Анализируем CVE
Всем привет!
Вроде нет ничего в мире ИБ более «знакомого», чем CVE(разве что КЦД 😊) . Про них часто говорят, их разбирают и анализируют.
Однако, бывают случаи, когда надо просто и понятно объяснить, что это такое. Например, разработчику ПО, которого мы просим обновить библиотеку, чтобы устранить CVE-XXX-YYYY.
В статье от SNYK как раз содержится такой необходимый набор:
🍭 Получение информации о CVE
🍭 Анализ уровня критичности CVE
🍭 Изучение CWE, характерных для CVE. Разница между CVE и CWE
🍭 Возможность эксплуатации CVE
🍭 Стратегии по устранению уязвимости
Каждый блок разбирается на конкретной уязвимости, а именно: CVE-2020-8203 (prototype pollution в Lodash).
В итоге получается очень неплохой минималистичный обзор, позволяющий быстро ввести кого-либо в курс дела.
Всем привет!
Вроде нет ничего в мире ИБ более «знакомого», чем CVE
Однако, бывают случаи, когда надо просто и понятно объяснить, что это такое. Например, разработчику ПО, которого мы просим обновить библиотеку, чтобы устранить CVE-XXX-YYYY.
В статье от SNYK как раз содержится такой необходимый набор:
🍭 Получение информации о CVE
🍭 Анализ уровня критичности CVE
🍭 Изучение CWE, характерных для CVE. Разница между CVE и CWE
🍭 Возможность эксплуатации CVE
🍭 Стратегии по устранению уязвимости
Каждый блок разбирается на конкретной уязвимости, а именно: CVE-2020-8203 (prototype pollution в Lodash).
В итоге получается очень неплохой минималистичный обзор, позволяющий быстро ввести кого-либо в курс дела.
Snyk
Decoding CVEs: A practical guide to assessing and mitigating security risks | Snyk
Let's explore the world of Common Vulnerabilities and Exposures (CVEs) with step-by-step examples of evaluating if a CVE impacts your project and pragmatic strategies for effective mitigation. This guide will empower you to tackle security vulnerabilities…
👍2🔥2❤1
ZTRA.pdf
8.5 MB
Zero Trust Reference Architecture для Kubernetes
Всем привет!
В приложении – электронная книга (~ 68 страниц), в которой описана Zero Trust архитектура, которую Авторы предлагают реализовать в Kubernetes.
Для этого они предлагают использовать:
🍭 Emissary-ingress. Защита доступа извне
🍭 Linkerd. Контроль взаимодействия сервисов внутри
🍭 Cert-Manager. Управление множеством сертификатов, которые понадобятся
🍭 Polaris. Контроль политик и выполнения их требований
Само повествование линейно – от того, что такое Zero Trust и основных терминов, до погружения в предлагаемые технологии.
Авторы описывают почему они выбрали именно такой набор, приводят общее описание функционала и способы настройки для того, чтобы собрать все «воедино».
P.S. Кстати, все приложения, конфигурационные файлы и т.д., используемые в книге, можно найти в GitHub Repo (ссылка на него есть в книге 😊).
Всем привет!
В приложении – электронная книга (~ 68 страниц), в которой описана Zero Trust архитектура, которую Авторы предлагают реализовать в Kubernetes.
Для этого они предлагают использовать:
🍭 Emissary-ingress. Защита доступа извне
🍭 Linkerd. Контроль взаимодействия сервисов внутри
🍭 Cert-Manager. Управление множеством сертификатов, которые понадобятся
🍭 Polaris. Контроль политик и выполнения их требований
Само повествование линейно – от того, что такое Zero Trust и основных терминов, до погружения в предлагаемые технологии.
Авторы описывают почему они выбрали именно такой набор, приводят общее описание функционала и способы настройки для того, чтобы собрать все «воедино».
P.S. Кстати, все приложения, конфигурационные файлы и т.д., используемые в книге, можно найти в GitHub Repo
👍5🔥2
Минималистичное обучение по уязвимостям
Всем привет!
Небольшой пятничный пост, посвященный обучающим материалам. По ссылке доступен набор небольших «уроков», посвященных уязвимостям и недостаткам в ПО.
Например:
🍭OWASP Top 10, Web (куда без него)
🍭Logging and Monitoring
🍭Buffer Overflows
🍭Host Header Poisoning
Из плюсов – подборка достаточно большая, материал подается просто и наглядно. Из минусов – только теория.
Как вариант, материал может пригодиться для вводных курсов специалистов,которые только начинают свое погружение в этот увлекательный мир.
