Управление доступом к web-приложениям
Всем привет!
По ссылке можно найти достаточно подробную инструкцию о том, как реализовать безопасное управление доступом к web-приложениям.
Примечательно, что это статья написана не «от лица ИБ» (настройки, RBAC, контроль сессий и т.д.), а именно «от лица разработчика».
Автор описывает реализацию ABAC-модели с использованием CASL, в качестве основного инструмента.
В статье есть информация о том:
🍭 Что такое управление доступом, в чем разница между AuthN/Z
🍭 Разные подходы к управлению доступом
🍭 Детальное рассмотрение ABAC
🍭 Реализация ABAC с использованием CASL
Для наглядности Автор реализует все шаги – от установки CASL до написания небольшого приложения, демонстрирующего как это можно реализовать.
В итоге имеем отличный материал с множеством комментариев, примеров и, конечно же, кода. Рекомендуем!
Всем привет!
По ссылке можно найти достаточно подробную инструкцию о том, как реализовать безопасное управление доступом к web-приложениям.
Примечательно, что это статья написана не «от лица ИБ» (настройки, RBAC, контроль сессий и т.д.), а именно «от лица разработчика».
Автор описывает реализацию ABAC-модели с использованием CASL, в качестве основного инструмента.
В статье есть информация о том:
🍭 Что такое управление доступом, в чем разница между AuthN/Z
🍭 Разные подходы к управлению доступом
🍭 Детальное рассмотрение ABAC
🍭 Реализация ABAC с использованием CASL
Для наглядности Автор реализует все шаги – от установки CASL до написания небольшого приложения, демонстрирующего как это можно реализовать.
В итоге имеем отличный материал с множеством комментариев, примеров и, конечно же, кода. Рекомендуем!
freeCodeCamp.org
How to Build Scalable Access Control for Your Web App [Full Handbook]
Access control is crucial for preventing unauthorized access and ensuring that only the right people can access sensitive data in your application. As your app grows in complexity, so does the challenge of enforcing permissions in a clean and efficie...
👍1
Khronoscope: анализ состояния кластера k8s во времени
Всем привет!
Не так давно мы писали про проект KHI (Kubernetes History Inspector), который позволял визуализировать журналы k8s для того, чтобы понять, что происходило в кластере.
Еще одна утилита, которая может помочь разобраться в том, «как все было» - Khronoscope. Его основная задача – производить анализ конфигурации кластера в интересующий промежуток времени.
С его помощью можно:
🍭 Получать сведения о том, что и когда запускалось
🍭 Отслеживать конфигурации ресурсов
🍭 Смотреть логи ресурсов
🍭 «Проматывать время и не только
На текущий момент утилита работает с
Документация по установке, «горячие клавиши», видео с демонстрацией работы – все это можно найти в repo проекта.
Всем привет!
Не так давно мы писали про проект KHI (Kubernetes History Inspector), который позволял визуализировать журналы k8s для того, чтобы понять, что происходило в кластере.
Еще одна утилита, которая может помочь разобраться в том, «как все было» - Khronoscope. Его основная задача – производить анализ конфигурации кластера в интересующий промежуток времени.
С его помощью можно:
🍭 Получать сведения о том, что и когда запускалось
🍭 Отслеживать конфигурации ресурсов
🍭 Смотреть логи ресурсов
🍭 «Проматывать время и не только
На текущий момент утилита работает с
ConfigMap, DaemonSet, Deployments, Namespaces, Nodes, PersistentVolume, Pods, ReplicaSets, Secrets и ServicesДокументация по установке, «горячие клавиши», видео с демонстрацией работы – все это можно найти в repo проекта.
GitHub
GitHub - hoyle1974/khronoscope: Imagine a tool like k9s that also lets you rewind in time to see the status of your cluster through…
Imagine a tool like k9s that also lets you rewind in time to see the status of your cluster through time. - hoyle1974/khronoscope
❤2⚡1
Поиск изменений и Container Drift
Всем привет!
Изначально контейнеры были задуманы как неизменяемые сущности (immutable). Однако, бывают случаи что «что-то поменялось» и надо понять, что именно.
Для этого можно пользоваться разными инструментами. Например: Docker Forensics Toolkit, Kube Forensics, Docker & Container Explorer.
