Набор статей про CI/CD Security
Всем привет!
Безопасность CI/CD тема важная, нужная и очень интересная! Поэтому предлагаем вам сегодня несколько статей на эту тему.
Первая и вторая посвящены Direct и Indirect Poisoned Pipeline Execution (PPE и I-PPE соответственно). Если просто, то это тип атак, при котором злоумышленник *каким-то образом* может влиять на конфигурационный файл конвейера сборки.
Третья же рассматривает Artifact Poisoning и Code Injection. Возможность влияния на логику конвейера путем манипуляции с артефактами, которыми он оперирует.
Статьи содержат информацию:
🍭 Пояснение «логики работы» и способы эксплуатации указанных недостатков
🍭 Рекомендации по их предотвращению
Особенно хорошо расписаны способы эксплуатации – они наглядны и позволяют лучше понять происходящее. Для всего есть схемы, пояснения и комментарии Авторов.
Всем привет!
Безопасность CI/CD тема важная, нужная и очень интересная! Поэтому предлагаем вам сегодня несколько статей на эту тему.
Первая и вторая посвящены Direct и Indirect Poisoned Pipeline Execution (PPE и I-PPE соответственно). Если просто, то это тип атак, при котором злоумышленник *каким-то образом* может влиять на конфигурационный файл конвейера сборки.
Третья же рассматривает Artifact Poisoning и Code Injection. Возможность влияния на логику конвейера путем манипуляции с артефактами, которыми он оперирует.
Статьи содержат информацию:
🍭 Пояснение «логики работы» и способы эксплуатации указанных недостатков
🍭 Рекомендации по их предотвращению
Особенно хорошо расписаны способы эксплуатации – они наглядны и позволяют лучше понять происходящее. Для всего есть схемы, пояснения и комментарии Авторов.
Xygeni | Software Supply Chain Security
A Deep Dive into CI/CD Pipelines Vulnerabilities (I) : Poisoned Pipeline Execution (PPE)
CI/CD become increasingly crucial and its protection them from vulnerabilities (Poisoned Pipeline Execution) becomes more urgent. Learn how!
❤4
AppSecAutomation: как внедрить проверки в жизнь разработчиков и не свести их с ума
Всем привет!
Третье представление спикеров CyberCamp 2024 и два независимых DevSecOps-инженера: Алёна Жилина и Вячеслав Давыдов!
У ребят есть отличный опыт, посвященный автоматизации ИБ-проверок, которым они хотят поделиться с общественностью!
«Скорость выпуска ИТ-продуктов на рынок становится приоритетом, но не стоит забывать о проверках безопасности приложений и их компонентов. Оркестрация AppSec-инструментов дает возможность эффективно и единообразно управлять их выбором, конфигурацией и запуском в конкретных условиях. Использование механизмов Kubernetes позволяет создавать более высокоуровневые интерфейсы для проведения сканирований, упрощая процесс и реализуя «shift-left»-подход.
В рамках этой темы:
🤕 Рассмотрим, что представляет собой приложение в контексте AppSec
🤕 Разберемся с «зоопарком» существующих практик и инструментов
🤕 Расскажем о нашем подходе к оркестрации инструментов SAST, SCA и Secret Scanning в процессе непрерывной сборки или при запуске сканирования on-demand
🤕 Покажем, как упростить работу с инструментами и практиками AppSec с помощью нативных и кастомных ресурсов Kubernetes» - представление доклада от Алёны и Вячеслава!
То, что подготовили ребята, похоже на головокружительные приключения Нэйта Дрейка и доктора Генри Джонса-младшего(дада, Индианой звали его собаку 😊) ! Вас ждет захватывающий, стремительный, интересный и невероятно познавательный доклад! Скучно точно не будет!
Всем привет!
Третье представление спикеров CyberCamp 2024 и два независимых DevSecOps-инженера: Алёна Жилина и Вячеслав Давыдов!
У ребят есть отличный опыт, посвященный автоматизации ИБ-проверок, которым они хотят поделиться с общественностью!
«Скорость выпуска ИТ-продуктов на рынок становится приоритетом, но не стоит забывать о проверках безопасности приложений и их компонентов. Оркестрация AppSec-инструментов дает возможность эффективно и единообразно управлять их выбором, конфигурацией и запуском в конкретных условиях. Использование механизмов Kubernetes позволяет создавать более высокоуровневые интерфейсы для проведения сканирований, упрощая процесс и реализуя «shift-left»-подход.
В рамках этой темы:
То, что подготовили ребята, похоже на головокружительные приключения Нэйта Дрейка и доктора Генри Джонса-младшего
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍3🔥3🥰2
State of Exploitation от VulnCheck
Всем привет!
По ссылке можно ознакомиться с аналитической информацией, посвященной exploit’ам для уязвимостей, подготовленной VulnCheck.
Всего команда добавила 390 уязвимостей в базу Known Vulnerability Exploitation (KEV). Не путать с CISA KEV, это немного разные ресурсы.
Top-5 категорий с известными exploit:
🍭 Network Edge Devices (70)
🍭 Content Management Systems (70)
🍭 Open Source Software (56)
🍭 Server Software (35)
🍭 Operating Systems (29)
В статье приведено много статистической информации, отображенной в графическом формате (увы, без абсолютных данных) о том, кто предоставлял больше всего информации, какие именно компоненты содержат уязвимости и сравнение с CISA KEV.
Всем привет!
По ссылке можно ознакомиться с аналитической информацией, посвященной exploit’ам для уязвимостей, подготовленной VulnCheck.
Всего команда добавила 390 уязвимостей в базу Known Vulnerability Exploitation (KEV). Не путать с CISA KEV, это немного разные ресурсы.
