Безопасность GitHub Actions с SonarQube
Всем привет!
По ссылке доступна статья от Авторов SonarQube, в которой они разбирают чем он может быть полезен при анализе GitHub Actions.
После небольшого введения про GitHub Actions, рассматривается несколько сценариев атак.
Например:
🍭 Command Injection, реализуемая через
🍭 Command Injection, реализуемая через
🍭 Code Execution, через выполнение Third Party Action
Для каждого из рассматриваемых примеров приводятся рекомендации по предотвращению, ссылки на полезные материалы по теме и идентификационные номера уязвимостей, которые рассматриваются в статье для дальнейшего изучения.
Всем привет!
По ссылке доступна статья от Авторов SonarQube, в которой они разбирают чем он может быть полезен при анализе GitHub Actions.
После небольшого введения про GitHub Actions, рассматривается несколько сценариев атак.
Например:
🍭 Command Injection, реализуемая через
github.event.issue.noscript🍭 Command Injection, реализуемая через
pull_request_target🍭 Code Execution, через выполнение Third Party Action
Для каждого из рассматриваемых примеров приводятся рекомендации по предотвращению, ссылки на полезные материалы по теме и идентификационные номера уязвимостей, которые рассматриваются в статье для дальнейшего изучения.
Sonarsource
Securing GitHub Actions With SonarQube: Real-World Examples
This blog introduces SonarQube's enhanced analysis capabilities for GitHub Actions, designed to proactively identify and remediate security vulnerabilities like Command Injection and Code Execution that pose a significant supply chain risk.
❤4
Software Factory Security Framework
Всем привет!
По ссылке можно найти Software Factory Security Framework (SF2), подготовленный командой GitLab.
Ключевая аудитория – руководители, которым необходим комплексный стратегический подход к развитию практик безопасной разработки.
Согласно предложенному подходу сперва необходимо определить «Кто вы?». Есть 4 варианта – Visionaries, Leaders, Niche Players или Challengers.
В зависимости от результата SF2 предлагает свой путь развития и понимания первоочередных задач.
Для каждого пути рассматриваются блоки:
🍭 Strategic Priorities
🍭 Quick Start Checklist
🍭 Investment Roadmap
🍭 Common Pitfalls
🍭 Success Indicator
А внутри каждого блока есть отдельные «деления». Например, в Success Indicators представлены метрики, которые можно достичь за 6, 12 и 24 месяца.
Помимо этого, есть рекомендации о том, как лучше использовать SF2 вместе с NIST SSDF, OWASP SAMM, BSIMM и OWASP ASVS.
В общем – чтения «внутри» крайне много, рекомендуем к изучению! ☺️
Всем привет!
По ссылке можно найти Software Factory Security Framework (SF2), подготовленный командой GitLab.
Ключевая аудитория – руководители, которым необходим комплексный стратегический подход к развитию практик безопасной разработки.
Согласно предложенному подходу сперва необходимо определить «Кто вы?». Есть 4 варианта – Visionaries, Leaders, Niche Players или Challengers.
В зависимости от результата SF2 предлагает свой путь развития и понимания первоочередных задач.
Для каждого пути рассматриваются блоки:
🍭 Strategic Priorities
🍭 Quick Start Checklist
🍭 Investment Roadmap
🍭 Common Pitfalls
🍭 Success Indicator
А внутри каждого блока есть отдельные «деления». Например, в Success Indicators представлены метрики, которые можно достичь за 6, 12 и 24 месяца.
Помимо этого, есть рекомендации о том, как лучше использовать SF2 вместе с NIST SSDF, OWASP SAMM, BSIMM и OWASP ASVS.
В общем – чтения «внутри» крайне много, рекомендуем к изучению! ☺️
Sf2Framework
Software Factory Security Framework (SF²)
Strategic framework for scaling security capabilities while improving business outcomes
🔥3
Security Observability в Kubernetes: не логами едиными!
Всем привет!
