Git Undo: не совершая непоправимое!
Всем привет!
Легкий пятничный пост-шпаргалка для тех, кто только осваивается в git и «боится нажать что-то не то, чтобы это не сломалось».
Например, вы хотите «отменить» изменения сделанные локально, случайно сделали commit не в ту ветку, случайно удалили ветку… Всякое бывает! Особенно, когда вы только начинаете работать с этим мощным инструментом.
В статье приведены 13 команд, которые могут помочь:
🍭 «Отмена» всевозможных изменений (локальных, удаленных)
🍭 «Перенос» commit в другую ветку
🍭 Просмотр старых commits
🍭 Восстановление «чего-то» удаленного и не только
Да, для тех, кто знаком и хорошо владеет
Всем привет!
Легкий пятничный пост-шпаргалка для тех, кто только осваивается в git и «боится нажать что-то не то, чтобы это не сломалось».
Например, вы хотите «отменить» изменения сделанные локально, случайно сделали commit не в ту ветку, случайно удалили ветку… Всякое бывает! Особенно, когда вы только начинаете работать с этим мощным инструментом.
В статье приведены 13 команд, которые могут помочь:
🍭 «Отмена» всевозможных изменений (локальных, удаленных)
🍭 «Перенос» commit в другую ветку
🍭 Просмотр старых commits
🍭 Восстановление «чего-то» удаленного и не только
Да, для тех, кто знаком и хорошо владеет
git - ничего нового, а новичкам может быть крайне полезно. Как минимум, чтобы «не бояться сделать что-то не так»Blog | GitProtect.io
Git Undo: 13 Ways to Undo Mistakes in Git - Blog | GitProtect.io
In the words of American motivational writer William Arthur Ward “to make mistakes is human; to stumble is commonplace; to be able to laugh at yourself is maturity”. Not all mistakes in life are easy to recover from, but the main goal of technology development…
👍9⚡2🔥1
GitOps с использованием Argo Rollouts
Всем привет!
Argo Rollouts – проект, который позволяет реализовать blue/green или canary/progressive deployment в Kubernetes.
Он заменяет стандартный Kubernetes контроллер на свой собственный – Rollout – который как раз и упрощает некоторые процедуры и расширяет функционал Kubernetes.
В статье Автор рассматривает следующие варианты:
🍭 Автоматизация Blue/Green deployment
🍭 Анализ успешности обновления (например, с использованием Prometheus)
Помимо манифестов, в статье приведено пошаговое описание процесса обновления.
А для тестирования возможностей Argo Rollouts можно воспользоваться вот этим приложением.
Всем привет!
Argo Rollouts – проект, который позволяет реализовать blue/green или canary/progressive deployment в Kubernetes.
Он заменяет стандартный Kubernetes контроллер на свой собственный – Rollout – который как раз и упрощает некоторые процедуры и расширяет функционал Kubernetes.
В статье Автор рассматривает следующие варианты:
🍭 Автоматизация Blue/Green deployment
🍭 Анализ успешности обновления (например, с использованием Prometheus)
Помимо манифестов, в статье приведено пошаговое описание процесса обновления.
А для тестирования возможностей Argo Rollouts можно воспользоваться вот этим приложением.
Medium
Automatic testing and rollback of your GitOps with Argo Rollouts
In the previous blog posts in this series (here and here) I’ve taken you through declarative GitOps of Kubernetes clusters with ClusterAPI and Argo CD and how to structure them to run many of…
❤🔥1
IDOR: где и как их можно найти?
Всем привет!
IDOR представляет из себя достаточно «популярную» уязвимость, которая встречается в WEB-приложениях и/или API. Грубо говоря IDOR, позволяет обращаться к некоему объекту (будь то файл или запись в базе данных) без надлежащей проверки возможности и прав доступа.
В статье собрана информация о том, где чаще всего можно встретить указанные уязвимости.
Например:
🍭 Parameter Pollution
🍭 «Модификация» передаваемых JSON-объектов
🍭 Изменение методов (например, с GET на POST)
🍭 Использование устаревших версий API
🍭 IDOR «второго порядка» и не только
В статье приводится краткое пояснение к каждому методу.
Это может быть полезно для того, чтобы понимать «откуда может прилететь» и, соответственно, удостовериться, что все проверено. Входные данные проверяются, неавторизованные запросы не реализуются, а сеансы пользователей находятся «под контролем».
Всем привет!