Top-5 категорий с известными exploit:
🍭 Network Edge Devices (70)
🍭 Content Management Systems (70)
🍭 Open Source Software (56)
🍭 Server Software (35)
🍭 Operating Systems (29)
В статье приведено много статистической информации, отображенной в графическом формате (увы, без абсолютных данных) о том, кто предоставлял больше всего информации, какие именно компоненты содержат уязвимости и сравнение с CISA KEV.
VulnCheck
VulnCheck - Outpace Adversaries
Vulnerability intelligence that predicts avenues of attack with speed and accuracy.
❤2
Учим разработчиков защите от XSS и проблем с десериализацией
Всем привет!
Продолжает череду анонсов докладов CyberCamp 2024, посвященных безопасной разработке, Алексей Григорьев – специалист по информационной безопасности, StartX.
«Представьте, что в результате пентеста в приложении было обнаружено несколько уязвимостей — десериализация и XSS. Они встречаются довольно часто; мы рассмотрим их на примере конкретного приложения Food App.
Что будет в докладе:
⬆️ Возможные векторы атаки
⬆️ Способы создания изначально защищенных приложений, включая практический тренажер
⬆️ Методология обучения специалистов правилам безопасной разработки» - именно об этом расскажет Алексей!
Предлагаем и вам присоединиться к этому приятному, легкому и интересному road-movie!
Всем привет!
Продолжает череду анонсов докладов CyberCamp 2024, посвященных безопасной разработке, Алексей Григорьев – специалист по информационной безопасности, StartX.
«Представьте, что в результате пентеста в приложении было обнаружено несколько уязвимостей — десериализация и XSS. Они встречаются довольно часто; мы рассмотрим их на примере конкретного приложения Food App.
Что будет в докладе:
Предлагаем и вам присоединиться к этому приятному, легкому и интересному road-movie!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3👍2❤🔥1🥰1
Beginner guide по производительной и безопасной настройке Nginx!
Всем привет!
Наверное, мало кто не слышал про Nginx! Он достаточно функционален, может выступать в разных «ролях» (Web Server, Load Balancer, Reverse Proxy и не только). И все эти роли он исполняет весьма и весьма хорошо! Зачастую он используется и для DevSecOps-задач.
У него много конфигурационных параметров, которые по началу могут «сбивать с толку». Если вы искали статью, в которой понятно и доступно агрегирована информация по его настройке, то рекомендуем материал по ссылке (~ 28 минут на чтение).
Автор начинает с истории: как, когда и кем был создан Nginx, рассказывает про варианты его использования.
Дальше, по нарастающей, начинается интересное – установка, первичная конфигурация, варианты настройки различных ролей и… конечно же! Безопасность!
Рассматриваются такие темы, как:
🍭 Настройка SSL/TLS
🍭 Реализация Rate Limiting
🍭 Работа с Security Headers
🍭 Настройка журналирования
Помимо этого, затрагивается много тем, которые могут быть полезны Ops-специалистам: оптимизация работы при высоком трафике, автоматизация настройки Nginx с использованием Ansible и многое другое.
Конкретные команды, комментарии, перечень действий – все это можно найти в статье. Что в ней приятного – так это отлично структурированный материал, в котором нет ничего лишнего. Все по делу!
Всем привет!
Наверное, мало кто не слышал про Nginx! Он достаточно функционален, может выступать в разных «ролях» (Web Server, Load Balancer, Reverse Proxy и не только). И все эти роли он исполняет весьма и весьма хорошо! Зачастую он используется и для DevSecOps-задач.
У него много конфигурационных параметров, которые по началу могут «сбивать с толку». Если вы искали статью, в которой понятно и доступно агрегирована информация по его настройке, то рекомендуем материал по ссылке (~ 28 минут на чтение).
Автор начинает с истории: как, когда и кем был создан Nginx, рассказывает про варианты его использования.
Дальше, по нарастающей, начинается интересное – установка, первичная конфигурация, варианты настройки различных ролей и… конечно же! Безопасность!
Рассматриваются такие темы, как:
🍭 Настройка SSL/TLS
🍭 Реализация Rate Limiting
🍭 Работа с Security Headers
🍭 Настройка журналирования
Помимо этого, затрагивается много тем, которые могут быть полезны Ops-специалистам: оптимизация работы при высоком трафике, автоматизация настройки Nginx с использованием Ansible и многое другое.
Конкретные команды, комментарии, перечень действий – все это можно найти в статье. Что в ней приятного – так это отлично структурированный материал, в котором нет ничего лишнего. Все по делу!
Medium
Mastering NGINX: A Beginner-Friendly Guide to Building a Fast, Secure, and Scalable Web Server
Understanding NGINX: The Swiss Army Knife of Modern Web Servers
❤🔥6👍6❤2🔥1
Анализируем поведение браузерного JavaScript-приложения с помощью Chromium DevTools
Всем привет!
Завершает представление спикеров CyberCamp 2024 Михаил Парфенов, Application Security Architect!
Михаил поделится своим опытом: «JS-приложения, выполняемые в браузерах, содержат конфиденциальную информацию и часто используются для атак на пользователей. При этом браузер является слепой зоной для ИБ.
На кэмпе мы:
😵 Поговорим об актуальных рисках при разработке и эксплуатации JS-приложений
😵 Разберем несколько инцидентов, связанных с утечкой данных
😵 Проведем практический анализ поведения приложения с помощью встроенных инструментов браузера»
Рассказ Михаила, словно остросюжетный боевик! Ведь он расскажет, как обладая лишьцелеустремленностью, силой воли и карандашом «подручными» средствами можно реализовывать AppSec-практики!