Когда говорят про безопасность Kubernetes, то, зачастую, это разговор про анализ образов контейнеров, контроль используемых конфигураций, сетевые политики, защита запущенных контейнеров.
Нюанс в том, что они могут работать «сами по себе» и, в случае реализации инцидента, очень сложно понять общую картину.
Т.е. становится трудно быстро ответить на вопросы:
🍭 Какой pod запрашивал доступ к секретам за последний час?
🍭 Был ли в каком-либо контейнере запущен процесс, которого не должно быть?
🍭 Какие подозрительные API-вызовы делал Service Account
🍭 С какими внешними сервисами осуществлялось взаимодействие?
🍭 Можно ли всю эту информацию как-то связать с пользовательскими действиями?
за условные 60 минут становится просто нереально.
В статье Автор рассматривает подход, который может это исправить.
За «основу» он берет Kubernetes Audit Logs и Falco, рассматривает как можно «комбинировать» получаемые из них данные для повышения общей observability анализируемого кластера.
Завершают статью размышления Автора о том, как можно расширить описанный подход и на сеть при помощи Cilium Hubble.
В итоге имеем очень хорошую статью о том, как можно улучшить мониторинг кластера.
Всем привет!
Когда говорят про безопасность Kubernetes, то, зачастую, это разговор про анализ образов контейнеров, контроль используемых конфигураций, сетевые политики, защита запущенных контейнеров.
Нюанс в том, что они могут работать «сами по себе» и, в случае реализации инцидента, очень сложно понять общую картину.
Т.е. становится трудно быстро ответить на вопросы:
🍭 Какой pod запрашивал доступ к секретам за последний час?
🍭 Был ли в каком-либо контейнере запущен процесс, которого не должно быть?
🍭 Какие подозрительные API-вызовы делал Service Account
🍭 С какими внешними сервисами осуществлялось взаимодействие?
🍭 Можно ли всю эту информацию как-то связать с пользовательскими действиями?
за условные 60 минут становится просто нереально.
В статье Автор рассматривает подход, который может это исправить.
За «основу» он берет Kubernetes Audit Logs и Falco, рассматривает как можно «комбинировать» получаемые из них данные для повышения общей observability анализируемого кластера.
Завершают статью размышления Автора о том, как можно расширить описанный подход и на сеть при помощи Cilium Hubble.
В итоге имеем очень хорошую статью о том, как можно улучшить мониторинг кластера.
Fatih Koç
Security Observability in Kubernetes Goes Beyond Logs
Build security observability in Kubernetes with audit logs, Falco runtime detection, and correlated security telemetry for faster incident response.
👍4❤1
Codeaudit: SAST для Python
Всем привет!
Codeaudit – утилита, которая позволяет анализировать Python-проекты для выявления проблем, связанных с информационной безопасностью.
Он позволяет:
🍭 Получать общую информацию о проекте (файлы, SLOC, AST Nodes, модули, оценка сложности проекта)
🍭 Получать аналогичную информацию для конкретного файла
🍭 Идентифицировать уязвимости в исходном коде
🍭 Предоставляет информацию по уязвимостям, найденных в импортируемых модулях (за основу берется OSV Database).
Помимо этого, Codeaudit может формировать отчетность. Увы, по умолчанию только в HTML. Из плюсов – очень приятный и понятный визуально отчет. Чтобы сгенерировать JSON надо реализовать некоторые манипуляции, о чем детально и с примерами написано в документации.
«Из коробки» доступно более 70 правил, которые позволяют выявлять уязвимости. У проекта есть очень подробная документация, с которой можно ознакомиться по ссылке.
Всем привет!
Codeaudit – утилита, которая позволяет анализировать Python-проекты для выявления проблем, связанных с информационной безопасностью.
Он позволяет:
🍭 Получать общую информацию о проекте (файлы, SLOC, AST Nodes, модули, оценка сложности проекта)
🍭 Получать аналогичную информацию для конкретного файла
🍭 Идентифицировать уязвимости в исходном коде
🍭 Предоставляет информацию по уязвимостям, найденных в импортируемых модулях (за основу берется OSV Database).
