Анализ кода в Reddit
Всем привет!
В статье описан опыт команды Reddit по созданию собственной AppSec-платформы.
Они хотели, чтобы было:
🍭 Что-то, что настраивается и управляется командой
🍭 Что-то, что позволит быстро подключать новые сканеры
🍭 Что-то, что является централизованным и позволяет быстро вносить изменения
🍭 Что-то, что является масштабируемым, т.к. количество сканирований будет только расти (в Reddit ~ 2000 repository)
Определив «примерные функциональные требования», был выбран и технологический стек: Golang, Async, Redis и Kubernetes.
Что же получилось в итоге? Если кратко, то процесс выглядит следующим образом:
🍭 Разработчик делает commit в repo
Информация о commit направляется в Code Scanner Server
🍭 На основании данных commit’a и метаданных repo подбираются сканеры и их конфигурация
🍭 Сканеры анализируют проект и сохраняют результат
Более полное описание процесса представлено в статье, включаю схему высокоуровневой архитектуры предлагаемого решения. В завершение статьи представлены планы дальнейшего развития получившейся платформы.
Всем привет!
В статье описан опыт команды Reddit по созданию собственной AppSec-платформы.
Они хотели, чтобы было:
🍭 Что-то, что настраивается и управляется командой
🍭 Что-то, что позволит быстро подключать новые сканеры
🍭 Что-то, что является централизованным и позволяет быстро вносить изменения
🍭 Что-то, что является масштабируемым, т.к. количество сканирований будет только расти (в Reddit ~ 2000 repository)
Определив «примерные функциональные требования», был выбран и технологический стек: Golang, Async, Redis и Kubernetes.
Что же получилось в итоге? Если кратко, то процесс выглядит следующим образом:
🍭 Разработчик делает commit в repo
Информация о commit направляется в Code Scanner Server
🍭 На основании данных commit’a и метаданных repo подбираются сканеры и их конфигурация
🍭 Сканеры анализируют проект и сохраняют результат
Более полное описание процесса представлено в статье, включаю схему высокоуровневой архитектуры предлагаемого решения. В завершение статьи представлены планы дальнейшего развития получившейся платформы.
Reddit
From the RedditEng community on Reddit
Explore this post and more from the RedditEng community
👍4👎2
Intigriti Hackademy
Всем привет!
Еще одна подборка обучающих материалов, посвященная тематике Web Application Security от Intigriti.
По большей части доступна теория в виде статей и обучающих роликов. За основу взяты угрозы из OWASP Top 10.
Да, «еще один материал», но, возможно, лишним не будет. Да и не это самое интересное!
Помимо указанных курсов команда проводит регулярные challenges, которые можно найти вот тут.
На текущий момент их доступно 38 штук, и они продолжают появляться с определенной периодичностью.
Каждый из них представляет из себя небольшое CTF-задание, которое можно решить самостоятельно или изучить writeup’ы, подготовленные сообществом.
Всем привет!
Еще одна подборка обучающих материалов, посвященная тематике Web Application Security от Intigriti.
По большей части доступна теория в виде статей и обучающих роликов. За основу взяты угрозы из OWASP Top 10.
Да, «еще один материал», но, возможно, лишним не будет. Да и не это самое интересное!
Помимо указанных курсов команда проводит регулярные challenges, которые можно найти вот тут.
На текущий момент их доступно 38 штук, и они продолжают появляться с определенной периодичностью.
Каждый из них представляет из себя небольшое CTF-задание, которое можно решить самостоятельно или изучить writeup’ы, подготовленные сообществом.
Intigriti
Hackademy
Intigriti Hackademy. This is the landing page for Intigriti's learning platform, where you can dive into multiple vulnerability classes.
👍5
Что такое DevOps?
Всем привет!
Если вам всегда было интересно, и вы боялись спросить… 😊 То вот этот материал может вас
заинтересовать – DevOps Engineering Handbook.
В нем собрано много информации по темам:
🍭 Continuous Delivery & Deployment
🍭 Platform Engineering
🍭 Software Deployments
🍭 Metrics и не только
Данные варьируются в зависимости от раздела. Это может быть общее описание, примеры, средства автоматизации, (анти) паттерны.
Главное, что их много и они хорошо структурированы 😊
Всем привет!
Если вам всегда было интересно, и вы боялись спросить… 😊 То вот этот материал может вас
заинтересовать – DevOps Engineering Handbook.
В нем собрано много информации по темам:
🍭 Continuous Delivery & Deployment
🍭 Platform Engineering
🍭 Software Deployments
🍭 Metrics и не только
Данные варьируются в зависимости от раздела. Это может быть общее описание, примеры, средства автоматизации, (анти) паттерны.
Главное, что их много и они хорошо структурированы 😊
Octopus
What is DevOps?
Rather than technology alone, it's the practices, processes, and culture changes DevOps introduces that can most positively impact your software delivery.
✍4
Cyclops – UI для Kubernetes
Всем привет!