IDOR представляет из себя достаточно «популярную» уязвимость, которая встречается в WEB-приложениях и/или API. Грубо говоря IDOR, позволяет обращаться к некоему объекту (будь то файл или запись в базе данных) без надлежащей проверки возможности и прав доступа.
В статье собрана информация о том, где чаще всего можно встретить указанные уязвимости.
Например:
🍭 Parameter Pollution
🍭 «Модификация» передаваемых JSON-объектов
🍭 Изменение методов (например, с GET на POST)
🍭 Использование устаревших версий API
🍭 IDOR «второго порядка» и не только
В статье приводится краткое пояснение к каждому методу.
Это может быть полезно для того, чтобы понимать «откуда может прилететь» и, соответственно, удостовериться, что все проверено. Входные данные проверяются, неавторизованные запросы не реализуются, а сеансы пользователей находятся «под контролем».
Intigriti
IDOR: A complete guide to exploiting advanced IDOR vulnerabilities
IDOR —short for insecure direct object reference— vulnerabilities are one of the most commonly found web security vulnerabilities in modern web applications and APIs. It is no wonder that they are oft...
👍4
DepFuzzer! И это не то, что вы думаете!
Всем привет!
Использование open source для разработки ПО – данность, с которой мало кто будет спорить. С этим согласны и Авторы статьи.
Сперва в ней разбирается «по верхам» управление пакетами для Golang, Python, Rust и Node.JS. Например, откуда «берутся» пакеты, рассматриваются форматы файлов, в которых содержится перечень используемых пакетов (package.json, requirements.txt и т.д.) с кратким описанием.
После этого кратко разбирается процесс установки пакетов на примере Node.JS. И зачем все это нужно?
Для того, чтобы лишний раз подсветить вопросы ИБ, характерные для Supply Chain Security 😊. Например – dependency confusion.
И именно для решения этой проблемы ребята сделали собственную утилиту – DepFuzzer. Нет, это не fuzzer в классическом понимании и можно «немного расслабиться» 😊
Его задача – искать те самые dependency confusion для рассматриваемых в посте языков программирования.
В статье описана логика работы утилиты и примеры ее использования. А если нужен исходный код, то его можно найти в repo.
P.S. Утилита достаточно «свежая», поэтому многого от нее на текущий момент ожидать не стоит. Но интересно посмотреть, во что она может развиться 😊
Всем привет!
Использование open source для разработки ПО – данность, с которой мало кто будет спорить. С этим согласны и Авторы статьи.
Сперва в ней разбирается «по верхам» управление пакетами для Golang, Python, Rust и Node.JS. Например, откуда «берутся» пакеты, рассматриваются форматы файлов, в которых содержится перечень используемых пакетов (package.json, requirements.txt и т.д.) с кратким описанием.
После этого кратко разбирается процесс установки пакетов на примере Node.JS. И зачем все это нужно?
Для того, чтобы лишний раз подсветить вопросы ИБ, характерные для Supply Chain Security 😊. Например – dependency confusion.
И именно для решения этой проблемы ребята сделали собственную утилиту – DepFuzzer. Нет, это не fuzzer в классическом понимании и можно «немного расслабиться» 😊
Его задача – искать те самые dependency confusion для рассматриваемых в посте языков программирования.
В статье описана логика работы утилиты и примеры ее использования. А если нужен исходный код, то его можно найти в repo.
P.S. Утилита достаточно «свежая», поэтому многого от нее на текущий момент ожидать не стоит. Но интересно посмотреть, во что она может развиться 😊
Synacktiv
Fuzzing confused dependencies with Depfuzzer
👍7❤1
Атаки на GitHub Workflows и способы защиты от них
Всем привет!
В очередном отличном материале от OpenSSF рассматриваются возможные векторы атак на GitHub Workflows и рекомендации по защите.
Авторы проанализировали сценарии:
🍭 Запуск недоверенного кода в привилегированных Workflows
🍭 Внедрение вредоносного кода
🍭 Выпуск вредоносных релизов
🍭 Небезопасное использование cache и не только
В начале статьи приводятся основные термины – что понимается под Privileged Workflow, какие события могут запустить Workflow, что считать недоверенными данными и т.д.
Далее для каждого вектора приводится его «логическое описание», примеры реализации и способы по устранению недостатков. С пояснениями, кодом и примерами
Всем привет!
В очередном отличном материале от OpenSSF рассматриваются возможные векторы атак на GitHub Workflows и рекомендации по защите.