В статье Автор описывает свои размышления на эту тему:
🍭 Что такое Container Drift
🍭 Поиск drift при работе с Docker
🍭 Поиск drift при работе с containerd
🍭 Автоматизация описанных подходов
В статье очень много примеров и деталей, а также разных способов реализации поиска container drift.
Это может быть полезно не только ИБ, но и ИТ-специалистам при расследовании инцидентов и идентификации основной проблемы.
Всем привет!
Изначально контейнеры были задуманы как неизменяемые сущности (immutable). Однако, бывают случаи что «что-то поменялось» и надо понять, что именно.
Для этого можно пользоваться разными инструментами. Например: Docker Forensics Toolkit, Kube Forensics, Docker & Container Explorer.
В статье Автор описывает свои размышления на эту тему:
🍭 Что такое Container Drift
🍭 Поиск drift при работе с Docker
🍭 Поиск drift при работе с containerd
🍭 Автоматизация описанных подходов
В статье очень много примеров и деталей, а также разных способов реализации поиска container drift.
Это может быть полезно не только ИБ, но и ИТ-специалистам при расследовании инцидентов и идентификации основной проблемы.
Medium
Adrift in the Cloud: A Forensic Dive into Container Drift
In this discussion, I’ll be diving into container drift detection, specifically, analyzing container drift from a forensics perspective
❤8
Идентификация угроз в Kubernetes
Всем привет!
Еще одна потрясающая статья от ребят из Exness! В ней Авторы делятся практиками, которые они используют для мониторинга и идентификации угроз, характерных для Kubernetes.
В первой части приводится описание используемых средств автоматизации. Выбор команды пал на Tetragon (в качестве агента) и Kubernetes Audit Log (для получения информации о том, что происходит с кластером).
Описываются плюсы и минусы использования open source, доработки, реализованные командой, а также Audit Policy, которую применяют в Exness.
Дальше – интересней! Поиск угроз:
🍭 System Binary Renaming
🍭 Privileged Container Detected
🍭 Suspicious Execution Activity Inside a Container
🍭 Cluster Admin Role Bound to the User и не только
Для каждой угрозы приводится ее классификация по MITRE и/или матрицей от Microsoft, краткое описание и возможные способы ее идентификации.
Очень и очень полезный материал для тех, кто работает с мониторингом ИБ сред контейнерной оркестрации. Рекомендуем! ☺️
Всем привет!
Еще одна потрясающая статья от ребят из Exness! В ней Авторы делятся практиками, которые они используют для мониторинга и идентификации угроз, характерных для Kubernetes.
В первой части приводится описание используемых средств автоматизации. Выбор команды пал на Tetragon (в качестве агента) и Kubernetes Audit Log (для получения информации о том, что происходит с кластером).
Описываются плюсы и минусы использования open source, доработки, реализованные командой, а также Audit Policy, которую применяют в Exness.
Дальше – интересней! Поиск угроз:
🍭 System Binary Renaming
🍭 Privileged Container Detected
🍭 Suspicious Execution Activity Inside a Container
🍭 Cluster Admin Role Bound to the User и не только
Для каждой угрозы приводится ее классификация по MITRE и/или матрицей от Microsoft, краткое описание и возможные способы ее идентификации.
Очень и очень полезный материал для тех, кто работает с мониторингом ИБ сред контейнерной оркестрации. Рекомендуем! ☺️
Medium
Threat Detection in the K8s Environment
Discover what tools our SOC team uses to detect malicious activity on our clusters
❤5👍1
Атаки на JSON Web Tokens (JWT)
Всем привет!
JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.
Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.
После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!
Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только
Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.
Коротко, ёмко, без воды и по делу! То, что надо!
Всем привет!
JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.
Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.
После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!
Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только
Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.
Коротко, ёмко, без воды и по делу! То, что надо!
Pentesterlab
The Ultimate Guide to JWT Vulnerabilities and Attacks (with Exploitation Examples)
Master JWT security with this in-depth guide to web hacking and AppSec. Learn how to exploit and defend against real-world JWT vulnerabilities like algorithm confusion, weak secrets, and kid injection — with hands-on labs from PentesterLab.
👍3
Безопасность CI/CD, рекомендации Wiz!
Всем привет!