Помимо этого, Codeaudit может формировать отчетность. Увы, по умолчанию только в HTML. Из плюсов – очень приятный и понятный визуально отчет. Чтобы сгенерировать JSON надо реализовать некоторые манипуляции, о чем детально и с примерами написано в документации.
«Из коробки» доступно более 70 правил, которые позволяют выявлять уязвимости. У проекта есть очень подробная документация, с которой можно ознакомиться по ссылке.
GitHub
GitHub - nocomplexity/codeaudit: Codeaudit - Modern Python source code analyzer based on distrust.
Codeaudit - Modern Python source code analyzer based on distrust. - nocomplexity/codeaudit
👍2
AI AppSec Team
Всем привет!
А почему бы и нет?Решение вопроса кадрового голода в ИБ. Если без шуток, то в статье Автор описывает очень интересный эксперимент.
Он выделил повседневные активности AppSec-команды и подготовил отдельных агентов для решения каждой из них.
В команду попали:
🍭 Code Reviewer: идентифицирует уязвимости
🍭 Exploiter: создает exploit для найденных уязвимостей
🍭 Mitigation Expert: исправляет уязвимости
🍭 Report Writer: создает детальные отчеты о проделанной работе
За основу была взята LLM - mixtral-8x7b-32768. Далее Автор на примере небольшого куска уязвимого кода «показывает», как работает весь процесс – от используемых prompt до полученных результатов.
Каких именно? Ответы можно найти в статье 😊
P.S. Да, это лишь небольшой PoC на очень простом «примере» и масштабирование такого подхода (если возможно) потребует определенных усилий.
Тем не менее, что-то интересное в этом есть
Всем привет!
А почему бы и нет?
Он выделил повседневные активности AppSec-команды и подготовил отдельных агентов для решения каждой из них.
В команду попали:
🍭 Code Reviewer: идентифицирует уязвимости
🍭 Exploiter: создает exploit для найденных уязвимостей
🍭 Mitigation Expert: исправляет уязвимости
🍭 Report Writer: создает детальные отчеты о проделанной работе
За основу была взята LLM - mixtral-8x7b-32768. Далее Автор на примере небольшого куска уязвимого кода «показывает», как работает весь процесс – от используемых prompt до полученных результатов.
Каких именно? Ответы можно найти в статье 😊
P.S. Да, это лишь небольшой PoC на очень простом «примере» и масштабирование такого подхода (если возможно) потребует определенных усилий.
Тем не менее, что-то интересное в этом есть
Substack
Building an AI AppSec Team
The New Cybersecurity Heroes
👍7❤1🔥1
DevSecOps Pipeline Security Checklist
Всем привет!
Небольшой пятничный пост, в котором можно найти еще один checklist по DevSecOps, в котором собраны рекомендации о том, как, что и когда надо делать.
Он структурирован по этапам жизненного цикла разработки ПО:
🍭 Plan & Design Security (Threat Modelling, Security Requirements & Architecture Review)
🍭 Code & Commit Security (Coding Practices, Secret Management, SAST, SCA)
🍭 Build & Artifact Security (Secure Build Environment, Container Security, Supply Chain Security)
🍭 Test & Validate Security (DAST, IAST, Penetration Testing, Fuzz Testing)
🍭 Deploy & Runtime Security (IaC Security, RASP, Configuration Management, Secrets Injection)
🍭 Operate & Monitor Security (Logging and Monitoring, Incident Response Integration, Vulnerability Management, Compliance & Auditing)
Для каждого раздела приводится несколько рекомендаций о том, что надо делать.
Дополнительно в статье есть ссылки на полезные материалы по теме.
Всем привет!
Небольшой пятничный пост, в котором можно найти еще один checklist по DevSecOps, в котором собраны рекомендации о том, как, что и когда надо делать.