Авторы проанализировали сценарии:
🍭 Запуск недоверенного кода в привилегированных Workflows
🍭 Внедрение вредоносного кода
🍭 Выпуск вредоносных релизов
🍭 Небезопасное использование cache и не только
В начале статьи приводятся основные термины – что понимается под Privileged Workflow, какие события могут запустить Workflow, что считать недоверенными данными и т.д.
Далее для каждого вектора приводится его «логическое описание», примеры реализации и способы по устранению недостатков. С пояснениями, кодом и примерами
Forwarded from SafeCode — конференция по безопасности приложений
Как AppSec и разработке понять друг друга? И от чего предстоит защищаться?
Выясним на SafeCode Meetup №3 от конференции SafeCode и Positive Technologies.
📆 22 октября в Москве, в 19:00.
Доклады в программе:
— Юрий Паликшанов из Альфа-Банка поделится опытом перевода с AppSec-овского на разработческий — как договориться, чтобы исправить уязвимости и писать безопасный код в будущем.
— Алексей Морозов из Samokat.Tech покажет примеры свежих нетривиальных уязвимостей и способы от них защититься.
После каждого доклада у вас будет возможность задать вопросы спикерам — за лучшие вопросы к каждому докладу подарим билеты на конференцию SafeCode 2024 Autumn.
Для участия нужно зарегистрироваться.
Добавляйте событие в календарь, чтобы ничего не пропустить.
Выясним на SafeCode Meetup №3 от конференции SafeCode и Positive Technologies.
📆 22 октября в Москве, в 19:00.
Доклады в программе:
— Юрий Паликшанов из Альфа-Банка поделится опытом перевода с AppSec-овского на разработческий — как договориться, чтобы исправить уязвимости и писать безопасный код в будущем.
— Алексей Морозов из Samokat.Tech покажет примеры свежих нетривиальных уязвимостей и способы от них защититься.
После каждого доклада у вас будет возможность задать вопросы спикерам — за лучшие вопросы к каждому докладу подарим билеты на конференцию SafeCode 2024 Autumn.
Для участия нужно зарегистрироваться.
Добавляйте событие в календарь, чтобы ничего не пропустить.
❤5👍2🔥1🥰1
Application Security Handbook
Всем привет!
По ссылке можно найти Application Security Handbook, которая является «логическим продолжением» Application Security Cheat Sheet (о которой мы писали тут).
Внутри собрана информация о:
🍭 AuthN/Z
🍭 Cookie Security
🍭 File upload
🍭 Input validation
🍭 Session Management и не только
Handbook не «привязан» к какому-либо языку. Каждый раздел содержит набор рекомендаций о том, что стоит делать и о том, чего лучше избегать.
Например, перечень «точек входа», которые надо контролировать: параметры запросов, HTTP-заголовки, Cookies, тело запроса и т.д.
Материал минималистичен: в нем нет «воды», только набор рекомендаций по тематикам, описанным выше.
Может пригодиться при создании собственной базы знаний по безопасной разработке 😊
Всем привет!
По ссылке можно найти Application Security Handbook, которая является «логическим продолжением» Application Security Cheat Sheet (о которой мы писали тут).
Внутри собрана информация о:
🍭 AuthN/Z
🍭 Cookie Security
🍭 File upload
🍭 Input validation
🍭 Session Management и не только
Handbook не «привязан» к какому-либо языку. Каждый раздел содержит набор рекомендаций о том, что стоит делать и о том, чего лучше избегать.
Например, перечень «точек входа», которые надо контролировать: параметры запросов, HTTP-заголовки, Cookies, тело запроса и т.д.
Материал минималистичен: в нем нет «воды», только набор рекомендаций по тематикам, описанным выше.
Может пригодиться при создании собственной базы знаний по безопасной разработке 😊
0xn3va.gitbook.io
Application Security Handbook
🔥9
Netfetch: анализ сетевых политик Kubernetes
Всем привет!
Netfetch – утилита, которая позволяет проанализировать контроль сетевого трафика в кластере Kubernetes при помощи Network Policies.
С использованием Netfetch можно:
🍭 Получить сведения о pods, на которые не распространяются сетевые политики
🍭 Визуализировать информацию о pods и network policies в интерактивной карте
🍭 Создать Network Policies в случае их отсутствия
🍭 Просканировать определенную политику, чтобы получить информацию о pods, на которые она «действует» и не только
Nefetch представляет из себя CLI-утилиту и интерактивный dashboard, который отображает информацию, описанную выше.
