Forwarded from k8s (in)security (r0binak)
Если вы используете в своей инфраструктуре
В ней автор рассказывает как CoCo безопасно извлекают секреты, а также как устроен процесс аутентификации,
confidential containers, то статья "How your confidential containers can securely retrieve secrets?" как раз для вас.В ней автор рассказывает как CoCo безопасно извлекают секреты, а также как устроен процесс аутентификации,
resource retrieval flow и как выглядят запросы от ворклоадов до Confidential Data Hub endpoint.Medium
How your confidential containers can securely retrieve secrets?
Handling secrets in confidential containers
Про важность практики OSA
https://www.sonatype.com/en/press-releases/open-source-malware-reaches-778500-packages
https://www.sonatype.com/en/press-releases/open-source-malware-reaches-778500-packages
Sonatype
Open Source Malware Reaches More Than 778,500 Packages | Sonatype
New research examines growth in open source malware attacks, most prevalent against software developers at government and financial institutions.
Видео с конференции по безопасности от AWS. Акцент на вопросы безопасности облака AWS.
https://m.youtube.com/playlist?list=PLdq8VB0hSfcYjWMBLrItQTNSbhXZ-jElD
https://m.youtube.com/playlist?list=PLdq8VB0hSfcYjWMBLrItQTNSbhXZ-jElD
Semgrep это статический анализатор кода с опенсорс версией и более чем с 30 поддерживаемыми языками программирования.
Forwarded from DevSecOps Talks
Правила для Semgrep от Trail of Bits!
Всем привет!
Ребята из Trail of Bits выложили в открытый доступ еще 35 собственных правил для Semgrep. Всего их теперь 115, ознакомиться с ними можно здесь.
В новой подборке доступны правила для:
🍭 Ruby (большая часть – от Insecure SSL до проверок, связанных с десериализацией)
🍭 HCL (проверка TLS, поиск секретов, соответствие лучшим практикам)
🍭 YAML (большинство за поиск секретов)
🍭 Generic (проверка корректности использования криптографии)
Для каждого правила приводится небольшое описание.
А в завершении – краткий обзор функционала Semgrep (regex mode и поддержка HCL).
Всем привет!
Ребята из Trail of Bits выложили в открытый доступ еще 35 собственных правил для Semgrep. Всего их теперь 115, ознакомиться с ними можно здесь.
В новой подборке доступны правила для:
🍭 Ruby (большая часть – от Insecure SSL до проверок, связанных с десериализацией)
🍭 HCL (проверка TLS, поиск секретов, соответствие лучшим практикам)
🍭 YAML (большинство за поиск секретов)
🍭 Generic (проверка корректности использования криптографии)
Для каждого правила приводится небольшое описание.
А в завершении – краткий обзор функционала Semgrep (regex mode и поддержка HCL).
The Trail of Bits Blog
35 more Semgrep rules: infrastructure, supply chain, and Ruby
We are publishing another set of custom Semgrep rules, bringing our total number of public rules to 115. This blog post will briefly cover the new rules, then explore two Semgrep features in depth: regex mode (especially how it compares against generic mode)…
"Draft NIST Internal Report (IR) 8467, Genomic Data Cybersecurity and Privacy Frameworks Community Profile (Genomic Data Profile), provides a structured, risk-based approach for managing both cybersecurity and privacy risks in processing genomic data. The updated draft incorporates the NIST Cybersecurity Framework (CSF) version 2.0 and NIST Privacy Framework (PF) version 1.0 to help organizations prioritize cybersecurity and privacy capabilities. This publication is the first joint CSF and PF Community Profile developed by NIST.
Draft NIST Cybersecurity White Paper (CSWP) 35, Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow, evaluates potential threats in a genomic data processing environment using an iterative methodology. It provides an example use case and demonstrates an approach which organizations can adapt to identify cybersecurity threats and mitigations in their environments."
https://www.nccoe.nist.gov/projects/cybersecurity-and-privacy-genomic-data#join-the-coi
Draft NIST Cybersecurity White Paper (CSWP) 35, Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow, evaluates potential threats in a genomic data processing environment using an iterative methodology. It provides an example use case and demonstrates an approach which organizations can adapt to identify cybersecurity threats and mitigations in their environments."
https://www.nccoe.nist.gov/projects/cybersecurity-and-privacy-genomic-data#join-the-coi
NCCoE
Cybersecurity and Privacy of Genomic Data | NCCoE
Project OverviewAdvancements in genomic sequencing technologies are accelerating the speed and volume of data collection, sequencing, and analysis. However, this progress also heightens cybersecurity and privacy risks. In response, NIST is engaging with genomic…
Видео с практической конференции по безопасности MacOS и iOS.
https://m.youtube.com/playlist?list=PLliknDIoYszuWU8jz_QzSrzlpRot4Vrn5
https://m.youtube.com/playlist?list=PLliknDIoYszuWU8jz_QzSrzlpRot4Vrn5
https://radar.cloudflare.com/year-in-review/2024 Интересный отчет с взглядом со стороны сетевых технологий безопасности.
Cloudflare
Cloudflare Radar 2024 Year in Review
The Cloudflare Radar 2024 Year In Review features interactive charts, graphs, and maps you can use to explore what changed on the Internet Worldwide throughout 2024.
Относительно редкий отчет по рынку страхования кибер рисков.
https://www.genevaassociation.org/publication/cyber/catalysing-cyber-risk-transfer-capital-markets-catastrophe-bonds-and-beyond
https://www.genevaassociation.org/publication/cyber/catalysing-cyber-risk-transfer-capital-markets-catastrophe-bonds-and-beyond
https://openssf.org/download-the-2024-openssf-annual-report/ Отчет о деятельности фонда безопасности открытого программного обеспечения.
Много разных ссылок в т.ч. на рабочие группы, учебные курсы и рекомендации.
Много разных ссылок в т.ч. на рабочие группы, учебные курсы и рекомендации.