Он структурирован по этапам жизненного цикла разработки ПО:
🍭 Plan & Design Security (Threat Modelling, Security Requirements & Architecture Review)
🍭 Code & Commit Security (Coding Practices, Secret Management, SAST, SCA)
🍭 Build & Artifact Security (Secure Build Environment, Container Security, Supply Chain Security)
🍭 Test & Validate Security (DAST, IAST, Penetration Testing, Fuzz Testing)
🍭 Deploy & Runtime Security (IaC Security, RASP, Configuration Management, Secrets Injection)
🍭 Operate & Monitor Security (Logging and Monitoring, Incident Response Integration, Vulnerability Management, Compliance & Auditing)
Для каждого раздела приводится несколько рекомендаций о том, что надо делать.
Дополнительно в статье есть ссылки на полезные материалы по теме.
Hetmehta
Comprehensive DevSecOps Pipeline Security Checklist
Cybersecurity research, and personal experiences by Het Mehta.
👍8❤4
Supply Chain: ретроспектива за 2024/2025 года
Всем привет!
По ссылке можно найти агрегированную информацию о нашумевших атаках на цепочку поставки ПО, реализованных за 2024/2025 года.
В выборку попали: XZ Utils. Shai-Hulud, MavenGate, Ultralytics и многие другие. Для каждой их них Автор приводит ссылку для более детального изучения.
Помимо этого, Автор описывает наиболее «популярные» векторы:
🍭 Phishing
🍭 Control Handoff
🍭
🍭 Long-lived Credentials Exfiltration и не только
Для каждого из них в статье можно найти рекомендации по противодействию.
Очень хороший обзорный материал, который мы рекомендуем к ознакомлению!
Всем привет!
По ссылке можно найти агрегированную информацию о нашумевших атаках на цепочку поставки ПО, реализованных за 2024/2025 года.
В выборку попали: XZ Utils. Shai-Hulud, MavenGate, Ultralytics и многие другие. Для каждой их них Автор приводит ссылку для более детального изучения.
Помимо этого, Автор описывает наиболее «популярные» векторы:
🍭 Phishing
🍭 Control Handoff
🍭
pull_request_target и issue_comment🍭 Long-lived Credentials Exfiltration и не только
Для каждого из них в статье можно найти рекомендации по противодействию.
Очень хороший обзорный материал, который мы рекомендуем к ознакомлению!
words.filippo.io
A Retrospective Survey of 2024/2025 Open Source Supply Chain Compromises
Project compromises have common root causes we can mitigate: phishing, control handoff, and unsafe GitHub Actions triggers.
👍6
Kite: еще-один-Kubernetes-UI!
Всем привет!
Да, все так! Kite – open-source проект, который позволяет визуализировать состояние кластера Kubernetes.
Если кратко, то он умеет:
🍭 Предоставлять информацию о ресурсах (Deployments, StatefulSets, DaemonSets и т.д.)
🍭 Управлять ресурсами (создавать, масштабировать, удалять и т.д.)
🍭 Предоставлять информацию о потребляемых ресурсах
🍭 Отображать логи ресурсов
🍭 «Подключать» к контейнеру через терминал и много всего еще
Kite позволяет работать сразу с несколькими кластерами Kubernetes одновременно.
Функционал разграничения прав доступа пользователей также присутствует.
Если вы хотите немного поработать с ним, но не хочется устанавливать, то можно воспользоваться вот этим ресурсом.
Ну и самое главное!Темная тема на месте! 😊
Всем привет!
Да, все так! Kite – open-source проект, который позволяет визуализировать состояние кластера Kubernetes.
Если кратко, то он умеет:
🍭 Предоставлять информацию о ресурсах (Deployments, StatefulSets, DaemonSets и т.д.)
🍭 Управлять ресурсами (создавать, масштабировать, удалять и т.д.)
🍭 Предоставлять информацию о потребляемых ресурсах
🍭 Отображать логи ресурсов
🍭 «Подключать» к контейнеру через терминал и много всего еще
Kite позволяет работать сразу с несколькими кластерами Kubernetes одновременно.
Функционал разграничения прав доступа пользователей также присутствует.
