Использование AI для triage: опыт Semgrep
Всем привет!
Продолжаем тему использования AI для оптимизации процесса управления ИБ-дефектами при статическом анализе исходного кода.
«Мы рады заявить, что оценка Semgrep Assistant по обнаружению true positive совпадает с аналогичной оценкой наших специалистов в 95% случаев» - так начинается статья от Semgrep.
Далее в статье описано как именно команде удалось достичь таких впечатляющих результатов.
Например:
🍭 Процесс работы Assistant Autotriage – схема, дополнительный контекст (метаданные правил, предыдущие решения, примеры того, что (не) должно быть найдено и т.д.)
🍭 Сравнение используемых моделей (на выборке из 2000 findings)
🍭 Улучшение результативности за счет разных моделей, оптимизации prompt и т.д.
В завершение описаны идеи команды по дальнейшему развитию Assistant. Например, сейчас он сам не «закрывает» найденные ИБ-дефекты, а только подсказывает.
Рекомендуем! Читается легко, много всего интересного, включая дополнительные ссылки на исследования Semgrep в области использования машинного обучения.
Всем привет!
Продолжаем тему использования AI для оптимизации процесса управления ИБ-дефектами при статическом анализе исходного кода.
«Мы рады заявить, что оценка Semgrep Assistant по обнаружению true positive совпадает с аналогичной оценкой наших специалистов в 95% случаев» - так начинается статья от Semgrep.
Далее в статье описано как именно команде удалось достичь таких впечатляющих результатов.
Например:
🍭 Процесс работы Assistant Autotriage – схема, дополнительный контекст (метаданные правил, предыдущие решения, примеры того, что (не) должно быть найдено и т.д.)
🍭 Сравнение используемых моделей (на выборке из 2000 findings)
🍭 Улучшение результативности за счет разных моделей, оптимизации prompt и т.д.
В завершение описаны идеи команды по дальнейшему развитию Assistant. Например, сейчас он сам не «закрывает» найденные ИБ-дефекты, а только подсказывает.
Рекомендуем! Читается легко, много всего интересного, включая дополнительные ссылки на исследования Semgrep в области использования машинного обучения.
Semgrep
How we built an AppSec AI that security researchers agree with 96% of the time
Getting Semgrep Assistant to triage vulnerabilities with a 96% true positive accuracy was hard, but there were lots of learnings along the way. In this blog, we’ll dive into the models we tested, the challenges we faced, and the iterative improvements that…
👍5
Автоматизация создания схем для Kubernetes
Всем привет!
По ссылке можно найти утилиту, которая позволяет автоматизировать процесс создания диаграмм, визуализирующих взаимосвязь ресурсов приложения, запущенного в Kubernetes - KubeDiagrams.
Подобные утилиты существуют (и предоставлены в repo). KubeDiagrams отличается от них тем, что его можно очень по-разному настроить.
Сам процесс выглядит примерно так:
🍭 Применяем необходимые манифесты в кластере Kubernetes
🍭 Ждем пока все ресурсы будут созданы, pod – запущены и т.д.
🍭 Делаем
🍭 Передаем указанный файл на вход KubeDiagrams
Готово! Получаем красивую схему
Примеры работы утилиты можно найти в repo.
Насколько хорошо она себя покажет с «большими» приложениями – трудно сказать, надо экспериментировать! ☺️
P.S. Возможно, что есть те, кто ей пользовался и они захотят поделиться мнением ☺️
Всем привет!
По ссылке можно найти утилиту, которая позволяет автоматизировать процесс создания диаграмм, визуализирующих взаимосвязь ресурсов приложения, запущенного в Kubernetes - KubeDiagrams.
Подобные утилиты существуют (и предоставлены в repo). KubeDiagrams отличается от них тем, что его можно очень по-разному настроить.
Сам процесс выглядит примерно так:
🍭 Применяем необходимые манифесты в кластере Kubernetes
🍭 Ждем пока все ресурсы будут созданы, pod – запущены и т.д.
🍭 Делаем
kubectl get all,sa,cm,pod… -o=yaml > file.yaml🍭 Передаем указанный файл на вход KubeDiagrams
Готово! Получаем красивую схему
Примеры работы утилиты можно найти в repo.