Утилита работает со следующими видами Network Policies: Native, Cilium и Calico.
Больше информации – примеры использования, демонстрация возможностей и внешний вид UI – все это можно найти в repo проекта.
Всем привет!
Netfetch – утилита, которая позволяет проанализировать контроль сетевого трафика в кластере Kubernetes при помощи Network Policies.
С использованием Netfetch можно:
🍭 Получить сведения о pods, на которые не распространяются сетевые политики
🍭 Визуализировать информацию о pods и network policies в интерактивной карте
🍭 Создать Network Policies в случае их отсутствия
🍭 Просканировать определенную политику, чтобы получить информацию о pods, на которые она «действует» и не только
Nefetch представляет из себя CLI-утилиту и интерактивный dashboard, который отображает информацию, описанную выше.
Утилита работает со следующими видами Network Policies: Native, Cilium и Calico.
Больше информации – примеры использования, демонстрация возможностей и внешний вид UI – все это можно найти в repo проекта.
GitHub
GitHub - deggja/netfetch: Kubernetes tool for scanning clusters for network policies and identifying unprotected workloads.
Kubernetes tool for scanning clusters for network policies and identifying unprotected workloads. - deggja/netfetch
👍7🔥1
Замена StatefulSets на Custom Operator: опыт Timescale
Всем привет!
На протяжении некоторого времени команда Timescale использовала StatefulSets для того, чтобы управлять клиентскими database pods и их volumes.
Однако, у StatefulSets есть ряд неудобств, например: «неизменность» VolumeClaimTemplate; нюансы, связанные с изменением размера Volume; особенности работы Rolling Update и не только (больше информации можно найти в статье).
Из-за вышеописанных причин команда решила заменить «стандартные» StatefulSets на собственные, которые они назвали PatroniSets. И, конечно же, не обошлось без собственного Kubernetes Operator’a.
Ребята определили набор требований:
🍭 Новый ресурс должен быть прямой заменой StatefulSets с «бесшовной миграцией»
🍭 Он должен понимать контекст PostgreSQL/Patroni: кто есть «главный»
🍭 CR должен быть полностью декларативен
🍭 Любые действия должны быть направлены на сокращение времени простоя. Например, в HA варианте реплика обновляется первой
🍭 Он должен управлять всеми изменения Volumes и не только
После определения требований команда начала разработку собственного оператора. Логика его работы и подводные камни, с которыми столкнулись в Timescale при его разработке - все это можно найти в статье.
В результате PatroniSets начали использовать для новых сервисов в феврале 2024 года. Спустя некоторое время команда убедилась в работоспособности концепта и готова переводить на него существующие сервисы.
Всем привет!
На протяжении некоторого времени команда Timescale использовала StatefulSets для того, чтобы управлять клиентскими database pods и их volumes.
Однако, у StatefulSets есть ряд неудобств, например: «неизменность» VolumeClaimTemplate; нюансы, связанные с изменением размера Volume; особенности работы Rolling Update и не только (больше информации можно найти в статье).
Из-за вышеописанных причин команда решила заменить «стандартные» StatefulSets на собственные, которые они назвали PatroniSets. И, конечно же, не обошлось без собственного Kubernetes Operator’a.
Ребята определили набор требований:
🍭 Новый ресурс должен быть прямой заменой StatefulSets с «бесшовной миграцией»
🍭 Он должен понимать контекст PostgreSQL/Patroni: кто есть «главный»
🍭 CR должен быть полностью декларативен
🍭 Любые действия должны быть направлены на сокращение времени простоя. Например, в HA варианте реплика обновляется первой
🍭 Он должен управлять всеми изменения Volumes и не только
После определения требований команда начала разработку собственного оператора. Логика его работы и подводные камни, с которыми столкнулись в Timescale при его разработке - все это можно найти в статье.
В результате PatroniSets начали использовать для новых сервисов в феврале 2024 года. Спустя некоторое время команда убедилась в работоспособности концепта и готова переводить на него существующие сервисы.
TigerData Blog
Replacing StatefulSets With a Custom K8s Operator in Our Postgres Cloud Platform | TigerData
Learn how we replaced StatefulSets with a custom Kubernetes operator to improve the scalability, flexibility, and cost efficiency of our Postgres cloud platform.
🔥4⚡2💯1
ASPM for Dummies.pdf
2.5 MB
ASPM for Dummies
Всем привет!
