 Dzień dobry, witam Siemanko! Ja używam tego jako mój kluczny nazwisko. To jest polski hałdy, coś takiego, więc to jest... Jestem Alex Baranowski i chciałbym zapytać na mój prezentację o SCA i opatrzenie informacji. To jest mój pierwszy prezentacji w życiu, kiedy mam noty, ponieważ w większości, robię coś, co ważne. My znamy wielką improwizację. Jestem bardzo dobry na to, więc to jest dla mnie bardzo nowe. Kiedy mam prezentację, well... SCIs są tak basicszne, że Microsoft mógł mnie opatrzenie informacji, tak że... OK, to znaczy, że to mój. OK, więc jestem inżynier. I chciałbym zapytać na mój system inżynier. Ja próbuję, czy coś lepszego. Kompany, polityki i rzeczy, które mam. Ja pracuję w Eurolinox, ale teraz dużo mojego pracę jest zbierane z... Połóż nasz centrum, to jest centrum właściwie, ale wszyscy mówią centrum dla rysowania i rozwoju, i to jest zbierane z Europy i Unium Founts. I my zrobimy opatrzenie projektów i analizy. OK, przed tym, chciałbym też podziękować wszystkim z Redken i oznacza mi, żeby być tutaj. Mam nadzieję, że nie chcę zapytać na ciebie. Społeczny alert. Może trochę, ale nie chcę. OK. Oprócz opatrzenia. Zacznijmy z bardzo basicsznych koncepcji, ponieważ chciałbym zrobić to tak. Kiedy idziemy do opatrzenia informacji, a może po prostu połowę SCA. Kiedy będziemy rozmawiać o połowach z Subway Chain. To też będzie mały opatrzenie, o kilku rzeczy, co można zrobić w opatrzeniu informacji. OK. Zacznijmy. Tak. Zresztą software, komposji, analizy, co większość osób nazywa SCA. I to jest software i komposji. I to jest dojścia. Wow, analizy. I to jest bardzo smarcie. I to jest bardzo obawne. To jest taki ten realny system operacji. Ale w przypadku komposji możemy pomyśleć o tym po różnej poziomie. Ponieważ, na przykład, możemy pomyśleć o opatrzeniach. Możemy pomyśleć o ekosystemach. Dokumentacje w opatrzeniach są w porządku systemu, na przykład. I to jest moje wyjście w SCA. A więc, kiedy musimy robić rozwinię z tych projektów, do projektu. Na przykład, kernel jest wrześnięty w C, RAS i tak dalej. Jak to jest zrobione, czy jest przez jakieś konwencje, tak dalej. To może być... To są rzeczy jak winter, które użyjemy. Jesteśmy na kodzie, które mogą zrobić jakieś testy, ale nie jak unit test, ale na performanie, tak dalej. Są jakieś takie rzeczy. To może być... Nie statyczna, ale dynamiczna analizacja. Musimy uruchomić software, i mamy wszystkie rodzaje tracers, profilers, racers, czy można uruchomić jakieś dwie zmiany. To jest kodzie, ale daje wam bardzo fajne projekty. Jakie są oponencje? Oczywiście, kiedy robicie cały system, i wiele oponencji projekty, to są też projekty, ale mają swoje grady. I każda ekosystema jest w porządku. Są lepsze, są lepsze. Mam w porządku 1Ci na npm. I to jest to, co się dzieje w SCA, szczególnie w SCA, bo masz swoje oponencje. I ta oponencja ma wiele lepszych. Tak, każdego nie ma lepszych oponencji. I większe oponencje, czy nimi, są w porządku. Ale większe oponencje nie są w porządku. Więc to jest całkowicie, w mojej opinii, ok. I kiedy masz ekosystem, jak w ekosystemach, musisz myśleć o rzeczy, które są w porządku. Ponieważ, na przykład, używamy dpio w wersji 3, komponencji. No, używamy żadnego rodzaju oponencji, które są w porządku. Więc masz w porządku lub w porządku i jak się oznacza. I w ekosystemach nie jest o technicznym porządku. To może być o legalnym porządku. To może być o dokumentacji, oponencji i tak dalej. Najwyższe oponencje na SCA są, które są w porządku, które są w porządku. Chciałbym oprowadzić link do, jakiegoś rodzaju oponencji, kiedy możesz opowiedzieć wielkie oponencje. I w porządku jest to techniczne i myślę, że to jest to mistrzka o dokumentacji, o oponencju i o popronieniu. To jest to udział, o pobieraniu do SCA w Wikipedia. One używają tego papieru, jak referencja w fotografii i oni w porządku zbierają technikę do rozwiązań i poszukiwają sekundę. I to też jest dość popularne, by to zrobić w ten sposób. Okej, więc to jest tak jak w SCA. Teraz do następnego termia jest bilet materiałów. i to nie... nie zjedzono z papieru. To jest jak ten patent dla jakiegoś czerwca, i jeśli chodzi o to, możesz z wąską czerwca z otwierać i uważasz, że no, to jest dla przykład plastyczna hνusza. Ale możesz uważać, że no, plastyczna hνusza jest w tym typu ABS-type, nie wiem, 5 5 0, co jest z tym i tak. Gdy masz na zbórę plastyczną, to jest zmiar zbór, i ten ból musi być zrobiony z tego i z tego jeszcze. Oczywiście jest to, że chcielni są w stanie