По ссылке можно найти статью, посвященную безопасности CI/CD, подготовленную специалистами Wiz.
Сперва в статье разбираются основные компоненты: репозитории исходного кода, «сборщики», различные оркестраторы и т.д. После – особенности обеспечения ИБ конвейера: сложность, скорость, потребность в автоматизации, управление доступом и т.д.
Далее Авторы приводят собственные рекомендации:
🍭 Automating Security Scans
🍭 Focusing on Runtime
🍭 Managing Secrets Effectively
🍭 Implementing Immutable Infrastructure и не только
И это далеко не все – также рассматриваются задачи типового конвейера, распределение ответственности (кто делает что) и ключевые показатели эффективности, которые могут быть полезны для понимания того, насколько все хорошо реализовано.
P.S. Помимо этого в Wiz Academy множество прекрасных статей по разным DevSecOps-тематикам. Возможно, вы найдете для себя что-то интересное ☺️
Всем привет!
По ссылке можно найти статью, посвященную безопасности CI/CD, подготовленную специалистами Wiz.
Сперва в статье разбираются основные компоненты: репозитории исходного кода, «сборщики», различные оркестраторы и т.д. После – особенности обеспечения ИБ конвейера: сложность, скорость, потребность в автоматизации, управление доступом и т.д.
Далее Авторы приводят собственные рекомендации:
🍭 Automating Security Scans
🍭 Focusing on Runtime
🍭 Managing Secrets Effectively
🍭 Implementing Immutable Infrastructure и не только
И это далеко не все – также рассматриваются задачи типового конвейера, распределение ответственности (кто делает что) и ключевые показатели эффективности, которые могут быть полезны для понимания того, насколько все хорошо реализовано.
P.S. Помимо этого в Wiz Academy множество прекрасных статей по разным DevSecOps-тематикам. Возможно, вы найдете для себя что-то интересное ☺️
wiz.io
CI/CD Pipeline Security Best Practices: The Ultimate Guide | Wiz
Learn about CI/CD pipeline security best practices to protect your software lifecycle from vulnerabilities and attacks while maintaining development velocity.
1🔥9❤2👍1
Сравнение Gateway API
Всем привет!
В repo можно найти результаты сравнения Gateway API. В выборку попали:
Сравнение проводилось по следующим параметрам:
🍭 Attached Routes Test
🍭 Route Probe Test
🍭 Route Scale Test
🍭 Traffic Performance
🍭 Architecture
В начале сравнения представлен итоговый результат, далее – детальные по каждому из блоков, описанных выше.
Помимо этого, для каждого из сравниваемых решений описаны нюансы, которые выявил Автор в процессе тестирования.
Графики, графики, графики, таблицы, комментарии – все это есть в материале для более глубокого изучения.
P.S. Да, есть те, кто не попал в выборку (HAProxy, Linkerd и не только). Причины такого решения можно найти в repo.
Всем привет!
В repo можно найти результаты сравнения Gateway API. В выборку попали:
Cilium, Envoy Gateway, Istio, Kgateway, Kong, Traefik и Nginx.Сравнение проводилось по следующим параметрам:
🍭 Attached Routes Test
🍭 Route Probe Test
🍭 Route Scale Test
🍭 Traffic Performance
🍭 Architecture
В начале сравнения представлен итоговый результат, далее – детальные по каждому из блоков, описанных выше.
Помимо этого, для каждого из сравниваемых решений описаны нюансы, которые выявил Автор в процессе тестирования.
Графики, графики, графики, таблицы, комментарии – все это есть в материале для более глубокого изучения.
P.S. Да, есть те, кто не попал в выборку (HAProxy, Linkerd и не только). Причины такого решения можно найти в repo.
GitHub
GitHub - howardjohn/gateway-api-bench: Gateway API Benchmarks provides a common set of tests to evaluate a Gateway API implementation.
Gateway API Benchmarks provides a common set of tests to evaluate a Gateway API implementation. - howardjohn/gateway-api-bench
❤2👍1🔥1
5 лет, 160 комментариев и уязвимость устранена!
Всем привет!
Сегодня предлагаем вам очень увлекательную и захватывающую с первых минут статью.
Началось все с того, что Автор наткнулся на CVE-2022-1471, эксплуатация которой могла привести к RCE при использовании SnakeYAML.