Небольшой пятничный пост, посвященный еще одной «графической обертке» для Kubernetes – Cyclops. Open Source! Free now and forever!
Если кратко, то он позволяет делать следующее:
🍭 Предоставляет информацию о ресурсах Kubernetes
🍭 Просматривать разницу (diff) в манифестах
🍭 Создавать ресурсы Kubernetes
🍭 Просматривать журналы событий ресурсов кластера
🍭 Изменять параметры конфигурации существующих ресурсов и не только
«В комплекте» идет Cyclops CLI (cyctl), при помощи которой можно автоматизировать действия, доступные через UI.
С подробностями (установка, внешний вид, настройка, расширенное описание возможностей) можно ознакомиться в repo проекта или в документации.
Всем привет!
Небольшой пятничный пост, посвященный еще одной «графической обертке» для Kubernetes – Cyclops. Open Source! Free now and forever!
Если кратко, то он позволяет делать следующее:
🍭 Предоставляет информацию о ресурсах Kubernetes
🍭 Просматривать разницу (diff) в манифестах
🍭 Создавать ресурсы Kubernetes
🍭 Просматривать журналы событий ресурсов кластера
🍭 Изменять параметры конфигурации существующих ресурсов и не только
«В комплекте» идет Cyclops CLI (cyctl), при помощи которой можно автоматизировать действия, доступные через UI.
С подробностями (установка, внешний вид, настройка, расширенное описание возможностей) можно ознакомиться в repo проекта или в документации.
GitHub
GitHub - cyclops-ui/cyclops: Developer Friendly Kubernetes 👁️
Developer Friendly Kubernetes 👁️. Contribute to cyclops-ui/cyclops development by creating an account on GitHub.
❤3
CodeQL: From zero to hero, Part 4
Всем привет!
Продолжение цикла статей, посвященных вопросам использования CodeQL. В первых частях (про которые мы писали тут, тут и тут) Автор рассказывал про то, что такое CodeQL, как он работает и как его можно использовать для поиска ИБ-дефектов в ПО.
Четвертая часть посвящена анализу Gradio:
🍭 Краткое описание что это такое, примеры интерфейсов
🍭 Определение поверхности атаки
🍭 «Моделирование» Gradio с использованием CodeQL
🍭 Поиск уязвимостей, в том числе с использованием Multi-Repository Variant Analysis (запуск query на множестве проектов, подробности можно найти в третьей части)
Статья очень большая и подробная, в ней много примеров кода, отсылок к логике работы CodeQL, комментариев Автора о том, что происходит. Рекомендуем!
P.S. С использованием описанного подхода Автору удалось найти 11 уязвимостей в нескольких Gradio-проектах. Подробнее об этом можно прочесть тут (проще всего искать по имени - Sylwia Budzynska)
Всем привет!
Продолжение цикла статей, посвященных вопросам использования CodeQL. В первых частях (про которые мы писали тут, тут и тут) Автор рассказывал про то, что такое CodeQL, как он работает и как его можно использовать для поиска ИБ-дефектов в ПО.
Четвертая часть посвящена анализу Gradio:
🍭 Краткое описание что это такое, примеры интерфейсов
🍭 Определение поверхности атаки
🍭 «Моделирование» Gradio с использованием CodeQL
🍭 Поиск уязвимостей, в том числе с использованием Multi-Repository Variant Analysis (запуск query на множестве проектов, подробности можно найти в третьей части)
Статья очень большая и подробная, в ней много примеров кода, отсылок к логике работы CodeQL, комментариев Автора о том, что происходит. Рекомендуем!
P.S. С использованием описанного подхода Автору удалось найти 11 уязвимостей в нескольких Gradio-проектах. Подробнее об этом можно прочесть тут (проще всего искать по имени - Sylwia Budzynska)
The GitHub Blog
CodeQL zero to hero part 4: Gradio framework case study
Learn how I discovered 11 new vulnerabilities by writing CodeQL models for Gradio framework and how you can do it, too.
Настройка HPA с использованием Custom Metrics
Всем привет!
Одним из преимуществ использования Kubernetes является возможность настройки автоматического масштабирования (как горизонтального, так и вертикального).
По умолчанию горизонтальное масштабирование настраивается с учетом достаточно ограниченного набора метрик – потребление CPU и памяти.
Но что, если хочется большего? Как раз этому и посвящена статья. В ней Авторы демонстрируют как можно «расширить» возможности Horizontal Pod Autoscaler (HPA) через использование произвольных метрик.
Команда предлагает реализовать схему:
🍭 Допустим у нас есть приложение, которое генерирует метрики
🍭 В кластере Kubernetes установлен 🍭 Prometheus, который эти метрики «собирает»
🍭 Prometheus Adapter «забирает» только нужные нам метрики из предыдущего пункта
🍭 HPA принимает решение о масштабировании исходя из данных, предоставляемых Prometheus Adapter
В статье описан весь путь, примеры, комментарии и ссылки на необходимый инструментарий.