Если вы хотите немного поработать с ним, но не хочется устанавливать, то можно воспользоваться вот этим ресурсом.
Ну и самое главное!
GitHub
GitHub - zxh326/kite: 🪁 A modern, lightweight Kubernetes dashboard.
🪁 A modern, lightweight Kubernetes dashboard. . Contribute to zxh326/kite development by creating an account on GitHub.
❤2
DevSecOps University
Всем привет!
По ссылке можно найти перечень полезных материалов по DevSecOps. В нем представлены видео, книги, статьи, блоги и т.д. Как платные, так и бесплатные.
По темам выделены следующие:
🍭 Git, CI/CD
🍭 Artifact Management
🍭 Infrastructure as Code
🍭 Threat Modelling
🍭 SAST, DAST
🍭 Security as Code, Compliance as Code
Подборка может быть полезна, если вы только начинаете свое приключение. Возможно, что те, кто уже в пути, смогут найти что-то полезное и для себя.
Всем привет!
По ссылке можно найти перечень полезных материалов по DevSecOps. В нем представлены видео, книги, статьи, блоги и т.д. Как платные, так и бесплатные.
По темам выделены следующие:
🍭 Git, CI/CD
🍭 Artifact Management
🍭 Infrastructure as Code
🍭 Threat Modelling
🍭 SAST, DAST
🍭 Security as Code, Compliance as Code
Подборка может быть полезна, если вы только начинаете свое приключение. Возможно, что те, кто уже в пути, смогут найти что-то полезное и для себя.
Practical DevSecOps
DevSecOps University ( DevSecOps learning resources) - Practical DevSecOps
A one stop shop for all your DevSecOps Needs.
👍8❤3
Container-Security-Liz-Rice.pdf
4.7 MB
Container Security от Liz Rice (второе издание)
Всем привет!
В приложении можно скачать второе издание книги «Container Security» от Liz Rice.
Liz достаточно известна в мире безопасности контейнеризации. Она работала в Aqua, Isovalent, является спикером множества конференций и одним из авторов CIS Benchmark для Docker.
Книга структурирована по разделам:
🍭 Container Security Threats
🍭 Linux System Calls, Permissions and Capabilities
🍭 Control Groups
🍭 Container Isolation, Virtual Machines
🍭 Supply Chain Security
Breaking Container Isolation и не только
Очень хороший материал с подробным описанием, примерами и набором тем, который охватывает множество областей защиты контейнеров.
Рекомендуем!
Всем привет!
В приложении можно скачать второе издание книги «Container Security» от Liz Rice.
Liz достаточно известна в мире безопасности контейнеризации. Она работала в Aqua, Isovalent, является спикером множества конференций и одним из авторов CIS Benchmark для Docker.
Книга структурирована по разделам:
🍭 Container Security Threats
🍭 Linux System Calls, Permissions and Capabilities
🍭 Control Groups
🍭 Container Isolation, Virtual Machines
🍭 Supply Chain Security
Breaking Container Isolation и не только
Очень хороший материал с подробным описанием, примерами и набором тем, который охватывает множество областей защиты контейнеров.
Рекомендуем!
🔥11❤2👍2
DevOps Conf 2026 в поисках спикеров!!!
Всем привет!
DevOps Conf – одна из самых интересных конференций, где вы можете послушать отменные доклады, поговорить с сообществом на любимые темы, поучаствовать в разных активностях, да и просто круто провести время.
Возможно, что у вас уже есть идея, наработки или готовый доклад, которым вы хотите поделиться! Тогда этот пост точно для вас!
DevOps Conf открыл CFP, который продлится до 24 ноября!!!
Ключевыми темами DevOps Conf 2026 являются:
🍭 Эксплуатация LLM
🍭 AI-Driven Engineering: практики, риски и трансформация разработки
🍭 Сокращение затрат на инфраструктуру
🍭 Цифровые иммунные системы и инженерия надёжности (автоматический self-healing и все что с ним связано)
🍭 Разработка ПО для системных инженеров
🍭 Требования регуляторов понятым языком
🍭 Основы DevOps (та самая "база", которую надо знать)
Полный перечень тем докладов доступен на сайте CFP.