kopiować ten ból za bardzo długi czasem, ponieważ to wymaguje całkowicie wielki manufacturing proces. Ale ból nie jest wszystko. Na przykład, jest to wielki argument, jeśli NASA będzie w stanie produkować roketdyjne F1 engines, że są używane na saturnie. W sumie, masz budynek, jak wszystko, a szczególnie jeśli jest bardzo szybkie rozwiązanie, to są ludzie, którzy mają bardzo specyficzny zrozumień i mogą adaptować budynek, a w większości jest to bardzo pomocne, ale nie będzie wystarczająco, żeby stworzyć produkt. I jeśli chodzi o to, mamy oczywiście softwerbę materiału i z norma. Możesz powiedzieć, że nasze aplikacje muszą uruchomić web server. Możesz powiedzieć, że jest uruchomić web server, ale jest różnie od tego. Możesz powiedzieć, że uruchomił 2.4.4.2.0. A. Ruchomił i to było kompialowane w ten sposób, w ten sposób, i w ten sposób, i tak dalej. Softwerbę materiału też pozwala nam zrozumieć rozwiązanie. Powinno być razem. Więc jak budynek pracuje i też kryptosign. To jest bardzo długi temat. Oczywiście wszyscy chcieliby być 1-1 binary bo to jest najlepszy. Jeśli masz 1-1 binary to jesteście w domu. Zresztą mamy Szerif z Rokieinox, który ma te rewizje i secure bootstuff. Mówiłem, że mamy 1-1 reproducible binary w końcu. Więc s-bomb musi być perfekty. I żeby to zrobić, to używamy kontainer. OK. Kolejny temat jest CVS, CVSS i CP. I to jest trochę fajnie, bo wiele ludzi mówi na przykład o CVSS. Daj mi zakończenie CVS. Jesteśmy używanym w kontekstach. Na przykład z rewizji wiele ludzi mówi o kontekstach. Mamy zakończenie CVS i system zakończony. To jest jakby obwój. I ktoś, kto zainteresuje sekuritety, wie, że CVS jest w komentarzach. I po prostu bardzo krótko. To jest tylko jedna idea, czy to jest. I ma dużo data na to. W CVSS skończenie systemu jest nową wersją w tej chwili. Możesz go sprawdzić. I to jest część standarda CVS. Tylko bardzo, bardzo, bardzo nową. CVS nie ma tego, bo może trzeba czasem zrobić odpowiednie analizy. CVS jest w komentarzach. I w teorii w komentarzach CVS ma w komentarzach. Powinienem ci, jeśli swój software jest wolny. Ale to jest w teorii, bo to jest trochę ciężko. Powinienem ci, że nie są długie, że to jest bardzo dobry pomysł. W wielu miejscach. Normalnie w CVE masz A, S, w organizacji i projektu. Jeśli czujesz na Node.js, to pewnie będzie na Node.js. Ale masz różny projekt, bo ten projekt jest zbondowany w Node.js i nie ma tego, bo jest bardzo potrzebny. W ogóle jest CRS. CRS jest też zbondowany i myślę, że nie mam całe CVS, ale nie, przepraszam, nie jest tak proste. Czasem jeśli użyjesz coś, to trzeba zbudować te rzeczy, więc to jest trochę bardziej trudne niż to. Dobra? O, to jest bardzo trudne. I jest nawet bardziej trudne, bo przepraszam, że nie ma znaczenia, że to nie ma znaczenia. Trzeba 3 dni temu, byłem w Fedora i zbudowałem bardzo fajną interfejsę. W tej interfejsie mówię o bezpieczeństwie. Więc to było 7 dni na Fedora 37. Zobaczymy, że CVS zostało zbudowane i to jest naprawdę dobrych egzemplów, bo mamy jedną bezpieczeństwo, ale nie ma to, a później mamy CVS, ale w interne w tej systemie, w tej systemie, pokazują, że to jest zbudowane. To nie ma tego, bo ktoś nie zbudował lub dał informacje o systemie i mamy jedną bezpieczeństwo, więc wszyscy znowu, znowu zbudowali. Więc to jest wielki problem z CVS, nie zbudowanym. I ten dynastandberg, który jest autorem głównym zewnętrzem CURL, który jest jak najbardziej używany software w świecie, prawdopodobnie. Był bardzo dobry artykuł o czemu nie jest to źle, ale bardziej CVS jest w porządku, jest to dobre, ale możemy powiedzieć, że jesteśmy częścią problemu. Dlaczego? Powiedziałem, że pracuję teraz. I skorzysta do tego, ktoś ma CVS, skorzysta do tego, bo możesz tylko skorzystać z kimś, a wielu projektów nie obawiam data. Dlaczego? Bo to jest łatwiej, tylko skorzystać. W systemie, jak z warsztatem, czy coś takiego, to był krytyczny CVS, niebezpieczeństwo, a to był wielki czerwony. I zanim znowu skorzystać z CVS, i w wielu projektach musisz wydarzyć koment pożar, przed znowu zobaczonymi informacji, i obawiam systemy, i w końcu, w jedno pożar, dodawiam databasę, ale pośwana do obawienia dokumentacja może być trochę ciężąca, więc mówiąc z OCV, nie ma nic do reputacji w tych przypadkach, i to jest łatwiej, żeby trzymać. Tak, to jest wielka rzecz, bo ja pracowałem z wielu klientów i organizacjach i kompanii, ale na prawdę nie chcę tego. W większości nie chcę tego systemu. Wszyscy są stawione, wybrani i tak dalej. Więc