В завершении ребята подвергают конструкцию нагрузочному тестированию с помощью Vegeta 😊
Всем привет!
Одним из преимуществ использования Kubernetes является возможность настройки автоматического масштабирования (как горизонтального, так и вертикального).
По умолчанию горизонтальное масштабирование настраивается с учетом достаточно ограниченного набора метрик – потребление CPU и памяти.
Но что, если хочется большего? Как раз этому и посвящена статья. В ней Авторы демонстрируют как можно «расширить» возможности Horizontal Pod Autoscaler (HPA) через использование произвольных метрик.
Команда предлагает реализовать схему:
🍭 Допустим у нас есть приложение, которое генерирует метрики
🍭 В кластере Kubernetes установлен 🍭 Prometheus, который эти метрики «собирает»
🍭 Prometheus Adapter «забирает» только нужные нам метрики из предыдущего пункта
🍭 HPA принимает решение о масштабировании исходя из данных, предоставляемых Prometheus Adapter
В статье описан весь путь, примеры, комментарии и ссылки на необходимый инструментарий.
В завершении ребята подвергают конструкцию нагрузочному тестированию с помощью Vegeta 😊
Medium
Optimizing Kubernetes resources with Horizontal Pod Autoscaling via Custom Metrics and the…
A journey to make better scaling decisions by using Kubernetes Horizontal Pod Autoscaler with custom metrics and Prometheus Adapter.
✍4
Новый фреймворк по аудиту и защите контейнерной инфраструктуры JCSF!
Друзья, это, наконец, свершилось: мы нашли время и силы, чтобы объединить рекомендации производителей, лучшие практики и наш опыт в области безопасности контейнеров в едином фреймворке Jet Container Security Framework (JCSF). Благодаря ему можно как провести аудит собственной контейнерной инфраструктуры, так и запланировать дальнейшие действия в области защиты контейнеров. Детальная информация и сам фреймворк доступны по ссылке.
Фреймворк JCSF общедоступный. Навсегда 🙂
Также мы будем очень рады, если вы присоединитесь к совершенствованию JCSF и станете его контрибьютором.
Друзья, это, наконец, свершилось: мы нашли время и силы, чтобы объединить рекомендации производителей, лучшие практики и наш опыт в области безопасности контейнеров в едином фреймворке Jet Container Security Framework (JCSF). Благодаря ему можно как провести аудит собственной контейнерной инфраструктуры, так и запланировать дальнейшие действия в области защиты контейнеров. Детальная информация и сам фреймворк доступны по ссылке.
Фреймворк JCSF общедоступный. Навсегда 🙂
Также мы будем очень рады, если вы присоединитесь к совершенствованию JCSF и станете его контрибьютором.
GitHub
GitHub - Jet-Security-Team/Jet-Container-Security-Framework: Jet Container Security Framework (JCSF)
Jet Container Security Framework (JCSF). Contribute to Jet-Security-Team/Jet-Container-Security-Framework development by creating an account on GitHub.
252🔥34❤11🥰8👍4🐳2
Небезопасное извлечение архива
Всем привет!
Еще одна отличная статья от Doyensec. В этот раз специалист проводил исследование, связанное с возможностью эксплуатации уязвимостей в функциях, используемых для разархивирования.
Анализу подлежали следующие языки программирования: Python, Ruby, Swift, Java, PHP и JavaScript.
Для того, чтобы лучше в этом разобраться, Автор сделал PoC, в котором были реализовал Archive Path Traversal.
Помимо этого, он подготовил набор Semgrep-правил, при помощи которых можно идентифицировать указанные уязвимости.
Но и это далеко не все! Больше информации и материалов можно найти в статье или по ссылке на вот это repo.
В нем, помимо прочего, Автор приводит результаты анализа безопасности часто встречающихся функций языков программирования для (раз) архивирования.
Всем привет!
Еще одна отличная статья от Doyensec. В этот раз специалист проводил исследование, связанное с возможностью эксплуатации уязвимостей в функциях, используемых для разархивирования.
Анализу подлежали следующие языки программирования: Python, Ruby, Swift, Java, PHP и JavaScript.
Для того, чтобы лучше в этом разобраться, Автор сделал PoC, в котором были реализовал Archive Path Traversal.
Помимо этого, он подготовил набор Semgrep-правил, при помощи которых можно идентифицировать указанные уязвимости.
Но и это далеко не все! Больше информации и материалов можно найти в статье или по ссылке на вот это repo.
В нем, помимо прочего, Автор приводит результаты анализа безопасности часто встречающихся функций языков программирования для (раз) архивирования.
GitHub
GitHub - doyensec/Unsafe-Unpacking: Unsafe Unpacking Vulnerability: Lab Code, Semgrep Rules and Secure Implementation Guide
Unsafe Unpacking Vulnerability: Lab Code, Semgrep Rules and Secure Implementation Guide - doyensec/Unsafe-Unpacking
Stratoshark: анализ сетевого трафика …!