Насколько хорошо она себя покажет с «большими» приложениями – трудно сказать, надо экспериментировать! ☺️
P.S. Возможно, что есть те, кто ей пользовался и они захотят поделиться мнением ☺️
GitHub
GitHub - philippemerle/KubeDiagrams: Generate Kubernetes architecture diagrams from Kubernetes manifest files, kustomization files…
Generate Kubernetes architecture diagrams from Kubernetes manifest files, kustomization files, Helm charts, helmfiles, and actual cluster state - philippemerle/KubeDiagrams
👍1🔥1
Знакомьтесь, Шерлок!
Всем привет!
Меня зовут Антон Гаврилов, я один из авторов этого канала. Приятно познакомиться!
Последний год мы вместе с командой работаем над собственной ASOC/ASPM/Иное(мне не очень нравятся эти аббревиатуры 😊) системой, которая получила имя «Шерлок».
В декабре 2024 года был выпущен первый релиз. И мне очень хочется показать его вам и всем, кому это будет интересно!
Если вы:
🍭 Хотите задавать каверзные вопросы
🍭 Хотите посмотреть на-еще-одно-отечественное-ПО
🍭 Продемонстрировать свой скепсис
🍭 Пожать руку, поделиться советом и пожелать удачи
🍭 …
То приходите на вебинар, который будет 13.02, начало в 11:00 (Мск). Да, будет небольшая презентация (для погружения в контекст), а основная часть будет посвящена «живой демонстрации».
Думаю, что на все про всё у нас уйдет часа 1,5. Но! Если вопросов будет много, то задержимся и найдем ответы на все 😊
Спасибо и до встречи!
Антон
P.S. Буду признателен за пересылку приглашения ☺️ Очень хочется узнать ваши мысли относительно того, что мы сделали и продолжаем делать!
Всем привет!
Меня зовут Антон Гаврилов, я один из авторов этого канала. Приятно познакомиться!
Последний год мы вместе с командой работаем над собственной ASOC/ASPM/Иное
В декабре 2024 года был выпущен первый релиз. И мне очень хочется показать его вам и всем, кому это будет интересно!
Если вы:
🍭 Хотите задавать каверзные вопросы
🍭 Хотите посмотреть на-еще-одно-отечественное-ПО
🍭 Продемонстрировать свой скепсис
🍭 Пожать руку, поделиться советом и пожелать удачи
🍭 …
То приходите на вебинар, который будет 13.02, начало в 11:00 (Мск). Да, будет небольшая презентация (для погружения в контекст), а основная часть будет посвящена «живой демонстрации».
Думаю, что на все про всё у нас уйдет часа 1,5. Но! Если вопросов будет много, то задержимся и найдем ответы на все 😊
Спасибо и до встречи!
Антон
P.S. Буду признателен за пересылку приглашения ☺️ Очень хочется узнать ваши мысли относительно того, что мы сделали и продолжаем делать!
3🔥41👍19🥰13❤10🆒3✍2💩1
DSOML.pdf
15.5 MB
The Ultimate DevSecOps Playbook for 2025 AI, ML and beyond
Всем привет!
В приложении можно скачать электронную книгу от Hadess (~ 116 страниц), посвященную безопасной разработке.
Внутри можно найти информацию о:
🍭 KPI команды DevSecOPs и как их считать
🍭 Уровни зрелости DevSecOps (от Initial до Optimized)
🍭 Технологии, используемые для автоматизации практик безопасной разработки
🍭 Использование AI и LLM в DevSecOps – где и для чего они могу пригодиться
🍭 Немного про MLSecOps/AISecOps в DevSecOps
Материала достаточно много, возможно, что-то из этого понравится вам и вы сможете использовать это у себя 😊
Всем привет!
В приложении можно скачать электронную книгу от Hadess (~ 116 страниц), посвященную безопасной разработке.
Внутри можно найти информацию о:
🍭 KPI команды DevSecOPs и как их считать
🍭 Уровни зрелости DevSecOps (от Initial до Optimized)
🍭 Технологии, используемые для автоматизации практик безопасной разработки
🍭 Использование AI и LLM в DevSecOps – где и для чего они могу пригодиться
🍭 Немного про MLSecOps/AISecOps в DevSecOps
Материала достаточно много, возможно, что-то из этого понравится вам и вы сможете использовать это у себя 😊
👍9🔥4❤3
Forwarded from Инфосистемы Джет
#мероприятие
12 февраля в 11:00 подключайтесь к вебинару «Фреймворк безопасности контейнеров JCSF»🛡
Для оценки уровня безопасности контейнерного окружения компании используют зарубежные NIST 800-190, CIS Kubernetes benchmark, CIS Docker benchmark или изучают премудрости 118 приказа ФСТЭК России. Но все они не дают ответ, в какой последовательности все практики необходимо выполнять.