Или для быстрого и краткого ознакомления с темой, чтобы «быть в курсе».
Всем привет!
Небольшой пятничный пост, посвященный обучающим материалам. По ссылке доступен набор небольших «уроков», посвященных уязвимостям и недостаткам в ПО.
Например:
🍭OWASP Top 10, Web (куда без него)
🍭Logging and Monitoring
🍭Buffer Overflows
🍭Host Header Poisoning
Из плюсов – подборка достаточно большая, материал подается просто и наглядно. Из минусов – только теория.
Как вариант, материал может пригодиться для вводных курсов специалистов,которые только начинают свое погружение в этот увлекательный мир.
Или для быстрого и краткого ознакомления с темой, чтобы «быть в курсе».
Snyk_SOOS_Report_2024.pdf
8 MB
The State of Open Source
Всем привет!
В приложении можно найти небольшой отчет (~ 12 страниц) от команды SNYK, посвященный вопросам безопасности Open Source.
Внутри есть информация о:
🍭 Отслеживании зависимостей (прямые, транзитивные)
🍭 Частоте изменений кодовой базы
🍭 Используемых практиках анализа кода и зависимостей
🍭 Случаях, связанных с Supply Chain Security
🍭 Соблюдении SLA и не только
Минимум текста, максимум графики и данные за 2023 и 2024 год.
В целом – достаточно хороший и информативный отчет, который можно быстро изучить.
Всем привет!
В приложении можно найти небольшой отчет (~ 12 страниц) от команды SNYK, посвященный вопросам безопасности Open Source.
Внутри есть информация о:
🍭 Отслеживании зависимостей (прямые, транзитивные)
🍭 Частоте изменений кодовой базы
🍭 Используемых практиках анализа кода и зависимостей
🍭 Случаях, связанных с Supply Chain Security
🍭 Соблюдении SLA и не только
Минимум текста, максимум графики и данные за 2023 и 2024 год.
В целом – достаточно хороший и информативный отчет, который можно быстро изучить.
👍3
Все любят Policy as Code, но не все любят Rego
Всем привет!
Policy as Code крайне удобный подход к управлению доступом, анализу выполнения корпоративных требований.
Он декларативен, его можно автоматизировать, конфигурационные файлы можно хранить в git, возможности (практически) безграничны.
Однако, есть и нюансы. В статье Автор описывает несколько примеров, связанных с Open Policy Language (OPA) и Zanzibar.
Если обобщить, то получается следующее:
🍭 Сложность. Написать базовые политики крайне просто, а что-то «поинтереснее» - уже сложно
🍭 Порог входа. Написание политик требует технических навыков
🍭 Дополнительные знания. Для корректной работы с Rego или Zanzibar потребуется изучить «еще одну область знаний»
🍭 Масштабируемость. При увеличении количества политик их тестирование и поиск ошибок в них становится затруднительным
В качестве решения Автор предлагает использовать абстракции более высокого уровня и low-code интерфейсы. Например, Permit (есть бесплатная Community версия).
Основная идея – создание простого drag and drop UI, с которым могут работать все пользователи. А вся «магия» остается «под капотом».
А что вы думаете по этому поводу? Стоит ли оно того или лучше все-таки выучить REGO или иной аналогичный инструмент?
Всем привет!
Policy as Code крайне удобный подход к управлению доступом, анализу выполнения корпоративных требований.
Он декларативен, его можно автоматизировать, конфигурационные файлы можно хранить в git, возможности (практически) безграничны.
Однако, есть и нюансы. В статье Автор описывает несколько примеров, связанных с Open Policy Language (OPA) и Zanzibar.
Если обобщить, то получается следующее:
🍭 Сложность. Написать базовые политики крайне просто, а что-то «поинтереснее» - уже сложно
🍭 Порог входа. Написание политик требует технических навыков
🍭 Дополнительные знания. Для корректной работы с Rego или Zanzibar потребуется изучить «еще одну область знаний»
🍭 Масштабируемость. При увеличении количества политик их тестирование и поиск ошибок в них становится затруднительным
В качестве решения Автор предлагает использовать абстракции более высокого уровня и low-code интерфейсы. Например, Permit (есть бесплатная Community версия).
Основная идея – создание простого drag and drop UI, с которым могут работать все пользователи. А вся «магия» остается «под капотом».
А что вы думаете по этому поводу? Стоит ли оно того или лучше все-таки выучить REGO или иной аналогичный инструмент?
www.permit.io
Everyone Loves Policy as Code, No One Wants to Write Rego
Learn about the benefits of policy and code, the challenges presented by OPA's Rego and Policy-as-Graph, and possible solutions.