Всем привет!
Если вам показалось, что название чем-то напоминает Wireshark, то… Вы правы! Stratoshark – новая утилита от той же команды, что создала Wireshark!
С ее помощью можно анализировать нет, не сетевой трафик, но системные вызовы. Например, взаимодействие с файлами, выполнение команд, сетевую активность, взаимодействие между процессами и т.д.
Как и его старший брат, Stratoshark позволяет:
🍭 Просматривать результаты в UI
🍭 Использовать гибкую систему фильтрации для того, что нужно именно вам
🍭 Анализировать записи, созданные Falco
🍭 Изменять отображение информации в соответствии с вашими потребностями
Согласно заверениям разработчиков, если вы пользовались Wireshark, то со Stratoshark вы будете «чувствовать себя, как дома» 😊
Подробнее о проекте – документация, установка, quick start guide, исходный код, немного видео – все это можно найти вот по этой ссылке.
Всем привет!
Если вам показалось, что название чем-то напоминает Wireshark, то… Вы правы! Stratoshark – новая утилита от той же команды, что создала Wireshark!
С ее помощью можно анализировать нет, не сетевой трафик, но системные вызовы. Например, взаимодействие с файлами, выполнение команд, сетевую активность, взаимодействие между процессами и т.д.
Как и его старший брат, Stratoshark позволяет:
🍭 Просматривать результаты в UI
🍭 Использовать гибкую систему фильтрации для того, что нужно именно вам
🍭 Анализировать записи, созданные Falco
🍭 Изменять отображение информации в соответствии с вашими потребностями
Согласно заверениям разработчиков, если вы пользовались Wireshark, то со Stratoshark вы будете «чувствовать себя, как дома» 😊
Подробнее о проекте – документация, установка, quick start guide, исходный код, немного видео – все это можно найти вот по этой ссылке.
🔥19👍5
Wormable XSS в Atlassian
Всем привет!
Команда Snapsec проводила аудит информационной безопасности Atlassian и обнаружила очень интересное поведение одной функции.
С одной стороны – обычная XSS, с другой стороны ее эксплуатация в определённых условиях позволяла получать повышенные привилегии в организациях, отличных от собственной.
В статье Авторы рассказывают про:
🍭 Что такое link-based XSS и как их реализовать
🍭 Поиск «чего-то подходящего в продуктах Atlassian» для реализации link-based XSS
🍭 Повышение привилегий с помощью XSS в рамках одной организации
🍭 Повышение привилегий с помощью XSS в рамках нескольких организаций
Каждый шаг детально описан, есть примеры payloads, скриншоты и комментарии.
Всем привет!
Команда Snapsec проводила аудит информационной безопасности Atlassian и обнаружила очень интересное поведение одной функции.
С одной стороны – обычная XSS, с другой стороны ее эксплуатация в определённых условиях позволяла получать повышенные привилегии в организациях, отличных от собственной.
В статье Авторы рассказывают про:
🍭 Что такое link-based XSS и как их реализовать
🍭 Поиск «чего-то подходящего в продуктах Atlassian» для реализации link-based XSS
🍭 Повышение привилегий с помощью XSS в рамках одной организации
🍭 Повышение привилегий с помощью XSS в рамках нескольких организаций
Каждый шаг детально описан, есть примеры payloads, скриншоты и комментарии.
SSCS_RedHat.pdf
1 MB
A practical guide to software supply chain security
Всем привет!
В приложении можно скачать небольшую книгу (~ 21 страница) от Red Hat, посвященную информационной безопасности цепочки поставок ПО.
Книга состоит из разделов:
🍭 Общее описание того, что из себя представляет цепочка поставки ПО
🍭 Основные атаки на цепочку поставки ПО
🍭 Способы защиты от вышеперечисленных атак
Материал структурирован по этапам жизненного цикла ПО – от Create до Run.
В целом получился достаточно неплохой материал для поверхностного ознакомления и понимания того, куда двигаться дальше.
Всем привет!
В приложении можно скачать небольшую книгу (~ 21 страница) от Red Hat, посвященную информационной безопасности цепочки поставок ПО.
Книга состоит из разделов:
🍭 Общее описание того, что из себя представляет цепочка поставки ПО
🍭 Основные атаки на цепочку поставки ПО
🍭 Способы защиты от вышеперечисленных атак
Материал структурирован по этапам жизненного цикла ПО – от Create до Run.
В целом получился достаточно неплохой материал для поверхностного ознакомления и понимания того, куда двигаться дальше.
👍5
Kubewatch: оповещения о событиях в кластерах Kubernetes
Всем привет!
Kubewatch – утилита, которая позволяет получать оповещения о событиях в кластерах Kubernetes, связанных с ресурсами.
Например, создание
Это может быть полезно команде информационной безопасности: узнать, что кому-то был предоставлен доступ или где-то изменили параметры Security Context.