Смело подавайтесь! Давайте вместе сформируем Программу, которая поможет сообществу DevOps двигаться вперед!🎆 🎆 🎆
Всем привет!
DevOps Conf – одна из самых интересных конференций, где вы можете послушать отменные доклады, поговорить с сообществом на любимые темы, поучаствовать в разных активностях, да и просто круто провести время.
Возможно, что у вас уже есть идея, наработки или готовый доклад, которым вы хотите поделиться! Тогда этот пост точно для вас!
DevOps Conf открыл CFP, который продлится до 24 ноября!!!
Ключевыми темами DevOps Conf 2026 являются:
🍭 Эксплуатация LLM
🍭 AI-Driven Engineering: практики, риски и трансформация разработки
🍭 Сокращение затрат на инфраструктуру
🍭 Цифровые иммунные системы и инженерия надёжности (автоматический self-healing и все что с ним связано)
🍭 Разработка ПО для системных инженеров
🍭 Требования регуляторов понятым языком
🍭 Основы DevOps (та самая "база", которую надо знать)
Полный перечень тем докладов доступен на сайте CFP.
Смело подавайтесь! Давайте вместе сформируем Программу, которая поможет сообществу DevOps двигаться вперед!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤🔥2🥰2
Trivy MCP Server
Всем привет!
Trivy – очень популярный open source инструмент, который используется многими специалистами. Она позволяет сканировать образы контейнеров на наличие уязвимостей, искать секреты, анализировать конфигурационные файла и не только.
Недавно был представлен Trivy MCP Server. Если просто, то это некий «помощник», который может встраиваться в IDE.
Он может помочь, например, в решении задач:
🍭 Я хочу использовать образ
🍭 Мне нужно обновить образ до последней версии
В IDE будут предоставлены ответы от Trivy о том, какие есть уязвимости, какие есть ошибки в конфигурациях и как это можно исправить.
На текущий момент поддерживается VS Code, Cursor, IDE от JetBrains и Claude Desktop Integration.
Больше информации о проекте можно найти в репозитории или в документации.
Всем привет!
Trivy – очень популярный open source инструмент, который используется многими специалистами. Она позволяет сканировать образы контейнеров на наличие уязвимостей, искать секреты, анализировать конфигурационные файла и не только.
Недавно был представлен Trivy MCP Server. Если просто, то это некий «помощник», который может встраиваться в IDE.
Он может помочь, например, в решении задач:
🍭 Я хочу использовать образ
<image_name> в качестве базового, но не уверен есть ли в нем уязвимости🍭 Мне нужно обновить образ до последней версии
В IDE будут предоставлены ответы от Trivy о том, какие есть уязвимости, какие есть ошибки в конфигурациях и как это можно исправить.
На текущий момент поддерживается VS Code, Cursor, IDE от JetBrains и Claude Desktop Integration.
Больше информации о проекте можно найти в репозитории или в документации.
Aqua
Security That Speaks Your Language: Trivy MCP Server
Trivy MCP Server brings AI-powered security into your IDE enabling natural language queries and intelligent automated scans directly in your workflow
🔥8
Breaking Into GitLab
Всем привет!
Небольшая «пятничная статья», в которой Автор разбирает простую атаку на Self-Hosted GitLab. Начинается она с краткого описания сущностей и дальше переходит к самому интересному.
Рассматривается сценарий:
🍭 Initial Access: Hijacking a Runner. Задача – найти Instance Runner, который будет использован для дальнейшего развития атаки
🍭 Закрепление через Reverse Shell
🍭 Поиск того, что может помочь развить атаку
🍭 Закрепление в облаке (при условии, что Self-Managed GitLab развернут в нем)
Сам сценарий достаточно простой, но хорошо иллюстрирует то, что может произойти если не задумываться о безопасность процесса сборки.
В завершении Автор дает общие рекомендации о том, как можно защититься.