nie ma nic do tego. Ale jeśli jest, to jest potrzebne przez lawę, żeby to zrobić, żeby to zrobić. I depending on where you live and what is the law and what is your institution doing, it might be, for example, only 30 days. I for example, you have to ship the golden images to all your systems in a few clouds and some of them are very legacy and you have to update them because you are required by law to actually do that. But if vendor somehow magically it might happen, forget. And well, the next update will be the next update. And there is the NDA and it happened to one of the company. In point we are making the fooshcasts, so the little jobs. And one of the company, like not the ruin of something like that, but some startup from point, actually hit that. They put the image in the marketplace of one of the cloud provider and this image had the critical, critical root access vulnerability. And the first thing that happened NDA. And you cannot inform your customers about it. You cannot make blog posts about update your images. No, why? Because these images in most of these marketplaces are, before they get to the marketplace, they review. And there is automatic review and there is manual review and things like that. And it just look very bad for the companies. So, yeah. So it's quite complicated topic and thing about it. The next thing I would like to say is that we can be only as good as the database that we are using. And there is very good paper of comparative study of NBT as reporting by software co-positionizer tools by some North Carolina State University researchers. I'm sorry that I didn't put the names, but I will just kill the surnames and names. So I believe that it's more respectful that way. Yeah. And the most important thing that they get there is that SCA can be only as good as the database that is underlying this software. Also, we find out that a lot of tools just believe the user dependencies. But the good ones are actually pulling them and check. Because for example, if you are using the Python or Go or whatever and you just want to use some framework, you can put in your Go modules or your requirements of Python, for example, flask in Python. And you said that versus flask, I don't know, 808. And when you install it, and you will get a lot of dependencies and a lot of SCA tools, actually won't do that. They are very dumb, they will look into what you have and they will just believe you. Even if you have, for example, the older version of something, you might pull the dependency that is vulnerable. Okay. Going back to Fedora or RPM ecosystem. Okay. When you think about it, RPM database is the fact of software build of material. The database of vulnerability is stored in the update info files. I will have it later. More about the info. And then it's not trivial, as it might seem to be security scanner. And the thing that I like the most is there is the report, there is the fix available. So it's very natural for people and a system administration, DevOps, whatever, just to use the security. And when you think about it, the security package may not have a security option. Then, delivering the power of update info, updates have the categories. So, do you want to enhance your system? Oh, guys, we have the bug fix. It might be interesting, but you can skip that. Or you have the security update. But you might be required to install. Okay. And the security updates have impact. Because if this impact is low, you might be not required to update it at all. But if it's critical, then, you know, alarm, you have to update as soon as possible. And there are links to CV, so you can actually read them. And assess, because the new scoring system actually use things, that is called temporal metrics and environmental metrics, things they get. So the security officer in your company can say that, well, in theory, this is critical. But in practice, after our own assessment to our environment, we know that this is low. So it's quite important that you can get this information. And there is even more goodies. You have a version working. Yeah, I'm not fan of it. But you can do that. You won't get the information. You might exclude some packages. Yeah, and you can get these packages from this repository and this package from this repository. And there is actually an update. Info is something called restore required. I have no idea if it's working, to be honest. Whereas command was restore