P.S. Если вы хотите, чтобы мы сделали общий пост, в котором собрали всю информацию по докладам CyberCamp 2024, посвященных безопасной разработке и DevSecOps, пишите в комментариях 😊
Всем привет!
Завершает представление спикеров CyberCamp 2024 Михаил Парфенов, Application Security Architect!
Михаил поделится своим опытом: «JS-приложения, выполняемые в браузерах, содержат конфиденциальную информацию и часто используются для атак на пользователей. При этом браузер является слепой зоной для ИБ.
На кэмпе мы:
Рассказ Михаила, словно остросюжетный боевик! Ведь он расскажет, как обладая лишь
P.S. Если вы хотите, чтобы мы сделали общий пост, в котором собрали всю информацию по докладам CyberCamp 2024, посвященных безопасной разработке и DevSecOps, пишите в комментариях 😊
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🔥5👍3
CyberCamp 2024, безопасная разработка: line up!
Всем привет!
Как вы и просили, собираем вместе всю информацию о докладах грядущего CyberCamp 2024 по безопасной разработке и DevSecOps!
Итак:
🗓 03.10, 12:55 – 13:25. «Безопасная разработка Telegram-ботов: минимизация рисков ИБ», Александр Терехов, Инфосистемы Джет
🗓 04.10, 11:45 – 12:30. «eBPF в Kubernetes: из огня не в полымя», Алексей Рыбалко, Kaspersky
🗓 05.10, 11:00 – 12:00. «Анализируем поведение браузерного JavaScript-приложения с помощью Chromium DevTools», Михаил Парфенов, независимый эксперт
🗓 05.10, 12:55 – 13:50. «AppSecAutomation: как внедрить проверки в жизнь разработчиков и не свести их с ума», Алёна Жилина и Вячеслав Давыдов, независимые эксперты
🗓 05.10, 14:25 – 15:00 «Учим разработчиков защите от XSS и проблем с десериализацией», Алексей Григорьев, StartX
Возможны некоторые изменения в программе. Актуальную информацию можно всегда посмотреть на сайте мероприятия.
Все доклады будут размещены online после мероприятия. Где именно и когда будет опубликовано на канале CyberCamp. Рекламы нет, только информация о мероприятии 😊
До встречи на CyberCamp 2024!!!
P.S. Завтра будет еще-один-пост-про-конференция и на этом Астрологи, объявившие недели мероприятий, уйдут на покой 😊
Всем привет!
Как вы и просили, собираем вместе всю информацию о докладах грядущего CyberCamp 2024 по безопасной разработке и DevSecOps!
Итак:
Возможны некоторые изменения в программе. Актуальную информацию можно всегда посмотреть на сайте мероприятия.
Все доклады будут размещены online после мероприятия. Где именно и когда будет опубликовано на канале CyberCamp. Рекламы нет, только информация о мероприятии 😊
До встречи на CyberCamp 2024!!!
P.S. Завтра будет еще-один-пост-про-конференция и на этом Астрологи, объявившие недели мероприятий, уйдут на покой 😊
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥4🥰3
IT Elements — конференция про инфраструктуру, сети и ИБ. Встречаемся 18–19 сентября!
Технологическая конфа про базовые элементы, которые создают надежный ИТ-фундамент компании, пройдет в Москве уже во второй раз. В этом году мы поговорим не только о сетях и инфраструктуре, но и об информационной безопасности.
2000+ участников, 60+ спикеров, 30 демозон, десятки докладов и дискуссий, воркшопы и лабы, настоящий опыт, сложные кейсы и тренды по топовыми темами в ИТ.
ИТ-инфраструктура:
🔹 Как оставаться на пике технологического развития
🔹 Стык разработки и инфры
🔹 Платформы разработки, контейнеры, гибридные облака
🔹 Инфра на отечественном
🔹 Highload-нагрузки
🔹 ИТ-стратегия
Сетевые решения:
🔹 SD-WAN
🔹 Telco Сloud
🔹 Балансировка приложений
🔹 ВКС, телефония и умный офис
🔹 VXLAN, ECMP, Multihoming, MC-LAG
🔹 МЦОД и инфраструктура вокруг ЦОД
Информационная безопасность:
🔹 DevSecOps
🔹 Защита приложений
🔹 Отечественные NGFW
🔹 Мониторинг ИБ в инфраструктуре
🔹 Киберустойчивая ИТ-инфраструктура
Мероприятие будет полезно ИТ-, ИБ- и сетевым архитекторам, инженерам по сетям и ИТ-инфраструктуре, руководителям инфраструктурных подразделений, руководителям служб эксплуатации и ИБ.
Подробности и регистрация на сайте🎙
Технологическая конфа про базовые элементы, которые создают надежный ИТ-фундамент компании, пройдет в Москве уже во второй раз. В этом году мы поговорим не только о сетях и инфраструктуре, но и об информационной безопасности.
2000+ участников, 60+ спикеров, 30 демозон, десятки докладов и дискуссий, воркшопы и лабы, настоящий опыт, сложные кейсы и тренды по топовыми темами в ИТ.
ИТ-инфраструктура:
Сетевые решения:
Информационная безопасность:
Мероприятие будет полезно ИТ-, ИБ- и сетевым архитекторам, инженерам по сетям и ИТ-инфраструктуре, руководителям инфраструктурных подразделений, руководителям служб эксплуатации и ИБ.
Подробности и регистрация на сайте
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤4👍4🥰4🆒2
Burp Suite: Deep Dive!
Всем привет!
Вы наверняка слышали про Burp Suite. Его часто используют при тестировании на проникновении или анализе защищенности ПО.
Если хотели узнать про него больше, но не знали с чего начать, то сегодняшний пост может вам подойти!