«Инфосистемы Джет» создала и выложила в открытый доступ свой фреймворк по мерам безопасности контейнерных сред и сред контейнерной оркестрации – Jet Container Security Framework (JCSF).
На совместном вебинаре эксперты из Luntry и «Инфосистемы Джет» обсудят:
🔹 Предысторию возникновения фреймворка
🔹 Плюсы и минусы существующих документов
🔹 Отличия JCSF от прочих стандартов
🔹 Отдельные практики контейнерной безопасности и уровни зрелости для них
🔹 Проведение аудита по JCSF
➡️ Регистрация
12 февраля в 11:00 подключайтесь к вебинару «Фреймворк безопасности контейнеров JCSF»
Для оценки уровня безопасности контейнерного окружения компании используют зарубежные NIST 800-190, CIS Kubernetes benchmark, CIS Docker benchmark или изучают премудрости 118 приказа ФСТЭК России. Но все они не дают ответ, в какой последовательности все практики необходимо выполнять.
«Инфосистемы Джет» создала и выложила в открытый доступ свой фреймворк по мерам безопасности контейнерных сред и сред контейнерной оркестрации – Jet Container Security Framework (JCSF).
На совместном вебинаре эксперты из Luntry и «Инфосистемы Джет» обсудят:
Please open Telegram to view this post
VIEW IN TELEGRAM
10🔥13❤🔥5🥰3
Курсы от Wiz!
Всем привет!
Команда Wiz подготовила небольшой набор обучающих курсов, посвященных Cloud Native Security. На текущий момент доступно: Kubernetes Security и SecOps for Cloud. В скором времени команда планирует выпустить AI Security.
Курсы хоть и базовые, но достаточно обширные с точки зрения рассматриваемых тем.
Например, курс про Kubernetes содержит:
🍭 Основы контейнеризации и Kubernetes
🍭 Ошибки в конфигурациях, security posture
🍭 Управление уязвимостями и безопасность цепочки поставок
🍭 Сетевая безопасность, Zero Trust
🍭 Runtime Security и не только
В среднем, для прохождения потребуется от 45 до 60 минут. Никакой регистрации не требуется(вообще) . Можно просто открыть ссылку и читать/слушать 😊
Всем привет!
Команда Wiz подготовила небольшой набор обучающих курсов, посвященных Cloud Native Security. На текущий момент доступно: Kubernetes Security и SecOps for Cloud. В скором времени команда планирует выпустить AI Security.
Курсы хоть и базовые, но достаточно обширные с точки зрения рассматриваемых тем.
Например, курс про Kubernetes содержит:
🍭 Основы контейнеризации и Kubernetes
🍭 Ошибки в конфигурациях, security posture
🍭 Управление уязвимостями и безопасность цепочки поставок
🍭 Сетевая безопасность, Zero Trust
🍭 Runtime Security и не только
В среднем, для прохождения потребуется от 45 до 60 минут. Никакой регистрации не требуется
wiz.io
Train your team | Wiz
What do you want to learn today?
🔥11
Вопросы для интервью!
Всем привет!
Возможно, вам предстоит пройти интервью, вы недавно его проходили или вы просто любите разные квизы.
В этом случае вам может быть интересна подборка, доступная на этом сайте.
В ней собраны вопросы по различным областям. Например:
🍭 Core DevOps Concepts
🍭 Kubernetes
🍭 CI/CD
🍭 Monitoring and Logging
🍭 Site Reliability Engineering и другие
Для каждого раздела есть вопросы и ответы, с которыми можно ознакомиться.
Из минусов – вопросов пока что крайне мало и, зачастую, они достаточно общего характера.
Но! Надеемся, что проект будет развиваться и количество вопросов будет только увеличиваться.
Например, если у вас есть, чем поделиться, то правила внесения изменений описаны в разделе contribute ☺️
Всем привет!
Возможно, вам предстоит пройти интервью, вы недавно его проходили или вы просто любите разные квизы.
В этом случае вам может быть интересна подборка, доступная на этом сайте.
В ней собраны вопросы по различным областям. Например:
🍭 Core DevOps Concepts
🍭 Kubernetes
🍭 CI/CD
🍭 Monitoring and Logging
🍭 Site Reliability Engineering и другие
Для каждого раздела есть вопросы и ответы, с которыми можно ознакомиться.