И это удивило Автора, ведь в статье, которой на тот момент было уже 5 лет, упоминалась ровно та же самая уязвимость (только ей не был присвоен CVE), а SnakeYAML приводился в качестве одного из примеров.
Дальнейшее разбирательство немного шокировало: project maintainer перевел ее в значение «won’t fix», аргументируя это тем, что надо «просто использовать безопасный вариант реализации».
Да, он был прав. Но большинство людей не задумываются о том, как это правильно использовать. Им нужно реализовать десереализацию и только. Это подтверждается множеством примеров в интернете, где рекомендуется использовать небезопасный вариант.
С точки зрения Автора такой подход был в корне неверным. Ведь, если есть возможность, то лучше реализовать secure-by-default, а все остальное – на усмотрение пользователей.
Именно так и начался thread о том, что это надо исправить. На момент окончания обсуждения было порядка 160 комментариев.
Хорошая новость в том, что project maintainer все-таки согласился с тем, что можно сделать иначе и предоставил secure-by-default реализацию. Она попала в SnakeYAML 2.0.
В статье можно прочесть много интересных размышлений Автора:
🍭 О том, как используют средства анализа кода (иногда фокус смещается на создание новых правил для сканеров, а не на устранение существующих недостатков)
🍭 О том, что делать ИБ-исследователям, если они зашли в тупик при общении с «автором уязвимости»
🍭 О том, почему secure-by-default это важно и не только
Но это все лучше прочитать самим ☺️ Рекомендуем!
Всем привет!
Сегодня предлагаем вам очень увлекательную и захватывающую с первых минут статью.
Началось все с того, что Автор наткнулся на CVE-2022-1471, эксплуатация которой могла привести к RCE при использовании SnakeYAML.
И это удивило Автора, ведь в статье, которой на тот момент было уже 5 лет, упоминалась ровно та же самая уязвимость (только ей не был присвоен CVE), а SnakeYAML приводился в качестве одного из примеров.
Дальнейшее разбирательство немного шокировало: project maintainer перевел ее в значение «won’t fix», аргументируя это тем, что надо «просто использовать безопасный вариант реализации».
Да, он был прав. Но большинство людей не задумываются о том, как это правильно использовать. Им нужно реализовать десереализацию и только. Это подтверждается множеством примеров в интернете, где рекомендуется использовать небезопасный вариант.
С точки зрения Автора такой подход был в корне неверным. Ведь, если есть возможность, то лучше реализовать secure-by-default, а все остальное – на усмотрение пользователей.
Именно так и начался thread о том, что это надо исправить. На момент окончания обсуждения было порядка 160 комментариев.
Хорошая новость в том, что project maintainer все-таки согласился с тем, что можно сделать иначе и предоставил secure-by-default реализацию. Она попала в SnakeYAML 2.0.
В статье можно прочесть много интересных размышлений Автора:
🍭 О том, как используют средства анализа кода (иногда фокус смещается на создание новых правил для сканеров, а не на устранение существующих недостатков)
🍭 О том, что делать ИБ-исследователям, если они зашли в тупик при общении с «автором уязвимости»
🍭 О том, почему secure-by-default это важно и не только
Но это все лучше прочитать самим ☺️ Рекомендуем!
Medium
5 Years, 160 Comments, and the Vulnerability That Refused to Die
How a 5-year-old deserialization flaw, a vacation phone call, and some persistence led to a safer Java ecosystem
🤯6👏5❤1
Forwarded from Alfa Digital
Самый первый ❤️
Коллеги из AppSec Альфа-Банка запускают свой митап, и первая встреча пройдёт уже 10 июля в 18:30 в Москве — в пространстве ExitLoft.
Покажем на реальных кейсах, чем живёт AppSec в Альфа-Банке, расскажем, зачем перешли на сервисную модель SSDLC, как развиваем MLSecOps и какие приёмы Offensive AppSec помогают нам находить уязвимости до того, как это сделают другие. А завершим всё афтепати с общением под открытым небом.
➡️ Если вам интересно, как устроена безопасность приложений изнутри, регистрируйтесь по ссылке!