По ссылке доступе набор видео-уроков, включающих в себя рассказ про:
🍭 Basics (целых 5 видео 😊)
🍭 Advanced Scoping
🍭 Sitemap и Scanner
🍭 Repeater и не только
Всего доступно 21 видео, в среднем по 15-17 минут каждое. Помимо этого, если интересна тематика безопасности web-приложений, то однозначно стоит посмотреть в сторону Web Security Academy.
Всем привет!
Вы наверняка слышали про Burp Suite. Его часто используют при тестировании на проникновении или анализе защищенности ПО.
Если хотели узнать про него больше, но не знали с чего начать, то сегодняшний пост может вам подойти!
По ссылке доступе набор видео-уроков, включающих в себя рассказ про:
🍭 Basics (целых 5 видео 😊)
🍭 Advanced Scoping
🍭 Sitemap и Scanner
🍭 Repeater и не только
Всего доступно 21 видео, в среднем по 15-17 минут каждое. Помимо этого, если интересна тематика безопасности web-приложений, то однозначно стоит посмотреть в сторону Web Security Academy.
YouTube
Burp Suite - Deep Dive
Share your videos with friends, family, and the world
👍11🔥3❤2
Где лучше всего (не) хранить секреты?
Всем привет!
Есть очень популярная и правильная рекомендация – не хранить секреты в исходном коде, конфигурационных файлах и т.д. Но настолько ли все плохо и действительно ли их быстро «уведут»?
Чтобы проверить эту гипотезу Автор статьи решил провести эксперимент. Он создал несколько canary tokens – специальные «метки», которые сообщат, если кто-то попробует ими воспользоваться.
После чего Автор разместил их на разных ресурсах:
🍭 Публичные репозитории: GitHub, GitLab, BitBucket, DockerHub
🍭 «Собственные» ресурсы: FTP-сервер, Блог
🍭 SaaS-сервисы: Pastebin, JSFiddle
🍭 Пакетные менеджеры: NPM, PuPi
🍭 Облачные хранилища: AWS S3, GCP Google Cloud Storage
В результате эксперимента была собрана очень интересная аналитика, которую Автор детально описал в статье.
Какое ваше мнение? Откуда быстрее всего «забрали» секреты? Пишите в комментариях!
P.S. А если очень не терпится, тоувы! ) статья очень интересная и мы настойчиво рекомендуем ее прочесть 😊
Всем привет!
Есть очень популярная и правильная рекомендация – не хранить секреты в исходном коде, конфигурационных файлах и т.д. Но настолько ли все плохо и действительно ли их быстро «уведут»?
Чтобы проверить эту гипотезу Автор статьи решил провести эксперимент. Он создал несколько canary tokens – специальные «метки», которые сообщат, если кто-то попробует ими воспользоваться.
После чего Автор разместил их на разных ресурсах:
🍭 Публичные репозитории: GitHub, GitLab, BitBucket, DockerHub
🍭 «Собственные» ресурсы: FTP-сервер, Блог
🍭 SaaS-сервисы: Pastebin, JSFiddle
🍭 Пакетные менеджеры: NPM, PuPi
🍭 Облачные хранилища: AWS S3, GCP Google Cloud Storage
В результате эксперимента была собрана очень интересная аналитика, которую Автор детально описал в статье.
Какое ваше мнение? Откуда быстрее всего «забрали» секреты? Пишите в комментариях!
P.S. А если очень не терпится, то
👍10🔥2⚡1
Как работает kubectl port-forward?
Всем привет!
Если вы когда-нибудь задумывались о том, что именно происходит в случае реализации команды
Автор подробно описывает, что происходит:
🍭 Инициализация:
🍭 AuthN/Z, реализуемый на стороне
🍭 Получение информации о
🍭 Установка сессии
🍭 Настройка iptables
🍭 Взаимодействие с
Все это оформлено в виде наглядной sequence-диаграммы. Ссылку на нее можно найти в статье.
Кстати, Автор делал это не из праздного интереса, а для разработки собственной утилиты –
Если кратко, то она позволяет не терять соединение, даже в случае «смерти»
Всем привет!
Если вы когда-нибудь задумывались о том, что именно происходит в случае реализации команды
kubectl port-forward и искали ответ, то он есть в статье!Автор подробно описывает, что происходит:
🍭 Инициализация:
kubectl port-forward🍭 AuthN/Z, реализуемый на стороне
kube-apiserver🍭 Получение информации о
pod🍭 Установка сессии
🍭 Настройка iptables
🍭 Взаимодействие с
pod через port-forwardВсе это оформлено в виде наглядной sequence-диаграммы. Ссылку на нее можно найти в статье.
Кстати, Автор делал это не из праздного интереса, а для разработки собственной утилиты –
kftray. Сам он описывает ее так: «kubectl port-forward on steroids!».Если кратко, то она позволяет не терять соединение, даже в случае «смерти»
pod, поддерживает разные протоколы, записывает логи и не только. Подробности – в repo проекта!👍8⚡1❤1🔥1
Разработка, найм и социальная инженерия!
Всем привет!
Допустим, вы – специалист, который ищет работу, так или иначе связанную с разработкой: от полноценного ПО до приятных утилит для автоматизации чего-либо.
И вот однажды получаете сообщение по почте, что ваше резюме интересно работодателю!
И что может быть лучше, чем пройти небольшое тестовое задание?
Например, вас попросят добавить некий новый функционал в тестовый проект или потребуется устранить некий недостаток. Конечно, после изменения кодовой базы, надо проверить, что все работает. «Рекрутер» попросит запустить приложение и сделать screenshot, который подтвердит, что все в порядке.