required, but it doesn't look into it. So yeah, in theory, there is this kind of info, but I have no idea if anyone is using it. And when you think about it, shiny new, but not better when it comes to the new way of delivering software. So yeah, snub refresh does not have security. So snubs are always refreshed. And there was proposal for it like more than a year ago, nothing. Flatpack does not have the security. Whereas even the dedicated website where Flatpack is bad, I won't guarantee that it's correct. Okay? And up to date. But there is. And it's quite good website because it's very short. App image, it's container when you think about it. So good lag with updating the container. No. There is like no new version of something. And also no wide open pgp data found on most of the images. It's like, really, guys? It's not that hard to sign something. So I made another meme, but no, there is no security. And it's important because most of system administrator want to and have to maintain the smallest update possible when you're working not only with your organization, but you're working with vendors, for example, application, and they say, this will work if the Lipsy URL is this and this. And if you update it, like, and something happened, we're like, oh, sorry, guys, you have to pay us money to fix that. It looks like this. Sorry, it's true. Okay, so let's go to the update info once more. It might be a little bit bigger. But it's like updates on the top level and inside there is the update. I will go to the update and let's go. So it's the simple XML and the update info, this update will be like this. I compacted it as much as I can. The important part is, like, you have the type. So as I said, enhancement, security, bug fixes. You have the ID. You have the severity. You have the references. This is extremely important part. References. And you have the packages list. There is the collection, but you can skip this collection. You can name it whatever you want. It doesn't matter, actually. So, when you think about the references type, it can be like CVE, bugzilla, vendor, over unknown. But if you look inside the code, it's actually many, but how can I have no idea how to say, the name of the library and leapsol. And leapsol actually accept anything. And how can I actually make these types of... So if you want to, for example, have your own type, it's quite easy. I will say, but even very easy. There is the error time importance, as I said. And it can easily be mapped to the CVE, or if you have this bracket like low, medium, high, critical. There's actually none, but if there's CVE that is known, let me know. I never saw anything like it. So, yeah, you can map it. And it's simple. There are some changes. As I said before, the database is very important, so it requires effort from vendor and developers. There is no feature standard, you have to look into the code. Of course, just copy Fedora, Red Hat or whatever. It will work. There is the problem that some packages are provided a large number of packages, actually. Like Node.js is one of this example. And there's a lot of embedded. And there is also problem in source packages. Because after the compilation subpackages, subpackages. So, you start the compilation, for example, we will compile some Python because we require some Python. We're going to 0.7 in row 9. And after the build, we discard it. But when you think about it in sbomb and things like that, it should be included because it's build dependency. So if you want to have a full sbomb and drill, and to make real analysis, you have to know that. And with jams, I get that sometimes you need some kind of rubbish jam that might be proprietary. Just for compilation, so you can discard them after. And it's illegal. But still, it's quite a great area when it comes to the analysis. And this is my favorite one. This is the paper, not out dependency or equal an empirical study z npm. And where is funding? First one. Out of 100 projects that we choose for this study, only 51 have production dependencies. And from this 39, sorry. And from 39, production dependency is less than 1%. Less than 1% of dependencies. It's wow, thank you. And why I'm saying that? Because when you think about the RPM database and then as a scanner RPM database is very strict. If you install something, for example I want to install MariaDB it would tell me which dependencies and if I ask about what I have in my system to get the