❤1
Supply-Chain Firewall
Всем привет!
Тематика безопасности цепочки поставки ПО набирает обороты. За последние годы было множество информации о различных атаках – от базовых typosquatting до более продвинутых *-jacking и манипуляций с пакетными индексами и менеджерами.
Чтобы хоть как-то упростить жизнь, команда Datadog выпустила новый open source инструмент – Supply-Chain Firewall.
Его принцип работы очень похож на аналогичный firewall-механизм, применяемый в композиционном анализе:
🍭 Supply-Chain Firewall «перехватывает» команду пакетного менеджера
🍭 Анализирует пакеты, которые хотят установить (используются собственные данные Datadog и OSV.dev)
🍭 Принимает решение (Block, Confirm, Allow)
На текущий момент поддерживается
Ссылка на GitHub Repo проекта, в котором описана его установка и использование с примерами, доступна вот тут.
Всем привет!
Тематика безопасности цепочки поставки ПО набирает обороты. За последние годы было множество информации о различных атаках – от базовых typosquatting до более продвинутых *-jacking и манипуляций с пакетными индексами и менеджерами.
Чтобы хоть как-то упростить жизнь, команда Datadog выпустила новый open source инструмент – Supply-Chain Firewall.
Его принцип работы очень похож на аналогичный firewall-механизм, применяемый в композиционном анализе:
🍭 Supply-Chain Firewall «перехватывает» команду пакетного менеджера
🍭 Анализирует пакеты, которые хотят установить (используются собственные данные Datadog и OSV.dev)
🍭 Принимает решение (Block, Confirm, Allow)
На текущий момент поддерживается
pip и npm. А если вы используете Datadog, то логи о срабатываниях firewall можно смотреть прямо в ней за счет реализованной интеграции. Ссылка на GitHub Repo проекта, в котором описана его установка и использование с примерами, доступна вот тут.
Datadoghq
Introducing Supply-Chain Firewall: Protecting Developers from Malicious Open Source Packages
Release of Supply-Chain Firewall, an open source tool for preventing the installation of malicious PyPI and npm packages
🔥5❤1
Эксплуатация CSPT с использованием Evil Villain
Всем привет!
Недавно мы писали про Client Side Path Traversal (CSPT) – уязвимости, которая позволяет производить действия с файлами, используемыми клиентскими приложениями.
История закончилась на том, что команда Doyensec создала собственный playground, где можно познакомиться с уязвимостью поближе.
Сегодня предлагаем вашему вниманию продолжение! Небольшой guide от той же команды – как эксплуатировать CSPT с использованием Evil Villain.
В статье вы найдете:
🍭 Описание необходимого инструментария
🍭 Как идентифицировать и исследовать CSPT
🍭 Сбор дополнительной информации
🍭 Эксплуатация CSPT
Множество screenshots, примеров кода, комментариев и пояснений!
Кстати, очень рекомендуем блог Doyensec – там крайне много всего интересного 😊
Всем привет!
Недавно мы писали про Client Side Path Traversal (CSPT) – уязвимости, которая позволяет производить действия с файлами, используемыми клиентскими приложениями.
История закончилась на том, что команда Doyensec создала собственный playground, где можно познакомиться с уязвимостью поближе.
Сегодня предлагаем вашему вниманию продолжение! Небольшой guide от той же команды – как эксплуатировать CSPT с использованием Evil Villain.
В статье вы найдете:
🍭 Описание необходимого инструментария
🍭 Как идентифицировать и исследовать CSPT
🍭 Сбор дополнительной информации
🍭 Эксплуатация CSPT
Множество screenshots, примеров кода, комментариев и пояснений!
Кстати, очень рекомендуем блог Doyensec – там крайне много всего интересного 😊
Утилиты для валидации манифестов Kubernetes
Всем привет!
Одно из преимуществ IaC-подхода – возможность анализировать конфигурацию, которая будет применяться для реализации изменений.
В статье можно найти подборку утилит, которые могут быть полезны для проверки манифестов Kubernetes.
Автор разбил материал на блоки:
🍭 Schema Validation – очепятки, ошибки с пробелами, несуществующие поля и т.д.
🍭 Custom Policies – утилиты, позволяющие проверять выполнение требований политик
🍭 Best Practices – анализ конфигурации на соответствие лучшим практикам
🍭 Dashboards – способы визуализации результатов, генерируемых некоторыми утилитами, описанными в статье
Получится такой вот «набор ссылок» на полезные утилиты, который разбавлен комментариями Автора и небольшими примерами (не для всех).