И вроде бы все хорошо, но есть нюанс… Он заключается в том, что это может быть достаточно хорошо реализованная социальная инженерия. И нет, это не домыслы, это реальный случай, который нашла команда из ReversingLabs. Подробнее про него можно прочесть в статье – там описан «полный цикл».
Да, есть множество способов решать задачки по программированию – от online-площадок, до полностью самостоятельного написания кода «у себя». Но социальная инженерия «бьет» по самым больным местам. Вдруг вы получили письмо от компании, в которой всегда хотели работать? И вот уже открыть архив не кажется странным.
Будьте бдительны ) И не забывайте о том, что самое слабое звено в любой системе защиты – это мы с вами 😊
Всем привет!
Допустим, вы – специалист, который ищет работу, так или иначе связанную с разработкой: от полноценного ПО до приятных утилит для автоматизации чего-либо.
И вот однажды получаете сообщение по почте, что ваше резюме интересно работодателю!
Talk is cheap. Show me the code! (c) Linus Torvalds
И что может быть лучше, чем пройти небольшое тестовое задание?
Например, вас попросят добавить некий новый функционал в тестовый проект или потребуется устранить некий недостаток. Конечно, после изменения кодовой базы, надо проверить, что все работает. «Рекрутер» попросит запустить приложение и сделать screenshot, который подтвердит, что все в порядке.
И вроде бы все хорошо, но есть нюанс… Он заключается в том, что это может быть достаточно хорошо реализованная социальная инженерия. И нет, это не домыслы, это реальный случай, который нашла команда из ReversingLabs. Подробнее про него можно прочесть в статье – там описан «полный цикл».
Да, есть множество способов решать задачки по программированию – от online-площадок, до полностью самостоятельного написания кода «у себя». Но социальная инженерия «бьет» по самым больным местам. Вдруг вы получили письмо от компании, в которой всегда хотели работать? И вот уже открыть архив не кажется странным.
Будьте бдительны ) И не забывайте о том, что самое слабое звено в любой системе защиты – это мы с вами 😊
ReversingLabs
Fake recruiter coding tests target devs with malicious Python packages | ReversingLabs
RL found the VMConnect campaign continuing with malicious actors posing as recruiters, using packages and the names of financial firms to lure developers.
👍10
Supply chain атака на PyPi: Revival Hijack
Всем привет!
«Как только пакет удаляется из PyPi, его имя сразу становится доступно для регистрации». Directed by Robert B. Weide.
Наверное, тут уже не «кажется, что что-то может пойти не так», а прямо кричит об этом. Особенно учитывая то, насколько Supply Chain атаки «популярны».
Сценарий крайне простой:
🍭 Пользователь работает с пакетом X версии 1.42
🍭 «Владелец пакета» удаляет его из PyPi
🍭 Злоумышленник регистрирует пакет X версии большей, чем 1.42. Но только уже совсем с иным «содержанием»
🍭 Пользователь обновляет пакет…
И это не typosquotting, где пользователь ошибся. С его точки зрения это вполне легитимная операция.
Команда JFrog, нашедшая указанный недостаток, написала отличную статью, в которой все описано в мельчайших подробностях. От теории до PoC с примерами, скриншотами и всем необходимым для более глубокого погружения.
На этом ребята не остановились и пошли дальше! Они «прикинули» сколько пакетов подвержено этой атаке. Т.е. были недавно удалены. Оказалось, что таких – 22 000! При этом, в среднем в месяц удаляется около 309 пакетов.
Но есть и хорошие новости! Чтобы защитить community, специалисты JFrog создали Security Holding. Он загружает «пакет-заглушку» для наиболее часто скачиваемых пакетов, что были удалены. И понижает версию до 0.0.0.1, что позволяет минимизировать вероятность dependency confusion.
И даже это еще не все… 😊 Крайне рекомендуем к ознакомлению! Читается на одном дыхании!
Всем привет!
«Как только пакет удаляется из PyPi, его имя сразу становится доступно для регистрации». Directed by Robert B. Weide.
Наверное, тут уже не «кажется, что что-то может пойти не так», а прямо кричит об этом. Особенно учитывая то, насколько Supply Chain атаки «популярны».
Сценарий крайне простой:
🍭 Пользователь работает с пакетом X версии 1.42
🍭 «Владелец пакета» удаляет его из PyPi
🍭 Злоумышленник регистрирует пакет X версии большей, чем 1.42. Но только уже совсем с иным «содержанием»
🍭 Пользователь обновляет пакет…
И это не typosquotting, где пользователь ошибся. С его точки зрения это вполне легитимная операция.
Команда JFrog, нашедшая указанный недостаток, написала отличную статью, в которой все описано в мельчайших подробностях. От теории до PoC с примерами, скриншотами и всем необходимым для более глубокого погружения.
На этом ребята не остановились и пошли дальше! Они «прикинули» сколько пакетов подвержено этой атаке. Т.е. были недавно удалены. Оказалось, что таких – 22 000! При этом, в среднем в месяц удаляется около 309 пакетов.
Но есть и хорошие новости! Чтобы защитить community, специалисты JFrog создали Security Holding. Он загружает «пакет-заглушку» для наиболее часто скачиваемых пакетов, что были удалены. И понижает версию до 0.0.0.1, что позволяет минимизировать вероятность dependency confusion.
И даже это еще не все… 😊 Крайне рекомендуем к ознакомлению! Читается на одном дыхании!
JFrog
Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk
JFrog’s security research team continuously monitors open-source software registries, proactively identifying and addressing potential malware and vulnerability threats to foster a secure and reliable ecosystem for open-source software development and deployment.…
👍7🤯5🔥2⚡1
JET Pilot: UI для Kubernetes
Всем привет!
Если вы из тех, кому нравится выбор, и вы любите смотреть на разные технологии, решающие одну и ту же задачу, но по-разному, то JET Pilot может вас заинтересовать.