clear information about it. The dependency is 100% true software and very explicit. In most cases I said there is some bit dependency in things I get. It's production use seems well forever. Probably I grow 6 or even 5 something like that. Forever. And to sum it up in OSCA update info is as good as the underlying database. So if you will get something from this whole presentation the first point that you can treat RPM database as bomb we're actually doing that. We have update data base and then as a scanner update and it's like the full blown SCA stack. Ok, let's talk a bit about the subway chain and the definitions are a bit blur so I will just make a few points which component I used what are the relationship between them for example this is the build or shipping relationship or something is needed we have that in RPM by the way who commit it so you know how you get the source code and much much much much more but a lot of people don't know that it must have you have this Moscow model I know that word Moscow is not the most popular right now but the Moscow model it must have, should have, could have and won't have this time but at the moment the S-Bomb are must have whereas president or order in the US to jest, właściwie will force everyone and sorry guys if you want to use software in US that is the biggest market in the world by the way we have to it's not like maybe we will implement it no, it must have ok, so one of the subway chain standard salsa I like it my salsa I have a good visualization Wydaje się, że to jest w porządku. I to pokazuje, że nie ma nienawidzenia. I to jest nienawidzenie, jak to jest znowu. Możesz powiedzieć, jak robimy te rzeczy. To jest pokazane, jak ten paket był zbudowany. To jest wskazany, generowany, ale w porządku platformy, czyli w porządku platformy. Mamy bardzo dobre dyktsionery o wiele rzeczy w Salsa, ale porządku platformy nie są one z nich. I ten platform jest zbudowany. Ja mówię, że patrzę na Salsa przed wersją 1.0. Więc tak, czas temu. I wersją 1.0 to jest żołg. To żołg, chłopak, to żołg, przepraszam. Dlaczego? Zresztą konstytucje, są rekomensujące, rekomensujące, rekomensujące. I te rekomensujące zbudowali. To... To zbudowali z open source, ale to zbudowali dla wszystkich do punktu, że nikt nie będzie szczęśliwy z tego. Myślę, że to jest. I stąd stąd Salsa też wygląda na wersję na porządku platformy. Przepraszam. Mamy na porządku platformy. I jedna z nich jest jedna, którą możesz postać. I to nie będzie najlepszy z razu. I pewien z nich nie ma zbudowalacji czy na porządku czy nie ma zbudowalacji z tego. Więc kto ma zbudowalacji? On jest... Nie jestem zbyt dobrym systemem. Nie jestem zbyt kompaniowany. My się nie zbieramy. Może w moim razie, ale... To jest żołg. Obystandardów używają sp.x, psych.x i sw.d. Chciałbym namyć sw.d, coś takiego. Te dwa są też standardowe w Europie i Unii Europejskiej. Możesz je używać. Gdzie jest papier? S-Bone Server z 2021. Gdzie jest mały source tego informacji? Tak. Możemy używać tego standardu. I jeśli chodzi o sw.d. To jest w porządku dla niektórych części redhatu. To jest beta, wiem tego. Możesz je z kontynacją, z kontynacją, i z softwarem, oczywiście. Ok. To ważne, co chciałbym, że informacja jest gotowa dla S-Bone, ponieważ ktoś był smutny. Dlatego, że nie trzeba być rowerami, nie trzeba być jak CVA, czy Baxilla. To może być wszystko. Nic nie poddajesz informacji do tego, żeby refyreferować softwarem materiału. To jest... A więc, kiedy przyjechasz do rpm, jesteś bardziej przygotowany. Wszystko jest gotowe. Ale nie skończymy dobre S-Bones, ale mówię o tym bardziej. Ok, więc co możesz zrobić z informacji informacji? Jesteśmy na koniec prezentacji, jedna z rzeczy, które możesz zrobić z informacji informacji. Przede wszystkim, że mam obstrakty, że chciałbym pokazać pewne nowe pomysły, które pracujemy, ale coś się dzieje, jakieś zmiany, czy coś, co namieś, jak ja pracuję, więc, tak, mam wiele rzeczy, co mam zrobić w mojej życiu. Jakieś z nich, jakieś z nich, ja też mam bardzo wielkie problemy, bo tego, ale tak, daje mi większe pomysły. I jedna z rzeczy, co możesz zrobić z Rapp of View. Rapp of View jest bardzo fajny, ale jest w całym formie. To nie jest słodkie. Teraz. Właśnie używam tego. Otrzymającego jest proste skanera. To jest bardzo małe część tego, co ja robię. Nie mogę to pokazać, bo muszę to nie pokazać od razu, ale po prostu, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak, tak. Ty, semicy slaughter