Всем привет!
Одно из преимуществ IaC-подхода – возможность анализировать конфигурацию, которая будет применяться для реализации изменений.
В статье можно найти подборку утилит, которые могут быть полезны для проверки манифестов Kubernetes.
Автор разбил материал на блоки:
🍭 Schema Validation – очепятки, ошибки с пробелами, несуществующие поля и т.д.
🍭 Custom Policies – утилиты, позволяющие проверять выполнение требований политик
🍭 Best Practices – анализ конфигурации на соответствие лучшим практикам
🍭 Dashboards – способы визуализации результатов, генерируемых некоторыми утилитами, описанными в статье
Получится такой вот «набор ссылок» на полезные утилиты, который разбавлен комментариями Автора и небольшими примерами (не для всех).
Medium
Kubernetes configuration linting tools
Categorization of the most popular Kubernetes configuration linting tools, with a few examples.
🔥2👍1
Большой обзор релиза 2.8 контейнерной платформы «Штурвал» — 17 декабря в 11:00
Всем привет!
Ну что, успели потестить бесплатную community-версию «Штурвала»?
Ребята из «Лаборатории Числитель» зовут на онлайн-обзор нового релиза 2.8. Расскажут про фичи последней версии и поделятся важной информацией для тех, кто собирается установить или уже начал использовать community-версию платформы, но не знает, с чего начать.
Что в программе:
🔵 Чем отличается community-версия от коммерческой платформы
🔵 Как создавать кластеры и управлять в них узлами
🔵 Как устроена архитектура решения: инсталлятор, управление через kubectl, IAC и GUI
🔵 Пользователи и доступы: как настроить подключение через Keycloak, Blitz, Login Plugin
🔵 Как управлять репозиторием, сервисами и ресурсами
Подробности и регистрация здесь, готовьте вопросы и подтягивайтесь онлайн!
Всем привет!
Ну что, успели потестить бесплатную community-версию «Штурвала»?
Ребята из «Лаборатории Числитель» зовут на онлайн-обзор нового релиза 2.8. Расскажут про фичи последней версии и поделятся важной информацией для тех, кто собирается установить или уже начал использовать community-версию платформы, но не знает, с чего начать.
Что в программе:
Подробности и регистрация здесь, готовьте вопросы и подтягивайтесь онлайн!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥4👍4🔥2🥰1
Правила для Semgrep от Trail of Bits!
Всем привет!
Ребята из Trail of Bits выложили в открытый доступ еще 35 собственных правил для Semgrep. Всего их теперь 115, ознакомиться с ними можно здесь.
В новой подборке доступны правила для:
🍭 Ruby (большая часть – от Insecure SSL до проверок, связанных с десериализацией)
🍭 HCL (проверка TLS, поиск секретов, соответствие лучшим практикам)
🍭 YAML (большинство за поиск секретов)
🍭 Generic (проверка корректности использования криптографии)
Для каждого правила приводится небольшое описание.
А в завершении – краткий обзор функционала Semgrep (regex mode и поддержка HCL).
Всем привет!
Ребята из Trail of Bits выложили в открытый доступ еще 35 собственных правил для Semgrep. Всего их теперь 115, ознакомиться с ними можно здесь.
В новой подборке доступны правила для:
🍭 Ruby (большая часть – от Insecure SSL до проверок, связанных с десериализацией)
🍭 HCL (проверка TLS, поиск секретов, соответствие лучшим практикам)
🍭 YAML (большинство за поиск секретов)
🍭 Generic (проверка корректности использования криптографии)
Для каждого правила приводится небольшое описание.
А в завершении – краткий обзор функционала Semgrep (regex mode и поддержка HCL).
The Trail of Bits Blog
35 more Semgrep rules: infrastructure, supply chain, and Ruby
We are publishing another set of custom Semgrep rules, bringing our total number of public rules to 115. This blog post will briefly cover the new rules, then explore two Semgrep features in depth: regex mode (especially how it compares against generic mode)…
👍4❤1
Почему Kubernetes не управляет пользователями?
Всем привет!
Впервые столкнувшись с Kubernetes многие немного удивятся тому, что в нем нет пользователей в «привычном» понимании.