Из минусов – вопросов пока что крайне мало и, зачастую, они достаточно общего характера.
Но! Надеемся, что проект будет развиваться и количество вопросов будет только увеличиваться.
Например, если у вас есть, чем поделиться, то правила внесения изменений описаны в разделе contribute ☺️
👍6🤨2
KubeSecCrowd.pdf
1.2 MB
The Complete Guide to Kubernetes Security
Всем привет!
Астрологи объявили неделю электронных книг. В приложении можно найти электронную книгу (~ 33 страницы) от CrowdStrike, посвященную Kubernetes Security.
Материал разбит на 4 основные главы:
🍭 Общая информация о Kubernetes и его «месте» в Cloud Native мире
🍭 Основные векторы компрометации кластеров Kubernetes, разложенные по MITRE
🍭 Рекомендации по защите кластеров Kubernetes (Develop and Distribute, Deploy and Runtime)
🍭 Создание программы (плана) по защите среды контейнерной оркестрации
Конечно, не обошлось и без рекламы решений CrowdStrike по защите контейнеров, но ее не так уж и много.
Всем привет!
Материал разбит на 4 основные главы:
🍭 Общая информация о Kubernetes и его «месте» в Cloud Native мире
🍭 Основные векторы компрометации кластеров Kubernetes, разложенные по MITRE
🍭 Рекомендации по защите кластеров Kubernetes (Develop and Distribute, Deploy and Runtime)
🍭 Создание программы (плана) по защите среды контейнерной оркестрации
Конечно, не обошлось и без рекламы решений CrowdStrike по защите контейнеров, но ее не так уж и много.
👍8🤪2
OpenClarity: сканирование контейнеров и кластеров
Всем привет!
OpenClarity – open source проект, который позволяет сканировать кластеры Kubernetes и не только для идентификации ИБ-дефектов.
Он содержит сканеры, позволяющие выявлять:
🍭 Уязвимости
🍭 Вредоносное ПО
🍭 Секреты
🍭 Ошибки в конфигурациях
🍭 Эксплойты
Для этого используется целый набор сканеров и источников данных:
Подробнее о решении можно узнать в repo или из его документации.
Всем привет!
OpenClarity – open source проект, который позволяет сканировать кластеры Kubernetes и не только для идентификации ИБ-дефектов.
Он содержит сканеры, позволяющие выявлять:
🍭 Уязвимости
🍭 Вредоносное ПО
🍭 Секреты
🍭 Ошибки в конфигурациях
🍭 Эксплойты
Для этого используется целый набор сканеров и источников данных:
Syft, Trivy, Grype, Go Exploit DB, KICS, ClamAV и не только.Подробнее о решении можно узнать в repo или из его документации.
GitHub
GitHub - openclarity/openclarity: OpenClarity is an open source platform built to enhance security and observability of cloud native…
OpenClarity is an open source platform built to enhance security and observability of cloud native applications and infrastructure - openclarity/openclarity
👍9
Запись вебинара "Фреймворк безопасности контейнеров JCSF"
А вот и запись прошедшего вебинара про безопасность контейнеров и фреймворк JCSF, в котором мы принимали участие. Приятного просмотра!
А вот и запись прошедшего вебинара про безопасность контейнеров и фреймворк JCSF, в котором мы принимали участие. Приятного просмотра!
Forwarded from k8s (in)security (Дмитрий Евдокимов)
На нашем сайте стали доступны материалы с вебинара "Фреймворк безопасности контейнеров JCSF" (слайды и видео на VK,YT). Это почти 2 часа полезного материала про то как смотреть и делать безопасность в
Kubernetes.🔥8👍2🥰2
Управление секретами: ArgoCD, HashiCorp Vault и External Secrets Operator
Всем привет!
В статье можно найти очень неплохое руководство о том, как можно реализовать процесс управления секретами в кластерах Kubernetes с использованием ArgoCD(в целом – опционально, без нее ничего не поменяется) , HashiCorp Vault и External Secrets Operator (ESO).
Автор фокусируются на двух основных вопросах:
🍭 Как избежать сохранения каких-либо секретов в git (включая аутентификационных токены для Vault)
🍭 Как реализовать синхронизацию секретов без перезапуска приложений
Для того, чтобы процесс был более наглядным, Автор использует минималистичное приложение, которое отображает информацию о секретах в реальном времени.
