité du Web. Lorsqu’il n’a pas sa casquette de hacker, Elliot s’adonne au skateboard et au snowboard.
Article de recherche mis en avant
Consultez quelques articles récents publiés par l’équipe Security Labs.
À la découverte des vulnérabilités de GitHub Actions
Dans cet article, nous nous penchons sur GitHub Actions, étudions différents scénarios aboutissant à des vulnérabilités en nous appuyant sur des exemples tirés du monde réel, présentons des conseils clairs pour utiliser en toute sécurité les fonctions qui génèrent souvent des erreurs et vous faisons découvrir un outil open source pensé pour analyser les fichiers de configuration et signaler les problèmes éventuels.
Leaky Vessels : des vulnérabilités de Docker et runc permettant de s’évader des conteneurs (janvier 2024)
Rory McNamara, chercheur en sécurité chez Snyk, et l’équipe des Snyk Security Labs ont repéré quatre vulnérabilités surnommées « Leaky Vessels ». Ces vulnérabilités touchent des composants centraux de l’infrastructure des conteneurs et permettent justement de s’évader de ces derniers.
Vulnérabilité 0-day d’exécution de code à distance sur Gitpod via WebSocket
Dans cet article, nous présentons les premiers résultats tirés de notre analyse des environnements de développement dans le cloud (CDE). Nous sommes parvenus à prendre le contrôle complet d’un compte via un simple lien en exploitant une vulnérabilité souvent mal comprise (le détournement de WebSocket) et en utilisant un contournement de cookie SameSite.