Если вы хотите узнать чуть больше про такой класс решений, как Application Security Posture Management (ASPM), то книга в приложении может пригодиться.
В ней Автор рассказывает про:
🍭 Зачем нужны ASPM решения
🍭 Общий функционал, характерный для ASPM
🍭 Как понять, нужна ли вам подобная система
🍭 На что обращать внимание при выборе подходящей
Книга небольшая, ~ 35 страниц. Ответов на вопрос «Как?» вы не найдете, но «Что?» и «Зачем?» - вполне.
P.S. Материал хоть и «вендорский», но явный маркетинг в нем отсутствует и описываются общие вещи и принципы.
Всем привет!
Если вы хотите узнать чуть больше про такой класс решений, как Application Security Posture Management (ASPM), то книга в приложении может пригодиться.
В ней Автор рассказывает про:
🍭 Зачем нужны ASPM решения
🍭 Общий функционал, характерный для ASPM
🍭 Как понять, нужна ли вам подобная система
🍭 На что обращать внимание при выборе подходящей
Книга небольшая, ~ 35 страниц. Ответов на вопрос «Как?» вы не найдете, но «Что?» и «Зачем?» - вполне.
P.S. Материал хоть и «вендорский», но явный маркетинг в нем отсутствует и описываются общие вещи и принципы.
👍5🔥2
Kobs: observability для Kubernetes
Всем привет!
Kobs – open source проект, который позиционируется, как «application-centric observability platform for Kubernetes and Cloud workloads».
Его функционал достаточно обширен:
🍭 Возможность работы с ресурсами (например, edit)
🍭 Получение терминала до ресурсов
🍭 Сбор metrics, logs и traces
🍭 Отображение topology (визуализация взаимосвязи компонентов приложения)
🍭 «Интеграция» с Prometheus и Istio для взаимодействия с ними через Kobs и не только
Вся информация отображается в наглядном UI, примеры которого можно найти в repo проекта или на сайте.
Кроме того, Kobs можно «расширять» через plugins, часть из которых поставляется «уже из коробки» (Kiali, Jaeger, Jira и т.д.).
Информацию об архитектуре, способе установке и первичной настройки решения можно найти по ссылке.
Всем привет!
Kobs – open source проект, который позиционируется, как «application-centric observability platform for Kubernetes and Cloud workloads».
Его функционал достаточно обширен:
🍭 Возможность работы с ресурсами (например, edit)
🍭 Получение терминала до ресурсов
🍭 Сбор metrics, logs и traces
🍭 Отображение topology (визуализация взаимосвязи компонентов приложения)
🍭 «Интеграция» с Prometheus и Istio для взаимодействия с ними через Kobs и не только
Вся информация отображается в наглядном UI, примеры которого можно найти в repo проекта или на сайте.
Кроме того, Kobs можно «расширять» через plugins, часть из которых поставляется «уже из коробки» (Kiali, Jaeger, Jira и т.д.).
Информацию об архитектуре, способе установке и первичной настройки решения можно найти по ссылке.
GitHub
GitHub - kobsio/kobs: Kubernetes Observability Platform
Kubernetes Observability Platform. Contribute to kobsio/kobs development by creating an account on GitHub.
👍3💯1
Анализ исходного кода с CodeTotal
Всем привет!
CodeTotal – open source решение, которое позволяет анализировать code snippet, файл или репозиторий исходного кода на предмет наличия уязвимостей в коде и конфигурационных файлах.
Есть минималистичный UI, в который надо поместить вышеуказанное, нажать кнопку и «Готово»! Да, вот так просто 😊
Все потому, что CodeTotal – ни что иное, как графическая «обертка» над проектом MegaLinter, который включает в себя поддержку более 100 средств анализа.
Например:
🍭 Bandit
🍭 Checkov
🍭 GitLeaks
🍭 Semgrep
🍭 Syft и многое другое
Помимо ИБ-сканеров MegaLinter «поддерживает» анализаторы, связанные с качеством кода и корректностью написания конфигурационных файлов.
Нюанс в том, что CodeTotal не поддерживается разработчиком (последний release был в августе 2023), а вот MegaLinter – вполне!
Всем привет!
CodeTotal – open source решение, которое позволяет анализировать code snippet, файл или репозиторий исходного кода на предмет наличия уязвимостей в коде и конфигурационных файлах.