Это минималистичный UI для Kubernetes, который позволяет:
🍭 Получать информацию о ресурсах кластера
🍭 Смотреть и редактировать их конфигурацию
🍭 Анализировать логи в real time
🍭 Получать shell-доступ внутрь контейнера
Каких-то явных преимуществ в сравнении с Lens или k9s у него нет. Но у всех свои вкусы )
Например, тот, кто написал этот пост любит k9s и не очень любит использовать Lens 😊
Всем привет!
Если вы из тех, кому нравится выбор, и вы любите смотреть на разные технологии, решающие одну и ту же задачу, но по-разному, то JET Pilot может вас заинтересовать.
Это минималистичный UI для Kubernetes, который позволяет:
🍭 Получать информацию о ресурсах кластера
🍭 Смотреть и редактировать их конфигурацию
🍭 Анализировать логи в real time
🍭 Получать shell-доступ внутрь контейнера
Каких-то явных преимуществ в сравнении с Lens или k9s у него нет. Но у всех свои вкусы )
Например, тот, кто написал этот пост любит k9s и не очень любит использовать Lens 😊
GitHub
GitHub - unxsist/jet-pilot: JET Pilot is an open-source Kubernetes desktop client that focuses on less clutter, speed and good…
JET Pilot is an open-source Kubernetes desktop client that focuses on less clutter, speed and good looks. - unxsist/jet-pilot
🔥4👍3⚡1
KubeAdmiral: multi-cluster orchestration engine!
Всем привет!
В начале своей деятельности команда ByteDance использовала подход, в котором для каждого бизнес-направления использовались собственные кластеры Kubernetes.
Со временем, ребята поняли, что такой подход имеет ряд существенных ограничений с утилизацией ресурсов и поддержкой отдельно взятых инсталляций.
Это привело к дому, что они начали «копать» в сторону реализации федеративных кластеров. И сперва использовали для этого KubeFed.
Концепт состоит в том, что есть host и member кластеры. Пользователь может создать federated-ресурс на host кластере, после чего он будет создан в member-кластерах.
Однако, и у такого подхода есть недостатки: поддержка ограниченного количества ресурсов для scheduling; возможные проблемы, связанные с rescheduling и не только.
Все описанное выше привело к тому, что был создан KubeAdmiral! Он позволяет централизованно управлять множеством кластеров и не содержит недостатков, которые есть у KubeFed.
Подробнее о нем можно прочесть в статье, repo проекта или в документации.
Всем привет!
В начале своей деятельности команда ByteDance использовала подход, в котором для каждого бизнес-направления использовались собственные кластеры Kubernetes.
Со временем, ребята поняли, что такой подход имеет ряд существенных ограничений с утилизацией ресурсов и поддержкой отдельно взятых инсталляций.
Это привело к дому, что они начали «копать» в сторону реализации федеративных кластеров. И сперва использовали для этого KubeFed.
Концепт состоит в том, что есть host и member кластеры. Пользователь может создать federated-ресурс на host кластере, после чего он будет создан в member-кластерах.
Однако, и у такого подхода есть недостатки: поддержка ограниченного количества ресурсов для scheduling; возможные проблемы, связанные с rescheduling и не только.
Все описанное выше привело к тому, что был создан KubeAdmiral! Он позволяет централизованно управлять множеством кластеров и не содержит недостатков, которые есть у KubeFed.
Подробнее о нем можно прочесть в статье, repo проекта или в документации.
GitHub
GitHub - kubewharf/kubeadmiral: Multi-Cluster Kubernetes Orchestration
Multi-Cluster Kubernetes Orchestration. Contribute to kubewharf/kubeadmiral development by creating an account on GitHub.
❤6🔥4👍2
VEX Hub: агрегация информации по VEX-отчетам
Всем привет!
Vulnerability Exploitability eXchange (VEX) – удобный формат обмена информацией о том, подвержено ли некоторое ПО уязвимости X или нет. Или при каких условиях. VEX может быть частью SBOM, а может жить «самостоятельной жизнью».
Его задача достаточно проста – обогащение информацией. Процесс управления уязвимостями (Vulnerability Management), вероятно, больше всех прочих нуждается в множестве данных, которые помогут принять решение и расставить приоритеты.
Как иначе понять, за какую из 100 Critical-уязвимостей браться в первую очередь, при условии, что «мощность» команды на устранение в нужный период лишь 40 штук?
Для того, чтобы немного упростить жизнь, команда Aqua Security анонсировала VEX Hub! У него крайне простое назначение – агрегировать VEX-данные от различных производителей и централизованно предоставлять информацию пользователям.
Работает по следующему принципу:
🍭 Maintainer repo создает папку .vex в корне и помещает в нее отчет
🍭 Maintainer делает PR в VEX Hub с просьбой добавить его для сбора информации
🍭 Crawler Aqua собирает данные и агрегирует все в едином repo
🍭 Все!
Больше подробностей можно узнать в repo проекта или в статье от Aqua Security. Да, наполнение пока «не очень», но и проект анонсировали недавно. Интересно будет наблюдать за его развитием 😊
P.S. Кстати, Trivy, начиная с версии v0.54 может работать с VEX для предоставления еще большей информации об уязвимостях.
Всем привет!
Vulnerability Exploitability eXchange (VEX) – удобный формат обмена информацией о том, подвержено ли некоторое ПО уязвимости X или нет. Или при каких условиях. VEX может быть частью SBOM, а может жить «самостоятельной жизнью».
Его задача достаточно проста – обогащение информацией. Процесс управления уязвимостями (Vulnerability Management), вероятно, больше всех прочих нуждается в множестве данных, которые помогут принять решение и расставить приоритеты.