Нет процедур «ввода пароля», нет вкладки «Пользователи», а есть только некий
Но почему это так? В статье ребята из Armo предлагают свою версию:
🍭 Гибкость, которую надо предоставлять пользователям для подключения удобных им механизмов аутентификации, которые уже есть в компании
🍭 Разные сценарии использования. Кто-то использует bare metal, кто-то облака, кто-то все вместе. И везде будут свои лучшие практики по аутентификации
🍭 Безопасность. Различные стандарты предъявляют много требований к управлению пользователями. В этом случае удобнее и проще воспользоваться чем-то уже существующим
Поэтому(как и всегда) целесообразней не изобретать велосипед, а использовать нечто готовое и проверенное. Главное - сделать "ручку", через которую можно настроить интеграцию.
В заключение статьи разбирается несколько примеров настройки интеграции Kubernetes с Auth-провайдерами и вопросы, связанные с ролевым управлением доступа (RBAC).
Всем привет!
Впервые столкнувшись с Kubernetes многие немного удивятся тому, что в нем нет пользователей в «привычном» понимании.
Нет процедур «ввода пароля», нет вкладки «Пользователи», а есть только некий
kubeconfig, в котором что-то написано.Но почему это так? В статье ребята из Armo предлагают свою версию:
🍭 Гибкость, которую надо предоставлять пользователям для подключения удобных им механизмов аутентификации, которые уже есть в компании
🍭 Разные сценарии использования. Кто-то использует bare metal, кто-то облака, кто-то все вместе. И везде будут свои лучшие практики по аутентификации
🍭 Безопасность. Различные стандарты предъявляют много требований к управлению пользователями. В этом случае удобнее и проще воспользоваться чем-то уже существующим
Поэтому
В заключение статьи разбирается несколько примеров настройки интеграции Kubernetes с Auth-провайдерами и вопросы, связанные с ролевым управлением доступа (RBAC).
ARMO
Why Kubernetes Doesn't Handle User Management?
Learn why Kubernetes offloads user management to third-party services. Discover the benefits of this strategy for flexibility, security, and more
👍7🔥1
Kubernetes Spec: интерактивный режим
Всем привет!
Изучение спецификации (раздела
Для того, чтобы решить эту проблему Автор создал Kubespec!
Он содержит:
🍭 Древовидную структуру раздела
🍭 Описание каждого параметра
🍭 Тип данных параметра
🍭 Изменения в наличии/описании параметра, что происходили от версии к версии
🍭 Небольшие примеры использования
🍭 Ссылки на полезные ресурсы (документация Kubernetes, tutorials)
Все это доступно online и с материалом можно ознакомиться по ссылке выше. Поддерживаются версии Kubernetes: 1.12 – 1.32.
P.S. На текущий момент доступно описание не всех ресурсов, но «основные» - точно на месте 😊
Всем привет!
Изучение спецификации (раздела
spec) ресурсов Kubernetes может быть не самой простой задачей. Да, есть документация, есть kubectl explain, однако, это не всегда удобно и уж точно не наглядно.Для того, чтобы решить эту проблему Автор создал Kubespec!
Он содержит:
🍭 Древовидную структуру раздела
spec Kubernetes ресурсов🍭 Описание каждого параметра
🍭 Тип данных параметра
🍭 Изменения в наличии/описании параметра, что происходили от версии к версии
🍭 Небольшие примеры использования
🍭 Ссылки на полезные ресурсы (документация Kubernetes, tutorials)
Все это доступно online и с материалом можно ознакомиться по ссылке выше. Поддерживаются версии Kubernetes: 1.12 – 1.32.
P.S. На текущий момент доступно описание не всех ресурсов, но «основные» - точно на месте 😊
kubespec.dev
Kubernetes Spec v1.34: Reference Guide and Documentation
Find the documentation for all builtin resources, properties, types and even some examples!
🔥7✍3
Command Injection в Golang
Всем привет!
Еще одна обзорная статья от SNYK, посвященная вопросам анализа кода. На этот раз, в качестве примера используется Command Injection в Golang.
Статья может быть интересна тем, кто делает первые шаги в AppSec.
Внутри можно найти:
🍭 Что такое Command Injection и почему лучше не допускать его появления
🍭 Примеры реализации уязвимости в Golang
🍭 Способы устранения и контроля
Для каждого раздела есть примеры, пояснения и исходный код для лучшего восприятия.
Из приятного – все описано очень просто и понятно 😊
Всем привет!
Еще одна обзорная статья от SNYK, посвященная вопросам анализа кода. На этот раз, в качестве примера используется Command Injection в Golang.
Статья может быть интересна тем, кто делает первые шаги в AppSec.