Сейчас Kubewatch поддерживает «основные» ресурсы:
🍭 Deployment
🍭 Service
🍭 ClusterRole
🍭 Secret
🍭 ConfigMap и т.д.
Также можно реализовать настройку оповещений для CRD.
Данные можно отправлять в различные средства коммуникации, например, Slack, Mattermost, Teams, электронная почта и т.д.
А если нужно «что-то свое», то можно использовать обычный webhook.
Всем привет!
Kubewatch – утилита, которая позволяет получать оповещения о событиях в кластерах Kubernetes, связанных с ресурсами.
Например, создание
Service, присвоение ClusterRoleBinding, изменение параметров Deployment и т.д.Это может быть полезно команде информационной безопасности: узнать, что кому-то был предоставлен доступ или где-то изменили параметры Security Context.
Сейчас Kubewatch поддерживает «основные» ресурсы:
🍭 Deployment
🍭 Service
🍭 ClusterRole
🍭 Secret
🍭 ConfigMap и т.д.
Также можно реализовать настройку оповещений для CRD.
Данные можно отправлять в различные средства коммуникации, например, Slack, Mattermost, Teams, электронная почта и т.д.
А если нужно «что-то свое», то можно использовать обычный webhook.
GitHub
GitHub - robusta-dev/kubewatch: Watch k8s events and trigger Handlers
Watch k8s events and trigger Handlers. Contribute to robusta-dev/kubewatch development by creating an account on GitHub.
❤2
Image Verify Cache в Kyverno
🔍 Всем привет!
Если вы уже знакомы с инструментом Kyverno, то знаете, что он помогает обеспечить соблюдение политик безопасности в кластере. В частности одно из его возможных применений — верификация образов, подписанных на этапе сборки.
Kyverno имеет неожиданную особенность — по-умолчанию он сохраняет в кэше ссылку на образ, для политик типа imageVerify. Согласно документации, это реализовано для снижения нагрузки на сеть, так как при повторном использовании образа проверка не повторяется. По умолчанию кеш хранится 60 минут.
Но что, если вам нужно изменить это поведение? Разработчики предусмотрели несколько вариантов:
1. Параметры запуска kyverno:
- imageVerifyCacheEnabled — отключает кеш для imageVerify.
- imageVerifyCacheMaxSize — определяет количество хранимых значений.
- imageVerifyCacheTTLDuration — задает время хранения записи в кэше.
2. Использование параметра useCache: false в самой политике.
Эта информация может быть полезна для тех, кто хочет глубже понять работу kyverno и настроить его под свои нужды.
🔍 Всем привет!
Если вы уже знакомы с инструментом Kyverno, то знаете, что он помогает обеспечить соблюдение политик безопасности в кластере. В частности одно из его возможных применений — верификация образов, подписанных на этапе сборки.
Kyverno имеет неожиданную особенность — по-умолчанию он сохраняет в кэше ссылку на образ, для политик типа imageVerify. Согласно документации, это реализовано для снижения нагрузки на сеть, так как при повторном использовании образа проверка не повторяется. По умолчанию кеш хранится 60 минут.
Но что, если вам нужно изменить это поведение? Разработчики предусмотрели несколько вариантов:
1. Параметры запуска kyverno:
- imageVerifyCacheEnabled — отключает кеш для imageVerify.
- imageVerifyCacheMaxSize — определяет количество хранимых значений.
- imageVerifyCacheTTLDuration — задает время хранения записи в кэше.
2. Использование параметра useCache: false в самой политике.
Эта информация может быть полезна для тех, кто хочет глубже понять работу kyverno и настроить его под свои нужды.
🔥5❤3👍3
Ротация секретов: how to?
Всем привет!
Небольшой, но тем не менее достаточно важный пятничный пост. Бывает так, что секрет был компрометирован. И его надо сменить.
Команда Truffle Security любезно подготовила набор пошаговых инструкций о том, как это можно сделать для разных сервисов.
В подборку вошли:
🍭 Atlassian
🍭 GitHub
🍭 GitLab
🍭 OpenAI
🍭 Slack и многое другое
Надеемся, что вам никогда не пригодятся эти инструкции. Но на всякий случай, пусть побудут тут 😊
Всем привет!
Небольшой, но тем не менее достаточно важный пятничный пост. Бывает так, что секрет был компрометирован. И его надо сменить.
Команда Truffle Security любезно подготовила набор пошаговых инструкций о том, как это можно сделать для разных сервисов.
В подборку вошли:
🍭 Atlassian
🍭 GitHub
🍭 GitLab
🍭 OpenAI
🍭 Slack и многое другое
Надеемся, что вам никогда не пригодятся эти инструкции. Но на всякий случай, пусть побудут тут 😊
How to Rotate Leaked API Keys
Getting Started
Welcome to How To Rotate, an open-source collection of API Key Rotation tutorials. Each tutorial provides step-by-step instructions on how to remediate a leaked API key security vulnerability by (1) Generating a new API key, (2) Replacing the compromised…
🔥2👍1
Reachability_OWASP.pdf
3.9 MB
Анализ достижимости: что это такое и как это работает?