Есть минималистичный UI, в который надо поместить вышеуказанное, нажать кнопку и «Готово»! Да, вот так просто 😊
Все потому, что CodeTotal – ни что иное, как графическая «обертка» над проектом MegaLinter, который включает в себя поддержку более 100 средств анализа.
Например:
🍭 Bandit
🍭 Checkov
🍭 GitLeaks
🍭 Semgrep
🍭 Syft и многое другое
Помимо ИБ-сканеров MegaLinter «поддерживает» анализаторы, связанные с качеством кода и корректностью написания конфигурационных файлов.
Нюанс в том, что CodeTotal не поддерживается разработчиком (последний release был в августе 2023), а вот MegaLinter – вполне!
GitHub
GitHub - oxsecurity/codetotal: Analyze any snippet, file, or repository to detect possible security flaws such as secret in code…
Analyze any snippet, file, or repository to detect possible security flaws such as secret in code, open source vulnerability, code security, vulnerability, insecure infrastructure as code, and pote...
👍3
Просто титаническая работа от wr3dmast3r!!! Крайне рекомендуем для изучения :)
Forwarded from wr3dmast3r vs pentest
Рад представить вашему вниманию небольшой материал по теме безопасности фронтенда. В данном сборнике упомянуты многие темы, связанные с клиентскими атаками. Показаны примеры из Bug Bounty по ходу изучения и разобраны способы защиты от многих Client-Side уязвимостей 😊 😉
Например, вы подробнее познакомитесь с тем, как работают Same-Site, Cross-Site, Cross-Origin, Prototype Pollution, DOM Clobbering, CSS Injection, XSLeaks, а также узнаете о многих видах XSS. Вы также узнаете, как можно комбинировать уязвимости друг с другом, и поймете, почему клиентские уязвимости остаются актуальными по сей день😘
Подробнее
Например, вы подробнее познакомитесь с тем, как работают Same-Site, Cross-Site, Cross-Origin, Prototype Pollution, DOM Clobbering, CSS Injection, XSLeaks, а также узнаете о многих видах XSS. Вы также узнаете, как можно комбинировать уязвимости друг с другом, и поймете, почему клиентские уязвимости остаются актуальными по сей день
Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
56🔥8❤🔥4🥰2👍1
Escalate, Bind и Impersonate в Kubernetes
Всем привет!
Есть несколько вещей, на которые можно смотреть бесконечно. Корректная настройка полномочий и привилегий, особенно в условиях гибкой ролевой модели – одна из них.
В статье описываются полномочия, использование которых может привести к не самым приятным последствиям.
Автор рассматривает:
🍭
🍭
🍭
Для наглядности Автор создает простой
Далее он предоставляет указанные полномочия и показывает, как их можно «использовать» (не) по назначению для повышения привилегий.
Много примеров, экспериментов и пояснений. А в завершении – немного рекомендаций о том, как этим можно управлять – рекомендуем!
Всем привет!
Есть несколько вещей, на которые можно смотреть бесконечно. Корректная настройка полномочий и привилегий, особенно в условиях гибкой ролевой модели – одна из них.
В статье описываются полномочия, использование которых может привести к не самым приятным последствиям.
Автор рассматривает:
🍭
escalate. Позволяет пользователям создавать и редактировать роли, даже если изначально у них не было таких полномочий🍭
bind. Позволяет создавать и редактировать RoleBindng и ClusterRoleBinding🍭
impersonate. Позволяет «выдавать себя» за кого-то другогоДля наглядности Автор создает простой
ServiceAccount, которому назначается роль с возможностью get, watch, list для pods. Далее он предоставляет указанные полномочия и показывает, как их можно «использовать» (не) по назначению для повышения привилегий.
Много примеров, экспериментов и пояснений. А в завершении – немного рекомендаций о том, как этим можно управлять – рекомендуем!
The New Stack
Kubernetes RBAC Permissions You Might Not Know About, but Should
K8s RBAC offers three permissions with hidden powers that can be used maliciously. Discover how to control their use.
🔥4👍3
Comprehensive container security guide от Sysdig
Всем привет!
Все так! По ссылке можно найти достаточно много информации по безопасности контейнеров, подготовленной командой Sysdig.
Команда структурировала все следующим образом:
🍭 По горизонтали – возможные действия для защиты – Prevent, Protect, Detect и Respond
🍭 По вертикали – «объекты» анализа и защиты – от Code до Container
🍭 На пересечении – практики, которые можно использовать
Далее для каждой практики представлено свое описание с примерами. Да, хоть статья и «вендорская» - явных отсылок к решениям Sysdig нет, материал «общего характера»(ну почти 😊) .