Внутри можно найти:
🍭 Что такое Command Injection и почему лучше не допускать его появления
🍭 Примеры реализации уязвимости в Golang
🍭 Способы устранения и контроля
Для каждого раздела есть примеры, пояснения и исходный код для лучшего восприятия.
Из приятного – все описано очень просто и понятно 😊
DEV Community
Understanding command injection vulnerabilities in Go
Read how command injection works and the dangers it poses. Learn about practical guidance on how to prevent it. By following best practices and using tools like Snyk, you can significantly reduce the risk of command injection attacks in your Go projects.
👍2
Package Analysis
Всем привет!
Еще один материал от команды OpenSSF – Package Analysis! Его задача – анализ пакетов с целью выявления чего-то вредоносного.
Для этого утилита ищет ответы на вопросы: с какими файлами пытается взаимодействовать пакет? Какие сетевые соединения он пытается создать? Какие команды он пытается запустить?
Работает он по следующему принципу:
🍭 Осуществляется мониторинг новых пакетов в repository
🍭 Постановка задачи на анализ пакета (scheduling)
🍭 Анализ пакета различными средствами
🍭 Помещение результатов в BigQuery
На текущий момент поддерживаются NPM, PyPi, RubyGems. Ознакомиться с результатами можно в общедоступном BigQuery DataSet.
«Локальный» запуск также возможен. Информацию о том, как это сделать, можно найти в GitHub Repo проекта.
Всем привет!
Еще один материал от команды OpenSSF – Package Analysis! Его задача – анализ пакетов с целью выявления чего-то вредоносного.
Для этого утилита ищет ответы на вопросы: с какими файлами пытается взаимодействовать пакет? Какие сетевые соединения он пытается создать? Какие команды он пытается запустить?
Работает он по следующему принципу:
🍭 Осуществляется мониторинг новых пакетов в repository
🍭 Постановка задачи на анализ пакета (scheduling)
🍭 Анализ пакета различными средствами
🍭 Помещение результатов в BigQuery
На текущий момент поддерживаются NPM, PyPi, RubyGems. Ознакомиться с результатами можно в общедоступном BigQuery DataSet.
«Локальный» запуск также возможен. Информацию о том, как это сделать, можно найти в GitHub Repo проекта.
GitHub
GitHub - ossf/package-analysis: Open Source Package Analysis
Open Source Package Analysis. Contribute to ossf/package-analysis development by creating an account on GitHub.
👍2
OCI Runtime Benchmark для Kubernetes
Всем привет!
Kubernetes – наиболее популярное решение, используемое для оркестрации контейнеров. Но если немного абстрагироваться, то сам он делает далеко не все.
Например, жизненный цикл контейнера по большей части управляется Container Rutime Interface (CRI. Например, Docker, containerd).
А что, если «копнуть глубже»? Ведь CRI тоже прибегают к помощи «сторонних сервисов» - OCI Runtime или Container Engine.
Если эта тема вам интересна, рекомендуем ознакомиться со статьей. В ней Автор, после небольшой исторической справки, сравнивает несколько известных OCI Runtime.
В выборку попали:
🍭 runc
🍭 crun
🍭 gvisor/runsc
🍭 youki
Далее Автор написал скрипт, который измеряет параметры запуска 1000 контейнеров из образов busybox.
Полученные результаты, комментарии Автора, «honorable findings» и выводы можно найти в статье.
P.S. Да, возможно не самый лучший benchmark-test (со слов Автора – «This is NOT a scientific benchmark»). А был ли у вас подобный опыт и какой OCI Runtime на ваш взгляд лучше?
Всем привет!
Kubernetes – наиболее популярное решение, используемое для оркестрации контейнеров. Но если немного абстрагироваться, то сам он делает далеко не все.
Например, жизненный цикл контейнера по большей части управляется Container Rutime Interface (CRI. Например, Docker, containerd).
А что, если «копнуть глубже»? Ведь CRI тоже прибегают к помощи «сторонних сервисов» - OCI Runtime или Container Engine.
Если эта тема вам интересна, рекомендуем ознакомиться со статьей. В ней Автор, после небольшой исторической справки, сравнивает несколько известных OCI Runtime.
В выборку попали:
🍭 runc
🍭 crun
🍭 gvisor/runsc
🍭 youki
Далее Автор написал скрипт, который измеряет параметры запуска 1000 контейнеров из образов busybox.
Полученные результаты, комментарии Автора, «honorable findings» и выводы можно найти в статье.