#анонс #cybersec
➿ ➿ ➿ ➿ ➿ ➿
@alfadigital_jobs — канал о работе в IT и Digital в Альфа-Банке
Коллеги из AppSec Альфа-Банка запускают свой митап, и первая встреча пройдёт уже 10 июля в 18:30 в Москве — в пространстве ExitLoft.
Покажем на реальных кейсах, чем живёт AppSec в Альфа-Банке, расскажем, зачем перешли на сервисную модель SSDLC, как развиваем MLSecOps и какие приёмы Offensive AppSec помогают нам находить уязвимости до того, как это сделают другие. А завершим всё афтепати с общением под открытым небом.
#анонс #cybersec
@alfadigital_jobs — канал о работе в IT и Digital в Альфа-Банке
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤🔥7❤3👎2👍1
Анализ событий кластера с InfraSight
Всем привет!
InfraSight – observability платформа, которая использует eBPF для «захвата» низкоуровневых системных событий с целью последующего анализа.
Состоит она из 4-х элементов:
🍭 Controller. Управляет eBPF-агентами в кластере
🍭 Agent. Анализирует события с использованием eBPF-программ
🍭 Server. Обрабатывает данные, полученные от Agent для последующего сохранения в базе данных
🍭 ClickHouse. Высокопроизводительная база данных, в которой хранятся события, полученные от InfraSight
На текущий момент решение позволяет отслеживать следующие системные вызовы:
Больше информации – архитектура, способы установки, настройка, схема БД и т.д. – можно найти в документации на проект.
Кстати, там же есть небольшое видео, в котором описан процесс работы с InfraSight и результаты, которые можно получить.
Важно: проект достаточно молодой и скорее всего есть нюансы, связанные с его работой 😊
Всем привет!
InfraSight – observability платформа, которая использует eBPF для «захвата» низкоуровневых системных событий с целью последующего анализа.
Состоит она из 4-х элементов:
🍭 Controller. Управляет eBPF-агентами в кластере
🍭 Agent. Анализирует события с использованием eBPF-программ
🍭 Server. Обрабатывает данные, полученные от Agent для последующего сохранения в базе данных
🍭 ClickHouse. Высокопроизводительная база данных, в которой хранятся события, полученные от InfraSight
На текущий момент решение позволяет отслеживать следующие системные вызовы:
execve, open, chmod, connect и accept.Больше информации – архитектура, способы установки, настройка, схема БД и т.д. – можно найти в документации на проект.
Кстати, там же есть небольшое видео, в котором описан процесс работы с InfraSight и результаты, которые можно получить.
Важно: проект достаточно молодой и скорее всего есть нюансы, связанные с его работой 😊
GitHub
GitHub - ALEYI17/InfraSight: InfraSight is a modular eBPF-based observability platform for Linux and Kubernetes environments. It…
InfraSight is a modular eBPF-based observability platform for Linux and Kubernetes environments. It provides deep visibility into system activity using custom eBPF programs, a centralized ClickHous...
❤5
Настало время... первого открытого Call For Papers на IT Elements 2025!
10–11 сентября ИТ-сообщество традиционно соберется на большой осенней конференции для тех, кто делает ИТ в России. Готовьтесь к новым трекам, новым спикерам и новой грандиозной площадке!
Если у вас есть сильный кейс, нестандартный опыт или нешаблонное решение — пришло время предложить свой доклад. Главное требование — экспертность и новизна темы.
Рассматриваются доклады по ключевым направлениям:
Смотрите выступления и вдохновляйтесь атмосферой прошлого года:
Станьте главным элементом IT Elements 2025!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤🔥3🥰3⚡1
The Kubernetes Networking Guide
Всем привет!
Если не знаете, что почитать на выходных, то рекомендуем обратить внимание на Kubernetes Networking Guide.
На этом ресурсе собрано очень много информации о том, как устроено сетевое взаимодействие в кластере.
На сайте можно найти информацию о:
🍭 Network Model
🍭 CNI
🍭 Services
🍭 Ingress & Egress
🍭 Network Policies
🍭 DNS и не только
Многие разделы содержат подразделы. Так, например, в блоке про CNI есть дополнительная информация о Flannel, Weave, Calico, Cilium.
Помимо теоретической части, включающей описания и различные схемы, на ресурсе доступны лабораторные работы (не для всего).