May� My zauważyliśmy wiele systemów z Frankensteinem, które są partą oroczywistycznej, partą oroczywistycznej, partą oroczywistycznej, i tak dalej. Możemy się zbudować imię. Normalnie musisz spróbować, na przykład, w virtuele maszyny, kontainer, czy coś takiego, ale to jest czas. W wielu casesach nie ma wśród akcji, Because the people who built golden images for your organization may be in the different departments that, for example, security. And they get, so they just have to give them very simple text file. And this is useful for golden images. So type of images are used across the organization, standard. Also you can make a Rata portal. i Redcat ma bardzo ładny erota portal, AlmaHat, RockyHat, więc, tak, i wszystkie te marki używają się informacji, więc, tak. W przyszłym razie, w przyszłym razie, w moich drzwiach, będę prowadził z erotem w generacji, w sensie tego, co mamy, i w jakiś czas, jak powiedziałam, motywacja jest całkiem w porządku, w tym momencie chciałbym mieć rpm tag z cpa, wiesz, to będzie tak ładne, ponieważ wtedy możesz po prostu zapytać na rpm database, wtedy możesz po prostu trochę cds software, i możesz, wiesz, zapytać o informacje, tak. Ale to nie jest możliwe, ponieważ dodając tag z rpm nie jest tak proste, w sensie rpm 5, który nie jest używany, btw, może mieć z rpm tag z custom tag z rpm 4, to nie jest tak proste, może, możemy używać przywodów, a potem cpa, a te przywodów właściwie powinienem być dobre. I current build system, jak Kodi, na przykład, zawsze jest Kodi, ja wiem, że jest wiele nowych build systemów, niektóre są dobre, ifull oraz kocot 你由完約很 bon, and most of the system are provided of installed packages, so if you are making the rpm you have the information about the install packages and this is the software build during the build process, but it is also important because of these reverse dependent on the thing they get, i you can have this pretty reproducible environment, environment, build environment, so it's very important and once more we are already ahead of everyone because we have them, but they are not in S-Bom format that is like generally accepted so there need to be a little bit of work then and we are working on the new build system, our current build system is used by a few companies actually and the new one will be open sourced and wow, I said something on fire actually, because our build system was always sourced RPM based, we never use the dist, git or anything I get and we always provide the batches, so we have customers who are rebuilding some systems and we just give them batches and we are making that public, well 50 minutes actually, it would take 50 minutes to claim, the longest part will be that you will need logo for your new system, so yeah and this is my yeah dreams and this one is actually founded, we have a founding in our current grant because we need to create the new build system by the way because we need the S-Bombs, so proper S-Bombs to the risk analysis so we have to create the new build system, none of them was good enough, yeah so there's like my future ideas, dreams, sorry one's more but I didn't provide something that I should but the word is on fire, so yeah, so it was quite hard to make anything else for me, okay this is the end, any questions We would love to answer any question what you have Hi, how do I use it assuming I'm on Alma Linux? What? How do I use update info? Oh okay, so every time when you are asking for example Alma in a set, when you are asking the repository about the repository it actually looks like this, there's like this URL and the URL or DNF will add the cf repo data cf repo md that is metadata this is like xml file and update info is one of the entries in that xml file then the URL or DNF and it will solve and it will okay and whatever this whole stack will actually pull that update info for you, it will be probably compress, it will decompress it, read it, parse it, things i get all the magic and then it will just print you, if you have a security update in your system it can be used by the way, it can be used, the most of the admin that I know actually is just DNF minus, minus security, you can also set the level that is required or you can get the security and then info so you can, before you update you can get this information of the cv es and things i get so and it's all like very natural for organizations. Thank you. Thank you. Okay, so okay, thank you very much for coming and yeah.