A equipe de Security Labs da Snyk é dedicada a melhorar a segurança de aplicativos por meio de pesquisas de alto impacto. Nossa meta é aprimorar a experiência de desenvolvedores e equipes de segurança, oferecendo pesquisas e ferramentas abrangentes.
Nosso trabalho resultou em CVEs importantes para a infraestrutura central de contêineres, fechou vetores de ataque significativos contra supply chain em registros de código aberto populares e demonstrou ataques inovadores contra tecnologias emergentes como IA e LLMs.
Revelar áreas sub-representadas da segurança e ajudar a educar os desenvolvedores por meio de pesquisas.
Encontrar e ajudar a corrigir vulnerabilidades de amplo impacto em software de código aberto (OSS) e aplicativos modernos.
Realização de pesquisas de segurança em grande escala.
Criar ferramentas para ajudar a comunidade a descobrir e mitigar vulnerabilidades e ameaças.
Veja a nossa equipe de pesquisadores de segurança.
Ex-jardineiro transformado em mago da segurança. Quando não está sobrecarregando bibliotecas nativas e achando falhas na AppSec moderna, Raul pode ser encontrado procurando otimizar seus pães de fermentação natural enquanto aprecia a clássica cerveja belga Delirium.
Caçador de recompensas de bugs de longa data, ex-profissional de testes de penetração e engenheiro de AppSec. As paixões de Rory são condições de simultaneidade e exploração do Linux.
Ex-profissional de testes de intrusão e engenheiro de AppSec com foco em qualquer coisa relacionada à segurança da web. Quando não está hackeando, Elliot adora praticar skate e snowboard.
Confira algumas das pesquisas de alto impacto mais recentes da equipe do Security Labs.
Chamada para ação: exploração de vulnerabilidades no GitHub Actions
Neste post de blog, vamos mostrar uma visão geral do GitHub Actions, examinar vários cenários vulneráveis com exemplos reais, oferecer orientações claras sobre o uso seguro de recursos propensos a erros e introduzir uma ferramenta de código aberto criada para verificar arquivos de configuração e sinalizar possíveis problemas.
Leaky Vessels: vulnerabilidades de fuga de contêiner no Docker e runc (janeiro de 2024)
Rory McNamara, pesquisador de segurança da equipe do Snyk Security Labs, identificou quatro vulnerabilidades, apelidadas de "Leaky Vessels", nos componentes principais da infraestrutura de contêineres. Essas vulnerabilidades permitem escapar dos contêineres.
Vulnerabilidade de dia zero de execução remota de código no Gitpod via WebSockets
Neste post, apresentamos as primeiras descobertas da nossa pesquisa atual sobre ambientes de desenvolvimento na nuvem (CDEs). Nesses ambientes, o acesso a um link, a exploração de uma vulnerabilidade geralmente incompreendida (sequestro de WebSocket) e o uso de um desvio prático de cookies SameSite permitiram a tomada total de uma conta.
Usando nosso formulário, você pode divulgar as vulnerabilidades que encontrou ou que não constam no banco de dados de vulnerabilidades da Snyk. Ajudaremos você a verificar a vulnerabilidade, entrar em contato com o mantenedor e atribuir uma CVE ao problema.
Antes de enviar um relatório, revise nossa política de divulgação, que pode ser encontrada aqui.