То, что надо, чтобы лучше понять устройство сети в Kubernetes и как с ней работать!
P.S. Некоторые разделы все еще находятся «Under Construction». Если вы хотите чем-либо дополнить материал, то можно сделать PR вот в этот repo.
Всем привет!
Если не знаете, что почитать на выходных, то рекомендуем обратить внимание на Kubernetes Networking Guide.
На этом ресурсе собрано очень много информации о том, как устроено сетевое взаимодействие в кластере.
На сайте можно найти информацию о:
🍭 Network Model
🍭 CNI
🍭 Services
🍭 Ingress & Egress
🍭 Network Policies
🍭 DNS и не только
Многие разделы содержат подразделы. Так, например, в блоке про CNI есть дополнительная информация о Flannel, Weave, Calico, Cilium.
Помимо теоретической части, включающей описания и различные схемы, на ресурсе доступны лабораторные работы (не для всего).
То, что надо, чтобы лучше понять устройство сети в Kubernetes и как с ней работать!
P.S. Некоторые разделы все еще находятся «Under Construction». Если вы хотите чем-либо дополнить материал, то можно сделать PR вот в этот repo.
www.tkng.io
The Kubernetes Networking Guide
🔥7
Dependency Management Report.pdf
1.6 MB
Dependency Management Report
Всем привет!
В приложении можно скачать отчет (~ 46 страниц), подготовленный Endor Labs и посвященный вопросу управления зависимостями и их уязвимостями.
Отчет содержит несколько частей:
🍭 Identifying Dependencies & Their Vulnerabilities. Раздел содержит сведения о нюансах, связанных с корректным определением зависимостей: достижимость, «фантомные зависимости» и т.д.
🍭 Discrepancies and Shortcomings of Vulnerability Databases. «Тонкости работы» с базами данных об уязвимостях и почему использование только
🍭 Why Remediating Known Vulnerabilities Is Hard. Почему нельзя «просто взять и обновить зависимости»
🍭 Software Composition Analysis and its role in dependency management. Рассуждения о функционале SCA-решений, который может помочь в решении описанных в отчете проблем
Для каждого раздела приводятся примеры, статистика, ссылки на полезные материалы по теме.
Отчет приятно читать, он содержателен и в нем практически нет маркетинга и «воды»
Всем привет!
В приложении можно скачать отчет (~ 46 страниц), подготовленный Endor Labs и посвященный вопросу управления зависимостями и их уязвимостями.
Отчет содержит несколько частей:
🍭 Identifying Dependencies & Their Vulnerabilities. Раздел содержит сведения о нюансах, связанных с корректным определением зависимостей: достижимость, «фантомные зависимости» и т.д.
🍭 Discrepancies and Shortcomings of Vulnerability Databases. «Тонкости работы» с базами данных об уязвимостях и почему использование только
NVD далеко не всегда является достаточным🍭 Why Remediating Known Vulnerabilities Is Hard. Почему нельзя «просто взять и обновить зависимости»
🍭 Software Composition Analysis and its role in dependency management. Рассуждения о функционале SCA-решений, который может помочь в решении описанных в отчете проблем
Для каждого раздела приводятся примеры, статистика, ссылки на полезные материалы по теме.
Отчет приятно читать, он содержателен и в нем практически нет маркетинга и «воды»
👍6
OWASP: Business Logic Abuse
Всем привет!
Еще один Top 10 от OWASP, на этот раз посвященный вопросам бизнес-логики: OWASP Top 10 for Business Logic Abuse(кстати, получилось довольно забавное сокращение – BLA 😊)
Он включает в себя:
🍭 Lifecycle & Orphaned Transitions Flaws
🍭 Logic Bomb, Loops and Halting Issues
🍭 Data Type Smuggling
🍭 Sequential State Bypass
🍭 Data Oracle Exposure и не только
Как обычно, описание и примеры доступны на сайте OWASP.
Материл достаточно свежий, поэтому деталей не очень много.
Всем привет!
Еще один Top 10 от OWASP, на этот раз посвященный вопросам бизнес-логики: OWASP Top 10 for Business Logic Abuse
Он включает в себя:
🍭 Lifecycle & Orphaned Transitions Flaws
🍭 Logic Bomb, Loops and Halting Issues
🍭 Data Type Smuggling
🍭 Sequential State Bypass
🍭 Data Oracle Exposure и не только
Как обычно, описание и примеры доступны на сайте OWASP.