Если хочется больше материалов по теме, то можно обратить к этому руководству от Wiz.
Всем привет!
Небольшая «пятничная статья», в которой Автор разбирает простую атаку на Self-Hosted GitLab. Начинается она с краткого описания сущностей и дальше переходит к самому интересному.
Рассматривается сценарий:
🍭 Initial Access: Hijacking a Runner. Задача – найти Instance Runner, который будет использован для дальнейшего развития атаки
🍭 Закрепление через Reverse Shell
🍭 Поиск того, что может помочь развить атаку
🍭 Закрепление в облаке (при условии, что Self-Managed GitLab развернут в нем)
Сам сценарий достаточно простой, но хорошо иллюстрирует то, что может произойти если не задумываться о безопасность процесса сборки.
В завершении Автор дает общие рекомендации о том, как можно защититься.
Если хочется больше материалов по теме, то можно обратить к этому руководству от Wiz.
risk3sixty
Breaking Into GitLab: Attacking and Defending Self-Hosted CI/CD Environments - risk3sixty
Discover strategies for attacking a self-hosted GitLab instance, from hijacking runners to exploiting CI/CD vulnerabilities. Learn how attackers gain access, pivot within cloud environments, and steal sensitive data, and explore key defenses to secure your…
👍5❤2
Forkspacer: создание fork’ов ресурсов и данных Kubernetes
Всем привет!
Forkspacer – open-source решение, которое позволяет создавать fork для окружения разработки. При этом «копируется» не только конфигурация, но и данные.
Может быть полезно, например, для случаев, когда каждой ветке разрабатываемого приложения нужно свое собственное окружение.
Помимо этого, Forkspacer позволяет реализовать гибернацию используемых ресурсов. Например, на случай, когда они не используются.
Настраивается достаточно просто – необходимо создать ресурс
После этого Forkspacer создаст нужное окружение, с которым можно работать не опасаясь, что в исходном «что-то сломается».
Подробнее об архитектуре, установке, настройке, сценариях использования и примерах можно узнать в GitHub-репозитории проекта или в официальной документации.
Всем привет!
Forkspacer – open-source решение, которое позволяет создавать fork для окружения разработки. При этом «копируется» не только конфигурация, но и данные.
Может быть полезно, например, для случаев, когда каждой ветке разрабатываемого приложения нужно свое собственное окружение.
Помимо этого, Forkspacer позволяет реализовать гибернацию используемых ресурсов. Например, на случай, когда они не используются.
Настраивается достаточно просто – необходимо создать ресурс
Workspace, в котором указать какой namespace мы хотим «скопировать» и указать что именно нужно копировать (ресурсы, данные и т.д.).После этого Forkspacer создаст нужное окружение, с которым можно работать не опасаясь, что в исходном «что-то сломается».
Подробнее об архитектуре, установке, настройке, сценариях использования и примерах можно узнать в GitHub-репозитории проекта или в официальной документации.
GitHub
GitHub - forkspacer/forkspacer: Forkspacer is a Kubernetes-native tool for orchestrating and managing workspaces with modular environments…
Forkspacer is a Kubernetes-native tool for orchestrating and managing workspaces with modular environments and automation hooks. - forkspacer/forkspacer
🔥5
Использование LLM для поиска IDOR
Всем привет!
Команда Semgrep продолжает анализировать возможность использования LLM для поиска ИБ-дефектов в исходном коде.
В «первой части» ребята использовали Claude Code и OpenAI Codex для анализа популярных open-source Python-приложений.
На этот раз они сфокусировались на одном определенном типе – IDOR. Перечень LLM остался без изменений.
Если кратко, то:
🍭 Всего было найдено 15 true positive и 93 false positive
🍭 Claude показал лучшие результаты
🍭 LLM хорошо показали себя в поиске простых ИБ-дефектов и не так хорошо в примерах со сложной логикой (например, когда проверка полномочий осуществлялась в разных файлах)
🍭 Возможно, что prompt engineering сможет улучшить полученные результаты
Больше деталей можно найти в статье. Включая информацию о том, почему для LLM поиск IDOR не такая тривиальная задача.