Помимо этого, в статье очень много ссылок на другие полезные материалы по теме.
Всем привет!
Все так! По ссылке можно найти достаточно много информации по безопасности контейнеров, подготовленной командой Sysdig.
Команда структурировала все следующим образом:
🍭 По горизонтали – возможные действия для защиты – Prevent, Protect, Detect и Respond
🍭 По вертикали – «объекты» анализа и защиты – от Code до Container
🍭 На пересечении – практики, которые можно использовать
Далее для каждой практики представлено свое описание с примерами. Да, хоть статья и «вендорская» - явных отсылок к решениям Sysdig нет, материал «общего характера»
Помимо этого, в статье очень много ссылок на другие полезные материалы по теме.
Sysdig
Comprehensive best practices for container security | Sysdig
Sticking to container security best practices is critical for successfully delivering secure software.
🔥8
Minefield: работа со SBOM
Всем привет!
Bitbom Minefield – утилита, которая позволяет оптимизировать работу со SBOM за счет автоматизации отдельно взятых задач.
Глобально его функционал можно разделить на 3 категории:
🍭 Query. Гибкие пользовательские запросы для поиска необходимых данных
🍭 Leaderboard. Показывает узлы, которые наиболее часто встречаются в указанной query
🍭 Cache. Очень быстро кеширует данные и может с ними работать в offline-режиме 😊 Правда! Можно посмотреть на данные в repo
Помимо этого, он позволяет визуализировать информацию, полученную по результатам запроса.
Больше информации можно найти в repo проекта в официальной документации.
Всем привет!
Bitbom Minefield – утилита, которая позволяет оптимизировать работу со SBOM за счет автоматизации отдельно взятых задач.
Глобально его функционал можно разделить на 3 категории:
🍭 Query. Гибкие пользовательские запросы для поиска необходимых данных
🍭 Leaderboard. Показывает узлы, которые наиболее часто встречаются в указанной query
🍭 Cache. Очень быстро кеширует данные и может с ними работать в offline-режиме 😊 Правда! Можно посмотреть на данные в repo
Помимо этого, он позволяет визуализировать информацию, полученную по результатам запроса.
Больше информации можно найти в repo проекта в официальной документации.
GitHub
GitHub - bomfather/minefield: Graphing SBOM's Fast.
Graphing SBOM's Fast. Contribute to bomfather/minefield development by creating an account on GitHub.
👍2🔥1
Kondense – управление мощностями в Kubernetes
Всем привет!
С использованием Kondense можно управлять вычислительными ресурсами workloads, запущенных в кластере Kubernetes.
«Устанавливается» он как Sidecar Container. После этого вычислительные ресурсы «целевого контейнера» будут меняться без необходимости его перезапуска.
Kondense обладает минималистичным набором настроек. Например:
🍭 Минимально допустимое количество потребляемых ресурсов
🍭 Максимально допустимое количество потребляемых ресурсов
🍭 Целевое значение memory pressure
🍭 «Коэффициенты изменения» вычислительных мощностей и не только
Если вам интересно прочитать о том, как Kondense «вычисляет» использование CPU и памяти, то это написано тут и тут.
Всем привет!
С использованием Kondense можно управлять вычислительными ресурсами workloads, запущенных в кластере Kubernetes.
«Устанавливается» он как Sidecar Container. После этого вычислительные ресурсы «целевого контейнера» будут меняться без необходимости его перезапуска.
Kondense обладает минималистичным набором настроек. Например:
🍭 Минимально допустимое количество потребляемых ресурсов
🍭 Максимально допустимое количество потребляемых ресурсов
🍭 Целевое значение memory pressure
🍭 «Коэффициенты изменения» вычислительных мощностей и не только
Если вам интересно прочитать о том, как Kondense «вычисляет» использование CPU и памяти, то это написано тут и тут.
GitHub
GitHub - unagex/kondense: Automated resources sizing tool for containers in kubernetes
Automated resources sizing tool for containers in kubernetes - unagex/kondense
👍2
Сколько времени проходит между ударом по рукам и началом работы продукта на примере ZIIoT
Наши коллеги по цеху, ребята из «Лаборатории Числитель», выпустили пятый выпуск собственного видеоподкаста. Приглашенным гостем стал Максим Шалаев, главный архитектор платформы ZIIoT в ГК «Цифра».