Как иначе понять, за какую из 100 Critical-уязвимостей браться в первую очередь, при условии, что «мощность» команды на устранение в нужный период лишь 40 штук?
Для того, чтобы немного упростить жизнь, команда Aqua Security анонсировала VEX Hub! У него крайне простое назначение – агрегировать VEX-данные от различных производителей и централизованно предоставлять информацию пользователям.
Работает по следующему принципу:
🍭 Maintainer repo создает папку .vex в корне и помещает в нее отчет
🍭 Maintainer делает PR в VEX Hub с просьбой добавить его для сбора информации
🍭 Crawler Aqua собирает данные и агрегирует все в едином repo
🍭 Все!
Больше подробностей можно узнать в repo проекта или в статье от Aqua Security. Да, наполнение пока «не очень», но и проект анонсировали недавно. Интересно будет наблюдать за его развитием 😊
P.S. Кстати, Trivy, начиная с версии v0.54 может работать с VEX для предоставления еще большей информации об уязвимостях.
GitHub
GitHub - aquasecurity/vexhub
Contribute to aquasecurity/vexhub development by creating an account on GitHub.
❤2⚡2👍2
Top100Vulns.pdf
420.1 KB
Top100 Vulnerabilities: Step-By-Step
Всем привет!
В приложении вы найдете файл, в котором рассматриваются наиболее известные уязвимости. Например, SQLi, XSS, SSI, Brute Force и т.д.
Для каждой из них описано:
🍭 Параметры. Фактически – причины, из-за которых уязвимость возникает и ее можно эксплуатировать
🍭 Воспроизведение. Верхнеуровневый алгоритм, который позволит ей «воспользоваться»
Не стоит искать в документе алгоритма в стиле «делай 1,2,3 и реализуешь SQLi» - его там не будет.
Однако, в нем можно найти общие концепты, которые помогут лучше понять происходящее и как от него можно и нужно защищаться.
Всем привет!
В приложении вы найдете файл, в котором рассматриваются наиболее известные уязвимости. Например, SQLi, XSS, SSI, Brute Force и т.д.
Для каждой из них описано:
🍭 Параметры. Фактически – причины, из-за которых уязвимость возникает и ее можно эксплуатировать
🍭 Воспроизведение. Верхнеуровневый алгоритм, который позволит ей «воспользоваться»
Не стоит искать в документе алгоритма в стиле «делай 1,2,3 и реализуешь SQLi» - его там не будет.
Однако, в нем можно найти общие концепты, которые помогут лучше понять происходящее и как от него можно и нужно защищаться.
👍5🔥1
Диаграммы на любой вкус и цвет!
Всем привет!
Многие люди гораздо проще готовы воспринимать информацию, представленную в виде графики, а не текстового описания.
Если вы из таких, то этот легкий пятничный пост точно для вас! На сайте собрано невообразимое количество различных схем.
Например, можно найти:
🍭 Infrastructure as Code
🍭 API Security Cheatsheets
🍭 Объяснение принципов работы аутентификации (Password, Session, Cookie, Token, JWT, SSO, OAuth)
🍭 Good Coding Principles to Improve Code Quality и много чего еще
Помимо самой схемы-диаграммы есть небольшое описание или ссылка на видеоролик, в котором можно найти больше информации
P.S. Всех с пятницей и отличных вам выходных!!! 😊
Всем привет!
Многие люди гораздо проще готовы воспринимать информацию, представленную в виде графики, а не текстового описания.
Если вы из таких, то этот легкий пятничный пост точно для вас! На сайте собрано невообразимое количество различных схем.
Например, можно найти:
🍭 Infrastructure as Code
🍭 API Security Cheatsheets
🍭 Объяснение принципов работы аутентификации (Password, Session, Cookie, Token, JWT, SSO, OAuth)
🍭 Good Coding Principles to Improve Code Quality и много чего еще
Помимо самой схемы-диаграммы есть небольшое описание или ссылка на видеоролик, в котором можно найти больше информации
P.S. Всех с пятницей и отличных вам выходных!!! 😊
Bytebytego
ByteByteGo Newsletter | Alex Xu | Substack
Explain complex systems with simple terms, from the authors of the best-selling system design book series. Join over 1,000,000 friendly readers. Click to read ByteByteGo Newsletter, a Substack publication.
1👍7🔥4❤3
Shift Left/Right с использованием Trivy
Всем привет!
Trivy – достаточно известный инструмент от Aqua Security, который используется для идентификации уязвимостей и некорректных конфигураций в образах контейнеров. Такой вот «швейцарский нож», который много чего умеет.
Многие уже знают, что это и как с этим работать. А если вы еще не пробовали, то рекомендуем вам вот эту статью. В ней Автор показывает, как работать с Trivy и Trivy Operator.
Например:
🍭 Сканирование образов на наличие уязвимостей
🍭 Сканирование конфигурационных файлов для идентификации проблем
🍭 Анализ файловой системы для поиска чувствительных данных
🍭 Запуск Trivy Operator для анализа образов, из которых запущены контейнеры в кластере Kubernetes
🍭 Отправка данных в Grafana и последующая визуализация
Ничего «сверхъестественного», просто хорошая обзорная статья, в которой рассматриваются разные режимы работы Trivy и «точки интеграции» в процессы безопасной разработки. А еще внутри можно найти наглядные и полезные sequence-диаграммы 😊
Всем привет!
Trivy – достаточно известный инструмент от Aqua Security, который используется для идентификации уязвимостей и некорректных конфигураций в образах контейнеров. Такой вот «швейцарский нож», который много чего умеет.
Многие уже знают, что это и как с этим работать. А если вы еще не пробовали, то рекомендуем вам вот эту статью. В ней Автор показывает, как работать с Trivy и Trivy Operator.