Всем привет!
В приложении можно скачать презентацию Mike Larkin, в которой он наглядно показывает, что такое анализ достижимости и как его можно реализовать с использованием open source инструментов.
Авто рассматривает:
🍭 Что такое достижимый код
🍭 Общая информация об анализе достижимости и почему он так важен
🍭 CVE и «информативность» их описания
🍭 SBOM и его роль в анализе достижимости
🍭 Графы вызовов, их использование для понимания «кто вызывает кого» и не только
В результате у Автора получается объединить все вышеописанное вместе для того, чтобы рассмотреть анализ достижимости со всех сторон (пусть и поверхностно).
Для наглядности материал содержит отсылки на используемый инструментарий и примеры анализа для Golang и Java-приложения.
Помимо этого, можно ознакомиться с видео. Рекомендуем! Хотя бы потому, что в нем представлены примеры запуска утилит и комментарии Автора, чего нет в презентации.
Увы, предлагаемый подход поможет понять, что это такое и зачем это нужно, но масштабировать его в компаниях вряд ли получится без «доработок».
Всем привет!
В приложении можно скачать презентацию Mike Larkin, в которой он наглядно показывает, что такое анализ достижимости и как его можно реализовать с использованием open source инструментов.
Авто рассматривает:
🍭 Что такое достижимый код
🍭 Общая информация об анализе достижимости и почему он так важен
🍭 CVE и «информативность» их описания
🍭 SBOM и его роль в анализе достижимости
🍭 Графы вызовов, их использование для понимания «кто вызывает кого» и не только
В результате у Автора получается объединить все вышеописанное вместе для того, чтобы рассмотреть анализ достижимости со всех сторон (пусть и поверхностно).
Для наглядности материал содержит отсылки на используемый инструментарий и примеры анализа для Golang и Java-приложения.
Помимо этого, можно ознакомиться с видео. Рекомендуем! Хотя бы потому, что в нем представлены примеры запуска утилит и комментарии Автора, чего нет в презентации.
Увы, предлагаемый подход поможет понять, что это такое и зачем это нужно, но масштабировать его в компаниях вряд ли получится без «доработок».
👏4👍2❤1🔥1
Использование AI в статическом анализе
Всем привет!
Статья от GitHub, в которой описано то, как они применяют AI для оптимизации процесса работы с результатами статического анализа ПО.
В статье приводится общая информация о том, как и для чего можно использовать AI в SAST.
Например, выявление большего количества ИБ-дефектов или помощь в их устранении.
Последнему как раз и посвящена основная часть статьи. Автор описывает процесс того, как работает Code Scanning Autofix в связке с CodeQL.
Алгоритм следующий:
🍭 Кодовая база сканируется с использованием CodeQL
🍭 Подготовка prompt’a с информацией об ИБ-дефекте для отправки в Copilot (описание уязвимости из базы CodeQL, пример исходного кода)
🍭 Проверка ответа, полученного от Copilot, удаление всего «лишнего»
🍭 Создание pull request, содержащего вариант по устранению ИБ-дефекта и его описание
Указанный выше алгоритм более детально описывается в статье, с примерами.
Кроме того, в статье очень много ссылок на полезные материалы по теме использования AI для анализа ПО.
Всем привет!
Статья от GitHub, в которой описано то, как они применяют AI для оптимизации процесса работы с результатами статического анализа ПО.
В статье приводится общая информация о том, как и для чего можно использовать AI в SAST.
Например, выявление большего количества ИБ-дефектов или помощь в их устранении.
Последнему как раз и посвящена основная часть статьи. Автор описывает процесс того, как работает Code Scanning Autofix в связке с CodeQL.
Алгоритм следующий:
🍭 Кодовая база сканируется с использованием CodeQL
🍭 Подготовка prompt’a с информацией об ИБ-дефекте для отправки в Copilot (описание уязвимости из базы CodeQL, пример исходного кода)
🍭 Проверка ответа, полученного от Copilot, удаление всего «лишнего»
🍭 Создание pull request, содержащего вариант по устранению ИБ-дефекта и его описание
Указанный выше алгоритм более детально описывается в статье, с примерами.
Кроме того, в статье очень много ссылок на полезные материалы по теме использования AI для анализа ПО.
The GitHub Blog
How AI enhances static application security testing (SAST)
Here’s how SAST tools combine generative AI with code scanning to help you deliver features faster and keep vulnerabilities out of code.