✔️ Как разрабатывалась платформа ZIIoT и развивалась за последние три года
✔️ Кто целевая аудитория решения
✔️ С кем уже были реализованы проекты
✔️ Как устроена продуктовая команда и в чем особенности работы в промтехе
Ответы на эти и другие вопросы вы найдёте в записи подкаста.
Cмотрите на удобной для вас платформе:
📺 Rutube
📺 YouTube
Наши коллеги по цеху, ребята из «Лаборатории Числитель», выпустили пятый выпуск собственного видеоподкаста. Приглашенным гостем стал Максим Шалаев, главный архитектор платформы ZIIoT в ГК «Цифра».
Ответы на эти и другие вопросы вы найдёте в записи подкаста.
Cмотрите на удобной для вас платформе:
📺 Rutube
📺 YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥5👍3
Защита ArgoCD в multi-tenant окружениях
Всем привет!
Еще одна статья, посвященная безопасности ArgoCD. Можно выделить два наиболее значимых аспекта – контроль того, куда можно устанавливать что-либо и контроль тех, кто может взаимодействовать с системой.
Далее Авторы описывают:
🍭 Контроль доступа к ресурсам ArgoCD с использованием policies
🍭 Контроль доступа к ресурсам Kubernetes c использованием Application Project
Завершает статью наглядный пример того, как все это можно реализовать на практике для двух команд.
Первая команда может только просматривать собственные Applications, вторая – просматривать/редактировать свои Applications и видеть Applications первой команды.
Дальше – детальные примеры того, как это можно настроить: screenshots, комментарии, конфигурационные файлы – все на месте 😊
Всем привет!
Еще одна статья, посвященная безопасности ArgoCD. Можно выделить два наиболее значимых аспекта – контроль того, куда можно устанавливать что-либо и контроль тех, кто может взаимодействовать с системой.
Далее Авторы описывают:
🍭 Контроль доступа к ресурсам ArgoCD с использованием policies
🍭 Контроль доступа к ресурсам Kubernetes c использованием Application Project
Завершает статью наглядный пример того, как все это можно реализовать на практике для двух команд.
Первая команда может только просматривать собственные Applications, вторая – просматривать/редактировать свои Applications и видеть Applications первой команды.
Дальше – детальные примеры того, как это можно настроить: screenshots, комментарии, конфигурационные файлы – все на месте 😊
Medium
Securing Argo CD in a Multi-Tenant Environment with Application Projects
One of Argo CD’s standout features is its powerful user interface (UI) that shows the live status of all applications and the respective…
👍5❤1
Stateful Apps в Kubernetes: возможные способы реализации
Всем привет!
Интересная обзорная статья о том, как работать с Stateful Apps в Kubernetes. Начинается все с истории их возникновения, определенной потребностью нет-нет, да и сохранять состояние, вопреки stateless-идеологии.
Далее – интересней! Статья разбирает такие аспекты, как:
🍭 Принципы работы
🍭 Работа с
🍭 Использование
В статье крайне много наглядных примеров относительно того, почему реализация хранения чего-либо в Kubernetes – не самая очевидная задача.
Завершает статью небольшой перечень
P.S. А как вы считаете? Надо ли это делать или все же Kubernetes – это про Stateless подход?
Всем привет!
Интересная обзорная статья о том, как работать с Stateful Apps в Kubernetes. Начинается все с истории их возникновения, определенной потребностью нет-нет, да и сохранять состояние, вопреки stateless-идеологии.
Далее – интересней! Статья разбирает такие аспекты, как:
🍭 Принципы работы
StatefulSets, их недостатки и подводные камни🍭 Работа с
PV и PVC – что может пойти не так и почему этим может быть сложно управлять🍭 Использование
Operators (на примере ClickHouse)В статье крайне много наглядных примеров относительно того, почему реализация хранения чего-либо в Kubernetes – не самая очевидная задача.
Завершает статью небольшой перечень
Operators, которые можно использовать в случае, если необходимо реализовать Stateful AppP.S. А как вы считаете? Надо ли это делать или все же Kubernetes – это про Stateless подход?
Palark
Stateful apps in Kubernetes. From history and fundamentals to operators | Blog | Palark
Learn what you should consider before running stateful components apps in Kubernetes, how these apps work in K8s, and which operators we use for ClickHouse, Redis, Kafka, PostgreSQL, and MySQL.
❤7