Весь процесс отлично описан (за исключением установки используемых решений): шаги, конфигурационные параметры, комментарии и то, что происходит «под капотом». Рекомендуем! ☺️
Всем привет!
В статье можно найти очень неплохое руководство о том, как можно реализовать процесс управления секретами в кластерах Kubernetes с использованием ArgoCD
Автор фокусируются на двух основных вопросах:
🍭 Как избежать сохранения каких-либо секретов в git (включая аутентификационных токены для Vault)
🍭 Как реализовать синхронизацию секретов без перезапуска приложений
Для того, чтобы процесс был более наглядным, Автор использует минималистичное приложение, которое отображает информацию о секретах в реальном времени.
Весь процесс отлично описан (за исключением установки используемых решений): шаги, конфигурационные параметры, комментарии и то, что происходит «под капотом». Рекомендуем! ☺️
Medium
GitOps Secrets with Argo CD, Hashicorp Vault and the External Secret Operator
Teams adopting GitOps often ask how to use secrets with Argo CD. The official Argo CD page about secrets is unopinionated by design and…
👍9✍1
Поиск проблем в Kubernetes с использованием AI
Всем привет!
Иногда хочется, чтобы был «волшебный помощник», который будет искать ошибки и объяснять их «простым языком», а еще лучше – самостоятельно их устранять.
Таким помощником может быть и искусственный интеллект. В статье Автор описывает свои изыскания при работе с GPTScript и Kubernetes.
Статья состоит из следующих разделов:
🍭 Краткая вводная в использование GPTScript
🍭 Разницу между Tool и Agent (это потребуется в дальнейшем)
🍭 Создание простейших Tool и Agent, которые будет отвечать на вопрос о состоянии кластера
🍭 Развитие предыдущей идеи – не только отображать статус, но и вносить изменения
🍭 Deploy наработок в кластер в виде Job
Попутно Автор объясняет, как влияют вносимые им изменения на работу модели и результаты, которые она генерирует.
Да, у такого подхода множество вопросов – «А что, если он не сможет найти причину?», «А что, если он поправит так, что сделает только хуже?», «А как можно доверять такой конструкции?» и т.д. Однако, как концепт – это достаточно интересно на наш взгляд.
Кстати, есть еще один занятный способ использования AI для нужд поиска ошибок – «человеческое общение» с журналами событий (прочитать и посмотреть можно тут).
Вероятно, что со временем подобное станет распространённой практикой и сократит время на обслуживание систем.
А что вы думаете по этому поводу?
Всем привет!
Иногда хочется, чтобы был «волшебный помощник», который будет искать ошибки и объяснять их «простым языком», а еще лучше – самостоятельно их устранять.
Таким помощником может быть и искусственный интеллект. В статье Автор описывает свои изыскания при работе с GPTScript и Kubernetes.
Статья состоит из следующих разделов:
🍭 Краткая вводная в использование GPTScript
🍭 Разницу между Tool и Agent (это потребуется в дальнейшем)
🍭 Создание простейших Tool и Agent, которые будет отвечать на вопрос о состоянии кластера
🍭 Развитие предыдущей идеи – не только отображать статус, но и вносить изменения
🍭 Deploy наработок в кластер в виде Job
Попутно Автор объясняет, как влияют вносимые им изменения на работу модели и результаты, которые она генерирует.
Да, у такого подхода множество вопросов – «А что, если он не сможет найти причину?», «А что, если он поправит так, что сделает только хуже?», «А как можно доверять такой конструкции?» и т.д. Однако, как концепт – это достаточно интересно на наш взгляд.
Кстати, есть еще один занятный способ использования AI для нужд поиска ошибок – «человеческое общение» с журналами событий (прочитать и посмотреть можно тут).
Вероятно, что со временем подобное станет распространённой практикой и сократит время на обслуживание систем.
А что вы думаете по этому поводу?
Medium
GPTScript: Build Your Own Task-Specific AI-Agent from Scratch and Deploy It to Kubernetes
Learn How to Design GPTScript Agents and Use Them Locally or Deploy on Kubernetes
👍3🌚1🗿1
PhoenixResilientApplication.pdf
19.5 MB
Управление уязвимостями от Phoenix Security
Всем привет!
В приложении электронная книга от Phoenix Security (~ 120 страниц) с весьма претенциозным названием: «Building resilient application and cloud security programs to manage vulnerabilities».