Например:
🍭 Сканирование образов на наличие уязвимостей
🍭 Сканирование конфигурационных файлов для идентификации проблем
🍭 Анализ файловой системы для поиска чувствительных данных
🍭 Запуск Trivy Operator для анализа образов, из которых запущены контейнеры в кластере Kubernetes
🍭 Отправка данных в Grafana и последующая визуализация
Ничего «сверхъестественного», просто хорошая обзорная статья, в которой рассматриваются разные режимы работы Trivy и «точки интеграции» в процессы безопасной разработки. А еще внутри можно найти наглядные и полезные sequence-диаграммы 😊
Medium
Trivy — Shifting Security From Right to Left and then Right Again
Introduction
👍4🔥2
ChatGPT против Snyk!
Всем привет!
«Когда я впервые попросил написать ChatGPT *что-то* я был приятно удивлен результату! Казалось, что это может сэкономить кучу времени!» - так Автор начинает свою статью. Наверное, эта мысль отзывается многим.
Но так ли все хорошо на самом деле? Для ответа на этот вопрос Автор проделал простой эксперимент: он попросил ChatGPT написать ему конфигурацию для создания S3 Bucket при помощи Terraform.
Полученный результат Автор проанализировал с помощью Snyk и нашел достаточно много нюансов, связанных с ИБ. Да, впоследствии (согласно условиям эксперимента) скрипт был адаптирован силами того же ChatGPT и улучшен, но не факт, что ИБ-проблемы исчезли на 100%.
Из этого небольшого эксперимента можно сделать несколько выводов:
🍭 «Prompt engineering» - крайне важная вещь. ChatGPT не будет «додумывать» за вас что вам надо. Ему надо явно ставить задачу
🍭 AI/LLM – не панацея и все результаты, полученные с их помощью надо проверять. Поэтому не следует убирать проверки из ваших CI-конвейеров
🍭 Пока что AI/LLM могут выступать в качестве хорошего помощника, который может решить «проблему чистого листа», но не более
Вроде бы это и очевидно, но как соблазнительно все выглядит – хочется просто взять и скопировать результаты, запустить приложение и радоваться! Однако, доверяй, но проверяй.
Всем привет!
«Когда я впервые попросил написать ChatGPT *что-то* я был приятно удивлен результату! Казалось, что это может сэкономить кучу времени!» - так Автор начинает свою статью. Наверное, эта мысль отзывается многим.
Но так ли все хорошо на самом деле? Для ответа на этот вопрос Автор проделал простой эксперимент: он попросил ChatGPT написать ему конфигурацию для создания S3 Bucket при помощи Terraform.
Полученный результат Автор проанализировал с помощью Snyk и нашел достаточно много нюансов, связанных с ИБ. Да, впоследствии (согласно условиям эксперимента) скрипт был адаптирован силами того же ChatGPT и улучшен, но не факт, что ИБ-проблемы исчезли на 100%.
Из этого небольшого эксперимента можно сделать несколько выводов:
🍭 «Prompt engineering» - крайне важная вещь. ChatGPT не будет «додумывать» за вас что вам надо. Ему надо явно ставить задачу
🍭 AI/LLM – не панацея и все результаты, полученные с их помощью надо проверять. Поэтому не следует убирать проверки из ваших CI-конвейеров
🍭 Пока что AI/LLM могут выступать в качестве хорошего помощника, который может решить «проблему чистого листа», но не более
Вроде бы это и очевидно, но как соблазнительно все выглядит – хочется просто взять и скопировать результаты, запустить приложение и радоваться! Однако, доверяй, но проверяй.
Medium
ChatGPT vs Snyk — Using DevSecOps to Secure AI Generated Code
Why Generative AI still isn’t producing secure code
👍5
Небольшие Kubernetes Quizzes!
Всем привет!
Есть очень хороший ресурс, посвященный Kubernetes – Learnk8s. Помимо множества обучающих материалов, команда сделала набор задач, посвященных тонкостям работы технологии контейнерной оркестрации.
Например:
🍭 Counting endpoints (как и сколько endpoints будет у Service)
🍭 Waiting for miracle (как работает shutdown)
🍭 I said stop (как «оттянуть» время удаления Pod)
🍭 Designing shared clusters (какую архитектуру выбрать)
🍭Kernel panic (время паниковать? 😊)
На текущий момент доступно 19 таких «статей». Все приводить мы не стали, полный список можно найти по Автору – Daniele Polencic. Для каждого задания приводится условие, варианты ответов и непосредственно ответ с пояснениями.
Рекомендуем, прежде чем читать ответ, подумать, что именно будет происходить и почему 😊 Очень увлекательно!
Всем привет!
Есть очень хороший ресурс, посвященный Kubernetes – Learnk8s. Помимо множества обучающих материалов, команда сделала набор задач, посвященных тонкостям работы технологии контейнерной оркестрации.
Например:
🍭 Counting endpoints (как и сколько endpoints будет у Service)
🍭 Waiting for miracle (как работает shutdown)
🍭 I said stop (как «оттянуть» время удаления Pod)
🍭 Designing shared clusters (какую архитектуру выбрать)
🍭Kernel panic (время паниковать? 😊)
На текущий момент доступно 19 таких «статей». Все приводить мы не стали, полный список можно найти по Автору – Daniele Polencic. Для каждого задания приводится условие, варианты ответов и непосредственно ответ с пояснениями.
Рекомендуем, прежде чем читать ответ, подумать, что именно будет происходить и почему 😊 Очень увлекательно!
Medium
Kubernetes challenge 1: Counting endpoints
How many endpoint can you count?
👍7🔥5⚡1