P.S. Да, возможно не самый лучший benchmark-test (со слов Автора – «This is NOT a scientific benchmark»). А был ли у вас подобный опыт и какой OCI Runtime на ваш взгляд лучше?
henrikgerdes.me
Benchmarking what actually drive our containers
Kubernetes success and versatility often overshadows the lower-level details of what actually drives our containers. I took a deeper took on how the default con…
👍1
Использованием LLM/AI для нужд AppSec
Всем привет!
Использование LLM/AI – вопрос времени. Можно сопротивляться, можно отрицать, но рано или поздно (если не уже) все начнут их использовать в какой-то степени.
В статье Автор предлагает рассмотреть возможность и целесообразность их использования для нужд Application Security. И нет, не для автоматической разметки или чего-то, связанного с работой сканеров. А для… оценки рисков.
Автор реализовал автоматизацию следующих шагов:
🍭 Классификация рисков
🍭 Rapid Risk Assessment (согласно руководству Mozilla)
🍭 Security Review
Единственное, что надо подать «на вход» - техническую спецификацию планируемого изменения. После этого все шаги выполняются автоматически, и пользователь получает готовый отчет.
Пример того, как это работает, можно посмотреть в видео, которое приложено к статье. С точки зрения Автора указанный подход позволяет не заменить, но «дополнить» AppSec-специалиста.
В завершении статьи есть интересный раздел Learning and Observations, в котором описаны нюансы работы PoC и что с ними можно сделать для улучшения результатов.
P.S. А как вы думаете – нужно ли пользоваться LLM/AI для нужд AppSec или все это «только сгенерирует больше шума, который нужно проверять»?
Всем привет!
Использование LLM/AI – вопрос времени. Можно сопротивляться, можно отрицать, но рано или поздно (если не уже) все начнут их использовать в какой-то степени.
В статье Автор предлагает рассмотреть возможность и целесообразность их использования для нужд Application Security. И нет, не для автоматической разметки или чего-то, связанного с работой сканеров. А для… оценки рисков.
Автор реализовал автоматизацию следующих шагов:
🍭 Классификация рисков
🍭 Rapid Risk Assessment (согласно руководству Mozilla)
🍭 Security Review
Единственное, что надо подать «на вход» - техническую спецификацию планируемого изменения. После этого все шаги выполняются автоматически, и пользователь получает готовый отчет.
Пример того, как это работает, можно посмотреть в видео, которое приложено к статье. С точки зрения Автора указанный подход позволяет не заменить, но «дополнить» AppSec-специалиста.
В завершении статьи есть интересный раздел Learning and Observations, в котором описаны нюансы работы PoC и что с ними можно сделать для улучшения результатов.
P.S. А как вы думаете – нужно ли пользоваться LLM/AI для нужд AppSec или все это «только сгенерирует больше шума, который нужно проверять»?
👍9
Semgrep Dependency Graph
Всем привет!
Недавно команда Semgrep анонсировала новый функционал их Supply Chain решения, а именно – построение графа зависимостей (dependency graph).
Увы, это не open source (разве что можно попробовать «for free»). Однако, в дополнение к анонсу ребята написали отличную статью, посвященную нюансам анализа open source зависимостей.
В ней предоставлена информация:
🍭 Что такое dependency graph и зачем он нужен
🍭 Как он помогает оптимизировать процесс анализа open source компонентов
🍭 Использование lockfiles – что это и нужны ли они
Все это рассмотрено на понятных и наглядных примерах.
Материал может быть полезен, если вы начинаете разбираться с тонкостями композиционного анализа и вам интересно на что стоит обращать внимание.
Всем привет!
Недавно команда Semgrep анонсировала новый функционал их Supply Chain решения, а именно – построение графа зависимостей (dependency graph).
Увы, это не open source (разве что можно попробовать «for free»). Однако, в дополнение к анонсу ребята написали отличную статью, посвященную нюансам анализа open source зависимостей.
В ней предоставлена информация:
🍭 Что такое dependency graph и зачем он нужен
🍭 Как он помогает оптимизировать процесс анализа open source компонентов
🍭 Использование lockfiles – что это и нужны ли они
Все это рассмотрено на понятных и наглядных примерах.
Материал может быть полезен, если вы начинаете разбираться с тонкостями композиционного анализа и вам интересно на что стоит обращать внимание.
Semgrep
Less effort, more insight: Introducing Dependency Graph for Supply Chain
You cannot secure what you cannot see. Introducing Semgrep’s Dependency Graph: effortless visibility into your software supply chain. Empower AppSec teams to uncover and remediate transitive vulnerabilities with precision, whether or not lockfiles are available.