Однако, все чуть проще, чем может показаться 😊 В книге очень неплохо описаны размышления о том, как можно выстроить процесс управления уязвимостями и на что обращать внимание. В большей степени речь идет именно про Application Security.
В книге собрана информация о:
🍭 «Источниках данных» ИБ-дефектов и их «месте» в жизненном цикле ПО
🍭 CVE, CVSS – много аналитики и аргументов о том, почему этого крайне мало для принятия решения
🍭 Базах данных с exploits (например, CISA KEV) и EPSS, их роли в оптимизации управления ИБ-дефектами
🍭 Подходах к расстановке приоритетов для устранения ИБ-дефектов, важности роли «контекста»
🍭 Уровнях зрелости процесса и том, что надо делать, чтобы его повысить
🍭 Сравнительных затратах при ручной и (полу) автоматизированной разметке
В книге очень много статистики, рекомендаций и отсылок на разные методологические материалы.
Единственный нюанс – кажется, что все тоже самое можно было рассказать на чуть меньше, чем 120 страниц 😊
Всем привет!
В приложении электронная книга от Phoenix Security (~ 120 страниц) с весьма претенциозным названием: «Building resilient application and cloud security programs to manage vulnerabilities».
Однако, все чуть проще, чем может показаться 😊 В книге очень неплохо описаны размышления о том, как можно выстроить процесс управления уязвимостями и на что обращать внимание. В большей степени речь идет именно про Application Security.
В книге собрана информация о:
🍭 «Источниках данных» ИБ-дефектов и их «месте» в жизненном цикле ПО
🍭 CVE, CVSS – много аналитики и аргументов о том, почему этого крайне мало для принятия решения
🍭 Базах данных с exploits (например, CISA KEV) и EPSS, их роли в оптимизации управления ИБ-дефектами
🍭 Подходах к расстановке приоритетов для устранения ИБ-дефектов, важности роли «контекста»
🍭 Уровнях зрелости процесса и том, что надо делать, чтобы его повысить
🍭 Сравнительных затратах при ручной и (полу) автоматизированной разметке
В книге очень много статистики, рекомендаций и отсылок на разные методологические материалы.
Единственный нюанс – кажется, что все тоже самое можно было рассказать на чуть меньше, чем 120 страниц 😊
❤7👏2👍1🤔1
Графический генератор Audit Policy для Kubernetes
Всем привет!
Команда «Штурвала» сделала «Генератор политик аудита» для Kubernetes. С его помощью можно создавать требуемые политики в удобном web-интерфейсе!
Для этого потребуется
🍭 Перейти по ссылке выше
🍭 Создать правило, на которое будет срабатывать политика
🍭 Указать необходимые параметры (уровень логирования, ресурсы, глаголы и т.д.)
🍭 Повторить до желаемого результата
Ресурс пока что находится в стадии beta-тестирования.
Если вдруг вы найдете что-то, что не работает или у вас есть мысли по развитию функционала, то можете смело их адресовать в Telegram-чат «Сообщества Штурвал» 😊
Всем привет!
Команда «Штурвала» сделала «Генератор политик аудита» для Kubernetes. С его помощью можно создавать требуемые политики в удобном web-интерфейсе!
Для этого потребуется
🍭 Перейти по ссылке выше
🍭 Создать правило, на которое будет срабатывать политика
🍭 Указать необходимые параметры (уровень логирования, ресурсы, глаголы и т.д.)
🍭 Повторить до желаемого результата
Ресурс пока что находится в стадии beta-тестирования.
Если вдруг вы найдете что-то, что не работает или у вас есть мысли по развитию функционала, то можете смело их адресовать в Telegram-чат «Сообщества Штурвал» 😊
🔥8❤3🥰1🤡1
mTLS в Kubernetes
Всем привет!
Mutual TLS очень полезная функция, особенно когда дело касается информационной безопасности.
Для начала погружения в тему очень может подойти вот эта статья.
В ней Автор разбирает:
🍭 Краткое описание того, что такое mTLS и зачем он нужен
🍭 «Сделай сам!»-реализация с изменением логики работы приложения
🍭 Использование Service Mesh для достижения цели
🍭 Реализация mTLS на основе Ambient Mesh
🍭 Общие рекомендации о том, как это можно сделать
Статья небольшая, дает общение понимание что и зачем и как это можно реализовать. Самое «то» для пятницы ☺️
Всем привет!