Материл достаточно свежий, поэтому деталей не очень много.
owasp.org
OWASP Top 10 for Business Logic Abuse | OWASP Foundation
A very brief, one-line denoscription of your project
🔍 Semgrep меняет условия: новая лицензия и создание Opengrep
Всем привет!
13 декабря 2024 в блоге Semgrep вышло обновление “Important updates to Semgrep OSS”.
Уже в январе 2025 после обсуждений, группа компаний запустили форк Opengrep (LGPL-полная открытость правил и движка).
🎯 Детали всей истории и обзор Opengrep — в небольшой статье
Проверяете лицензии инструментов, которые добавляете в пайплайны? 🧐
Всем привет!
13 декабря 2024 в блоге Semgrep вышло обновление “Important updates to Semgrep OSS”.
OSS-версия переименована в Community Edition (CE), ядро под LGPL 2.1 осталось нетронутым, но правила перевели на Semgrep Rules License v1.0 с Commons Clause – запрещено использовать их в конкурирующих SaaS. А через 4 года (декабрь 2028) все Rules перейдут под Apache 2.0 (как указано в BSL).
Уже в январе 2025 после обсуждений, группа компаний запустили форк Opengrep (LGPL-полная открытость правил и движка).
🎯 Детали всей истории и обзор Opengrep — в небольшой статье
Проверяете лицензии инструментов, которые добавляете в пайплайны? 🧐
Telegraph
История о том как semgrep лицензию поменяли
Что такое Semgrep и кто им пользуется Semgrep — «семантический grep» для кода. Инструмент статического анализа (SAST), который ищет уязвимости по шаблонам, написанным «как обычный код», работая с собственным шаблонным сопоставлением AST. На 23 июня 2025 г.…
❤7👍3🔥2
Kubewall: интерактивный UI для Kubernetes
Всем привет!
Kubewall – еще один проект, цель которого – упростить взаимодействие пользователя с кластерами Kubernetes за счет предоставления графического интерфейса.
Он позволяет:
🍭 Централизованно работать с множеством кластеров
🍭 Просматривать ресурсы, созданные в кластере (конфигурация, события, логи)
🍭 Редактировать ресурсы за счет встроенного YAML-editor
🍭 Получать информацию об изменениях в кластере в режиме реального времени и не только
Устанавливается просто, не требует значительной конфигурации и практически сразу «готов к работе».
Важно: решение все еще находится в стадии активной разработки, но уже выглядит достаточно интересным для тестирования.
P.S. Конечно же, главный функционал в наличии! Можно менять темы на «светлую/темную» ☺️
Всем привет!
Kubewall – еще один проект, цель которого – упростить взаимодействие пользователя с кластерами Kubernetes за счет предоставления графического интерфейса.
Он позволяет:
🍭 Централизованно работать с множеством кластеров
🍭 Просматривать ресурсы, созданные в кластере (конфигурация, события, логи)
🍭 Редактировать ресурсы за счет встроенного YAML-editor
🍭 Получать информацию об изменениях в кластере в режиме реального времени и не только
Устанавливается просто, не требует значительной конфигурации и практически сразу «готов к работе».
Важно: решение все еще находится в стадии активной разработки, но уже выглядит достаточно интересным для тестирования.
P.S. Конечно же, главный функционал в наличии! Можно менять темы на «светлую/темную» ☺️
GitHub
GitHub - kubewall/kubewall: kubewall - Single-Binary Kubernetes Dashboard with Multi-Cluster Management & AI Integration. (OpenAI…
kubewall - Single-Binary Kubernetes Dashboard with Multi-Cluster Management & AI Integration. (OpenAI / Claude 4 / Gemini / DeepSeek / OpenRouter / Ollama / Qwen / LMStudio) - kubewall/kubewall
❤7🥱4👍1
Что такое CNI и как он работает
Всем привет!
Организация сетевого взаимодействия одна из самых важнейших задач. В настоящее время трудно представить системы, которые бы не «общались между собой».
В Kubernetes за это отвечает CNI – Container Network Interface – и его реализации (plugin’ы). О том, как это работает можно прочитать в статье.