🔥3👍2
В пятницу прошла интересная беседа уважаемых в мире DevOps людей 😎
Смотрели под лупой новую версию Штурвала и рассуждали нужен ли ванильный куб, если можно скачать бесплатную community версию продукта и не мучиться? 😵
Всем приятного просмотра 🤓
https://www.youtube.com/watch?v=1My_GAXjI3A
Полезные ссылки:
Telegram - https://news.1rj.ru/str/shturval_community
Сайт - https://chislitellab.ru/shturval/
Смотрели под лупой новую версию Штурвала и рассуждали нужен ли ванильный куб, если можно скачать бесплатную community версию продукта и не мучиться? 😵
Всем приятного просмотра 🤓
https://www.youtube.com/watch?v=1My_GAXjI3A
Полезные ссылки:
Telegram - https://news.1rj.ru/str/shturval_community
Сайт - https://chislitellab.ru/shturval/
YouTube
Штурвал vs Ванильный k8s - платформа контейнеризации - Александр Краснов
🔥 Покажем и расскажем про Штурвал, русскую разработку в CE версии
Платформа управления средами контейнерной оркестрации
✅ Официальный сайт платформы - https://chislitellab.ru/shturval/
Документация - https://docs.shturval.tech/
Обсуждаем:
📦 Что умеет…
Платформа управления средами контейнерной оркестрации
✅ Официальный сайт платформы - https://chislitellab.ru/shturval/
Документация - https://docs.shturval.tech/
Обсуждаем:
📦 Что умеет…
👍5🔥3🐳2🤣2💅2🥰1💩1🌭1🍌1
Использование AI для triage: опыт Semgrep
Всем привет!
Продолжаем тему использования AI для оптимизации процесса управления ИБ-дефектами при статическом анализе исходного кода.
«Мы рады заявить, что оценка Semgrep Assistant по обнаружению true positive совпадает с аналогичной оценкой наших специалистов в 95% случаев» - так начинается статья от Semgrep.
Далее в статье описано как именно команде удалось достичь таких впечатляющих результатов.
Например:
🍭 Процесс работы Assistant Autotriage – схема, дополнительный контекст (метаданные правил, предыдущие решения, примеры того, что (не) должно быть найдено и т.д.)
🍭 Сравнение используемых моделей (на выборке из 2000 findings)
🍭 Улучшение результативности за счет разных моделей, оптимизации prompt и т.д.
В завершение описаны идеи команды по дальнейшему развитию Assistant. Например, сейчас он сам не «закрывает» найденные ИБ-дефекты, а только подсказывает.
Рекомендуем! Читается легко, много всего интересного, включая дополнительные ссылки на исследования Semgrep в области использования машинного обучения.
Всем привет!
Продолжаем тему использования AI для оптимизации процесса управления ИБ-дефектами при статическом анализе исходного кода.
«Мы рады заявить, что оценка Semgrep Assistant по обнаружению true positive совпадает с аналогичной оценкой наших специалистов в 95% случаев» - так начинается статья от Semgrep.
Далее в статье описано как именно команде удалось достичь таких впечатляющих результатов.
Например:
🍭 Процесс работы Assistant Autotriage – схема, дополнительный контекст (метаданные правил, предыдущие решения, примеры того, что (не) должно быть найдено и т.д.)
🍭 Сравнение используемых моделей (на выборке из 2000 findings)
🍭 Улучшение результативности за счет разных моделей, оптимизации prompt и т.д.
В завершение описаны идеи команды по дальнейшему развитию Assistant. Например, сейчас он сам не «закрывает» найденные ИБ-дефекты, а только подсказывает.
Рекомендуем! Читается легко, много всего интересного, включая дополнительные ссылки на исследования Semgrep в области использования машинного обучения.
Semgrep
How we built an AppSec AI that security researchers agree with 96% of the time
Getting Semgrep Assistant to triage vulnerabilities with a 96% true positive accuracy was hard, but there were lots of learnings along the way. In this blog, we’ll dive into the models we tested, the challenges we faced, and the iterative improvements that…
👍5
Автоматизация создания схем для Kubernetes
Всем привет!
По ссылке можно найти утилиту, которая позволяет автоматизировать процесс создания диаграмм, визуализирующих взаимосвязь ресурсов приложения, запущенного в Kubernetes - KubeDiagrams.
Подобные утилиты существуют (и предоставлены в repo). KubeDiagrams отличается от них тем, что его можно очень по-разному настроить.
Сам процесс выглядит примерно так:
🍭 Применяем необходимые манифесты в кластере Kubernetes
🍭 Ждем пока все ресурсы будут созданы, pod – запущены и т.д.
🍭 Делаем
🍭 Передаем указанный файл на вход KubeDiagrams
Готово! Получаем красивую схему
Примеры работы утилиты можно найти в repo.
Насколько хорошо она себя покажет с «большими» приложениями – трудно сказать, надо экспериментировать! ☺️
P.S. Возможно, что есть те, кто ей пользовался и они захотят поделиться мнением ☺️
Всем привет!
По ссылке можно найти утилиту, которая позволяет автоматизировать процесс создания диаграмм, визуализирующих взаимосвязь ресурсов приложения, запущенного в Kubernetes - KubeDiagrams.