Mutual TLS очень полезная функция, особенно когда дело касается информационной безопасности.
Для начала погружения в тему очень может подойти вот эта статья.
В ней Автор разбирает:
🍭 Краткое описание того, что такое mTLS и зачем он нужен
🍭 «Сделай сам!»-реализация с изменением логики работы приложения
🍭 Использование Service Mesh для достижения цели
🍭 Реализация mTLS на основе Ambient Mesh
🍭 Общие рекомендации о том, как это можно сделать
Статья небольшая, дает общение понимание что и зачем и как это можно реализовать. Самое «то» для пятницы ☺️
howardjohn's blog
I just want mTLS on Kubernetes
An overview of options to deploy mTLS on Kubernetes
👍4❤1
AppSec метрики от SNYK
Всем привет!
Когда процесс обрастает «мясом», появляется желание не только достигать поставленных целей, но и оценивать насколько эффективно это реализуется.
Также бывает полезно показывать разным участникам процесса «мгновенный срез», который покажет насколько все хорошо или не очень.
Для этого можно использовать метрики. Нюанс в том, что «универсального набора» нет и каждый подбирает их «под себя».
Сегодня хотим обратить ваше внимание на подборку AppSec-метрик от SNYK. Возможно, что-то покажется вам полезным.
Ребята разделили их на 4 блока:
🍭 Risk reduction metrics
🍭 Team coverage and engagement
🍭 Application security posture trends
🍭 Vulnerability management efficiency
Для каждого блока приводится набор метрик с качественным описанием и общей логикой расчета (без формул и математики).
Всем привет!
Когда процесс обрастает «мясом», появляется желание не только достигать поставленных целей, но и оценивать насколько эффективно это реализуется.
Также бывает полезно показывать разным участникам процесса «мгновенный срез», который покажет насколько все хорошо или не очень.
Для этого можно использовать метрики. Нюанс в том, что «универсального набора» нет и каждый подбирает их «под себя».
Сегодня хотим обратить ваше внимание на подборку AppSec-метрик от SNYK. Возможно, что-то покажется вам полезным.
Ребята разделили их на 4 блока:
🍭 Risk reduction metrics
🍭 Team coverage and engagement
🍭 Application security posture trends
🍭 Vulnerability management efficiency
Для каждого блока приводится набор метрик с качественным описанием и общей логикой расчета (без формул и математики).
👍6
Docker Init
Всем привет!
Возможно, что вы только начинаете учиться собирать образы контейнеров или вам не хочется каждый раз самостоятельно писать
Чтобы упростить задачу можно использовать
Работает это примерно так:
🍭 Вы запускаете
🍭 Потребуется указать используемую технологию (Node, Go, Python и т.д.)
🍭 Определиться с командой, которая должна быть запущена в контейнере
🍭 Написать порт, по которому можно обращаться к ПО
🍭 Готово!
Да, возможно не самый лучший вариант, но для начала вполне неплохо. Подробнее об использовании
Всем привет!
Возможно, что вы только начинаете учиться собирать образы контейнеров или вам не хочется каждый раз самостоятельно писать
dockerfile.Чтобы упростить задачу можно использовать
docker init. С его помощью можно создать dockerfile, compose.yaml и .dockerignore автоматически.Работает это примерно так:
🍭 Вы запускаете
docker init и попадаете в интерактивную сессию🍭 Потребуется указать используемую технологию (Node, Go, Python и т.д.)
🍭 Определиться с командой, которая должна быть запущена в контейнере
🍭 Написать порт, по которому можно обращаться к ПО
🍭 Готово!
Да, возможно не самый лучший вариант, но для начала вполне неплохо. Подробнее об использовании
docker init можно прочесть в статье.Spacelift
What is Docker Init & When to Use It - Best Practices
Introduction to the new Docker init feature. See what it is, when and how to use it and best practices. Node.js example.
👍3
Autogrep!
Всем привет!
Да, вам не кажется! Это то, о чем вы подумали! Автоматическое создание правил для Semgrep с использованием нейронных сетей.
Если кратко, то его возможности заключаются в:
🍭 Создании правил для Semgrep на основе информации из патчей с исправленными уязвимостями
🍭 Анализе качество создаваемых правил
🍭 Поддержке различных языков программирования, для которых создаются правила.
В использовании тоже нет ничего сложного: скачиваем утилиту, создаем правила, используем их вместе с Semgrep для анализа интересующего проекта.