В ней Автор описывает:
🍭 Из каких «компонентов» состоит CNI plugin, какие его основные задачи
🍭 Как
🍭 Логика работы CNI plugin’a «под капотом» (создание Virtual Ethernet Pair, назначение IP
🍭 Обеспечение сетевой связности между узлами кластера и не только
Для каждого раздела Автор подготовил наглядные диаграммы, примеры используемых команд.
В завершении статьи есть ссылка на GitHub Repo, в котором представлен минималистичный CNI plugin для того, чтобы можно было изучить вопрос более детально.
Отличная статья, которая дает общее понимание того, что из себя представляет CNI и как он работает «изнутри».
Всем привет!
Организация сетевого взаимодействия одна из самых важнейших задач. В настоящее время трудно представить системы, которые бы не «общались между собой».
В Kubernetes за это отвечает CNI – Container Network Interface – и его реализации (plugin’ы). О том, как это работает можно прочитать в статье.
В ней Автор описывает:
🍭 Из каких «компонентов» состоит CNI plugin, какие его основные задачи
🍭 Как
pod «подключается» к сети🍭 Логика работы CNI plugin’a «под капотом» (создание Virtual Ethernet Pair, назначение IP
pod и т.д.)🍭 Обеспечение сетевой связности между узлами кластера и не только
Для каждого раздела Автор подготовил наглядные диаграммы, примеры используемых команд.
В завершении статьи есть ссылка на GitHub Repo, в котором представлен минималистичный CNI plugin для того, чтобы можно было изучить вопрос более детально.
Отличная статья, которая дает общее понимание того, что из себя представляет CNI и как он работает «изнутри».
Medium
Container Network Interface (CNI) in Kubernetes: An Introduction
We’re gonna learn about the Container Network Interface (CNI) and CNI plugins, what they’re supposed to do, and how they’re implemented.
❤5👍3🥴1
Kube Composer
Всем привет!
Нет, это не то, о чем вы подумали! ☺️ Это не утилита, которая превращает compose-файлы в Kubernetes-манифесты.
Kube Composer – это интуитивно понятный YAML-генератор ресурсов кластера, которые вы хотите создать.
Представляет он из себя небольшое web-приложение, которое можно развернуть «у себя», так и воспользоваться playground’ом.
Он позволяет:
🍭 Описывать требуемые ресурсы и их параметры непосредственно в UI
🍭 Работает с
🍭 Наглядно показывает связность между разными Kubernetes
🍭 И, конечно же, генерирует YAML-файлы, которые потребуются для создания ресурсов
Не зря говорят, что лучше один раз увидеть, чем сто раз услышать. Поэтому предлагаем вам посмотреть на его возможности воочию.
Для этого нужно перейти сюда и создать свой первый ресурс, чтобы понять, что это такое и зачем оно нужно.
P.S. А еще там можно посмотреть специально подготовленное demo
Всем привет!
Нет, это не то, о чем вы подумали! ☺️ Это не утилита, которая превращает compose-файлы в Kubernetes-манифесты.
Kube Composer – это интуитивно понятный YAML-генератор ресурсов кластера, которые вы хотите создать.
Представляет он из себя небольшое web-приложение, которое можно развернуть «у себя», так и воспользоваться playground’ом.
Он позволяет:
🍭 Описывать требуемые ресурсы и их параметры непосредственно в UI
🍭 Работает с
Deployments, Services, Volumes, Ingress и не только🍭 Наглядно показывает связность между разными Kubernetes
🍭 И, конечно же, генерирует YAML-файлы, которые потребуются для создания ресурсов
Не зря говорят, что лучше один раз увидеть, чем сто раз услышать. Поэтому предлагаем вам посмотреть на его возможности воочию.
Для этого нужно перейти сюда и создать свой первый ресурс, чтобы понять, что это такое и зачем оно нужно.
P.S. А еще там можно посмотреть специально подготовленное demo
GitHub
GitHub - same7ammar/kube-composer: Open-Source Kubernetes YAML Builder with Intuitive Web Interface and Dynamic Visualization for…
Open-Source Kubernetes YAML Builder with Intuitive Web Interface and Dynamic Visualization for Developers and DevOps Engineers - same7ammar/kube-composer