❤1👎1
Advanced_SCA.pdf
4.1 MB
Advanced SCA от Xygeni
Всем привет!
В приложении доступна небольшая (~ 13 страниц) электронная книга от Xygeni, посвященная композиционному анализу (SCA).
В ней можно найти информацию о:
🍭 Истории развития композиционного анализа от 2000-х до настоящего времени
🍭 Значимости обеспечения ИБ используемых open source компонентов
🍭 Преимуществах использования SCA при разработке ПО
🍭 Наиболее значимых функциях, которые должны быть в SCA-инструментах и не только
Электронная книга небольшая. Но так даже лучше – минимум воды и много полезной информации ☺️
Всем привет!
В приложении доступна небольшая (~ 13 страниц) электронная книга от Xygeni, посвященная композиционному анализу (SCA).
В ней можно найти информацию о:
🍭 Истории развития композиционного анализа от 2000-х до настоящего времени
🍭 Значимости обеспечения ИБ используемых open source компонентов
🍭 Преимуществах использования SCA при разработке ПО
🍭 Наиболее значимых функциях, которые должны быть в SCA-инструментах и не только
Электронная книга небольшая. Но так даже лучше – минимум воды и много полезной информации ☺️
👍5👎1
Новая версия DAF!
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
GitHub
GitHub - Jet-Security-Team/DevSecOps-Assessment-Framework: DevSecOps Assessment Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
100🔥16❤3🥰2
С Наступающим!!! 🍾 🍾 🍾
Всем привет!
Сегодня никаких утилит, статей, безопасной разработки, Kubernetes и всего вот этого 😊
Сегодня только поздравления с наступающим Новым Годом и пожелания встретить его в кругу самых родных и близких🏡
Чтобы Новогодняя Ночь была поистине волшебной🎄 🎄 🎄 , настроение бодрым, а сердце – умиротворенным 🥛 🥛 🥛
Самое время отдохнуть, вспомнить что было, подумать о том, что будет, и набраться сил для покорения новых высот в 2025!!!
До встречи!!! Уже скучаем ❤️
Ваша Редакция DevSecOps Talks
Всем привет!
Сегодня только поздравления с наступающим Новым Годом и пожелания встретить его в кругу самых родных и близких
Чтобы Новогодняя Ночь была поистине волшебной
Самое время отдохнуть, вспомнить что было, подумать о том, что будет, и набраться сил для покорения новых высот в 2025!!!
До встречи!!! Уже скучаем ❤️
Ваша Редакция DevSecOps Talks
Please open Telegram to view this post
VIEW IN TELEGRAM
🍾30🎄13👍5💩1
Helm Dashboard!
Всем привет!
Начинаем 2025 год постепенно, начиная с чего-то простого(не всем же надо с места в карьер 😊) . Поэтому сегодня хотим рассказать вам про Helm Dashboard.
Да, все как в названии – это некоторый «графический справочник» по всем установленным Helm Charts.
С его помощью можно:
🍭 Получить информацию о всех установленных charts и их revision history
🍭 Узнать разницу (diff) в манифестах, в сравнении с предыдущими версиями
🍭 Откатиться к предыдущей версии или установить новую
🍭 Сканировать ресурсы с использованием Trivy и/или Checkov и многое другое
Полное описание возможностей Helm Dashboard можно найти тут.
Устанавливается через binary, через Helm Plugin Manager или через Helm Chart, который можно найти в repo.
И в завершении хочется пожелать отличного начала 2025 года, чтобы оно было плавным и максимально приятным ☺️
Всем привет!
Начинаем 2025 год постепенно, начиная с чего-то простого
Да, все как в названии – это некоторый «графический справочник» по всем установленным Helm Charts.
С его помощью можно:
🍭 Получить информацию о всех установленных charts и их revision history
🍭 Узнать разницу (diff) в манифестах, в сравнении с предыдущими версиями
🍭 Откатиться к предыдущей версии или установить новую
🍭 Сканировать ресурсы с использованием Trivy и/или Checkov и многое другое
Полное описание возможностей Helm Dashboard можно найти тут.
Устанавливается через binary, через Helm Plugin Manager или через Helm Chart, который можно найти в repo.
И в завершении хочется пожелать отличного начала 2025 года, чтобы оно было плавным и максимально приятным ☺️
GitHub
GitHub - komodorio/helm-dashboard: The missing UI for Helm - visualize your releases
The missing UI for Helm - visualize your releases. Contribute to komodorio/helm-dashboard development by creating an account on GitHub.
👍11❤2🔥2