Если не хочется ничего качать, устанавливать и т.д., но интересно посмотреть на результаты работы Autogrep, то можно воспользоваться ссылкой.
Всем привет!
Да, вам не кажется! Это то, о чем вы подумали! Автоматическое создание правил для Semgrep с использованием нейронных сетей.
Если кратко, то его возможности заключаются в:
🍭 Создании правил для Semgrep на основе информации из патчей с исправленными уязвимостями
🍭 Анализе качество создаваемых правил
🍭 Поддержке различных языков программирования, для которых создаются правила.
В использовании тоже нет ничего сложного: скачиваем утилиту, создаем правила, используем их вместе с Semgrep для анализа интересующего проекта.
Если не хочется ничего качать, устанавливать и т.д., но интересно посмотреть на результаты работы Autogrep, то можно воспользоваться ссылкой.
GitHub
GitHub - lambdasec/autogrep: Autogrep automates Semgrep rule generation and filtering by using LLMs to analyze vulnerability patches…
Autogrep automates Semgrep rule generation and filtering by using LLMs to analyze vulnerability patches, enabling automatic creation of high-quality security rules without manual curation. - lambda...
👍4
NirmataKyverno.pdf
3.5 MB
Securing Kubernetes using Policy-as-Code
Всем привет!
В приложении можно скачать электронную книгу (~ 36 страниц), посвященную Policy-as-Code от Nirmata(дада, те самые разработчики Kyverno) .
После вводной части, посвященной тому, что такое Policy-as-Code и основам безопасности Kubernetes, начинается самое интересное!
Авторы описывают:
🍭 Kyverno: основы, написание политик
🍭 Защита образов и реестров
🍭 Использование Kyverno в CI-конвейере
🍭 Использованием Kyverno для нужд compliance и не только
Получилось неплохое руководство для знакомства с Kyverno. Однако, рекомендуем держать «под рукой» документацию, чтобы изучение было максимально полезным и эффективным.
Всем привет!
В приложении можно скачать электронную книгу (~ 36 страниц), посвященную Policy-as-Code от Nirmata
После вводной части, посвященной тому, что такое Policy-as-Code и основам безопасности Kubernetes, начинается самое интересное!
Авторы описывают:
🍭 Kyverno: основы, написание политик
🍭 Защита образов и реестров
🍭 Использование Kyverno в CI-конвейере
🍭 Использованием Kyverno для нужд compliance и не только
Получилось неплохое руководство для знакомства с Kyverno. Однако, рекомендуем держать «под рукой» документацию, чтобы изучение было максимально полезным и эффективным.
👍13👏1
Автоматическое устранение ИБ-дефектов в коде
Всем привет!
Сегодня предлагаем вам легкое пятничное чтиво, в котором Автор рассуждает о том, насколько можно/нужно/целесообразно полагаться на различные технологии, предоставляющие функционал по автоматическому устранению ИБ-дефектов в исходном коде.
В качестве примера он берет то, «что показывают все производители на всех демонстрациях»(ведь это круто работает!) – работа с SQL-инъекциями.
Дальше он делает аналогичное для:
🍭 Cross-Site Scripting
🍭 Weak Cryptography
🍭 Hardcoded Secrets
И вроде бы все хорошо, но есть некоторые нюансы. Например, с теми же секретами – да, убрали из исходного кода, но как тогда будет работать приложение?
А что вы думаете по этому поводу? Надо/Не надо/Надо, но аккуратно/Иное – пишите свое мнение в комментариях ☺️
Всем привет!
Сегодня предлагаем вам легкое пятничное чтиво, в котором Автор рассуждает о том, насколько можно/нужно/целесообразно полагаться на различные технологии, предоставляющие функционал по автоматическому устранению ИБ-дефектов в исходном коде.
В качестве примера он берет то, «что показывают все производители на всех демонстрациях»
Дальше он делает аналогичное для:
🍭 Cross-Site Scripting
🍭 Weak Cryptography
🍭 Hardcoded Secrets
И вроде бы все хорошо, но есть некоторые нюансы. Например, с теми же секретами – да, убрали из исходного кода, но как тогда будет работать приложение?
А что вы думаете по этому поводу? Надо/Не надо/Надо, но аккуратно/Иное – пишите свое мнение в комментариях ☺️
OpenText Blogs
Auto-remediation: the future of AppSec?
Understand the limits of auto-remediation in securing applications
😁3👍1