Подобные утилиты существуют (и предоставлены в repo). KubeDiagrams отличается от них тем, что его можно очень по-разному настроить.
Сам процесс выглядит примерно так:
🍭 Применяем необходимые манифесты в кластере Kubernetes
🍭 Ждем пока все ресурсы будут созданы, pod – запущены и т.д.
🍭 Делаем
kubectl get all,sa,cm,pod… -o=yaml > file.yaml🍭 Передаем указанный файл на вход KubeDiagrams
Готово! Получаем красивую схему
Примеры работы утилиты можно найти в repo.
Насколько хорошо она себя покажет с «большими» приложениями – трудно сказать, надо экспериментировать! ☺️
P.S. Возможно, что есть те, кто ей пользовался и они захотят поделиться мнением ☺️
GitHub
GitHub - philippemerle/KubeDiagrams: Generate Kubernetes architecture diagrams from Kubernetes manifest files, kustomization files…
Generate Kubernetes architecture diagrams from Kubernetes manifest files, kustomization files, Helm charts, helmfiles, and actual cluster state - philippemerle/KubeDiagrams
👍1🔥1
Знакомьтесь, Шерлок!
Всем привет!
Меня зовут Антон Гаврилов, я один из авторов этого канала. Приятно познакомиться!
Последний год мы вместе с командой работаем над собственной ASOC/ASPM/Иное(мне не очень нравятся эти аббревиатуры 😊) системой, которая получила имя «Шерлок».
В декабре 2024 года был выпущен первый релиз. И мне очень хочется показать его вам и всем, кому это будет интересно!
Если вы:
🍭 Хотите задавать каверзные вопросы
🍭 Хотите посмотреть на-еще-одно-отечественное-ПО
🍭 Продемонстрировать свой скепсис
🍭 Пожать руку, поделиться советом и пожелать удачи
🍭 …
То приходите на вебинар, который будет 13.02, начало в 11:00 (Мск). Да, будет небольшая презентация (для погружения в контекст), а основная часть будет посвящена «живой демонстрации».
Думаю, что на все про всё у нас уйдет часа 1,5. Но! Если вопросов будет много, то задержимся и найдем ответы на все 😊
Спасибо и до встречи!
Антон
P.S. Буду признателен за пересылку приглашения ☺️ Очень хочется узнать ваши мысли относительно того, что мы сделали и продолжаем делать!
Всем привет!
Меня зовут Антон Гаврилов, я один из авторов этого канала. Приятно познакомиться!
Последний год мы вместе с командой работаем над собственной ASOC/ASPM/Иное
В декабре 2024 года был выпущен первый релиз. И мне очень хочется показать его вам и всем, кому это будет интересно!
Если вы:
🍭 Хотите задавать каверзные вопросы
🍭 Хотите посмотреть на-еще-одно-отечественное-ПО
🍭 Продемонстрировать свой скепсис
🍭 Пожать руку, поделиться советом и пожелать удачи
🍭 …
То приходите на вебинар, который будет 13.02, начало в 11:00 (Мск). Да, будет небольшая презентация (для погружения в контекст), а основная часть будет посвящена «живой демонстрации».
Думаю, что на все про всё у нас уйдет часа 1,5. Но! Если вопросов будет много, то задержимся и найдем ответы на все 😊
Спасибо и до встречи!
Антон
P.S. Буду признателен за пересылку приглашения ☺️ Очень хочется узнать ваши мысли относительно того, что мы сделали и продолжаем делать!
3🔥41👍19🥰13❤10🆒3✍2💩1
DSOML.pdf
15.5 MB
The Ultimate DevSecOps Playbook for 2025 AI, ML and beyond
Всем привет!
В приложении можно скачать электронную книгу от Hadess (~ 116 страниц), посвященную безопасной разработке.
Внутри можно найти информацию о:
🍭 KPI команды DevSecOPs и как их считать
🍭 Уровни зрелости DevSecOps (от Initial до Optimized)
🍭 Технологии, используемые для автоматизации практик безопасной разработки
🍭 Использование AI и LLM в DevSecOps – где и для чего они могу пригодиться
🍭 Немного про MLSecOps/AISecOps в DevSecOps
Материала достаточно много, возможно, что-то из этого понравится вам и вы сможете использовать это у себя 😊
Всем привет!
В приложении можно скачать электронную книгу от Hadess (~ 116 страниц), посвященную безопасной разработке.
Внутри можно найти информацию о:
🍭 KPI команды DevSecOPs и как их считать
🍭 Уровни зрелости DevSecOps (от Initial до Optimized)
🍭 Технологии, используемые для автоматизации практик безопасной разработки
🍭 Использование AI и LLM в DevSecOps – где и для чего они могу пригодиться
🍭 Немного про MLSecOps/AISecOps в DevSecOps
Материала достаточно много, возможно, что-то из этого понравится вам и вы сможете использовать это у себя 😊
👍9🔥4❤3