В результате имеем очень хорошее исследование, с которым мы рекомендуем вам ознакомиться ☺️
Всем привет!
Команда Semgrep продолжает анализировать возможность использования LLM для поиска ИБ-дефектов в исходном коде.
В «первой части» ребята использовали Claude Code и OpenAI Codex для анализа популярных open-source Python-приложений.
На этот раз они сфокусировались на одном определенном типе – IDOR. Перечень LLM остался без изменений.
Если кратко, то:
🍭 Всего было найдено 15 true positive и 93 false positive
🍭 Claude показал лучшие результаты
🍭 LLM хорошо показали себя в поиске простых ИБ-дефектов и не так хорошо в примерах со сложной логикой (например, когда проверка полномочий осуществлялась в разных файлах)
🍭 Возможно, что prompt engineering сможет улучшить полученные результаты
Больше деталей можно найти в статье. Включая информацию о том, почему для LLM поиск IDOR не такая тривиальная задача.
В результате имеем очень хорошее исследование, с которым мы рекомендуем вам ознакомиться ☺️
Semgrep
Can LLMs Detect IDORs? Understanding the Boundaries of AI Reasoning
Exploring how well LLMs and AI coding agents detect security flaws like IDOR, comparing sonnet and codex models for accuracy.
👍4
IDOR Testing Checklist
Всем привет!
Продолжение темы предыдущего поста про IDOR. На случай, если вы не доверяете LLM и хотите во всем разобраться сами.
По ссылке можно найти checklist, в котором собраны рекомендации о том, что, как и когда стоит проверять для выявления IDOR.
Материал структурирован по разделам:
🍭 Setup & Target Identification
🍭 Direct ID Substitution & Enumeration
🍭 Path and URL Manipulation Bypasses
🍭 Logic & Endpoint Bypasses
🍭 Parameter & Body Abuse и не только
Для каждого раздела описано то, на что стоит обратить внимание.
Внушительный материал, в котором точно можно найти что-то интересное для себя.
Всем привет!
Продолжение темы предыдущего поста про IDOR. На случай, если вы не доверяете LLM и хотите во всем разобраться сами.
По ссылке можно найти checklist, в котором собраны рекомендации о том, что, как и когда стоит проверять для выявления IDOR.
Материал структурирован по разделам:
🍭 Setup & Target Identification
🍭 Direct ID Substitution & Enumeration
🍭 Path and URL Manipulation Bypasses
🍭 Logic & Endpoint Bypasses
🍭 Parameter & Body Abuse и не только
Для каждого раздела описано то, на что стоит обратить внимание.
Внушительный материал, в котором точно можно найти что-то интересное для себя.
GitHub
vulnerabilities/Ultimate Checklist/Ultimate IDOR Testing Checklist.md at main · mrdesoky0/vulnerabilities
Contribute to mrdesoky0/vulnerabilities development by creating an account on GitHub.
Chaos Engineering и MCP
Всем привет!
Цель Chaos Engineering – создание устойчивых систем. Проведение экспериментов с целью понимания скорости - локализации, реагирования и исправления проблемы.
Однако, реализация Chaos Engineering далеко не всегда (если вообще) – простая задача. Начиная от банального «а вдруг я что-то сломаю» и заканчивая технической сложностью реализации.
Именно вторую проблему пытается решить LitmusChaos MCP Server. Он позволяет проводить различные эксперименты.
Например:
🍭 Удаление frontend pod’ов
🍭 Изменение network latency
🍭 Создание http probe, которая проверяет API каждые 5 секунд
🍭 Получение статистики о (не) удавшихся экспериментах и не только
Никакого кода, никаких YAML или иных конфигурационных файлов, только «живое общение на обычном языке».
Больше о том, что может LitmusChaos MCP Server можно узнать в статье или в GitHub-репозитории проекта.
А стали бы вы использовать (доверять) подобную систему? Или все это слишком непонятно, рискованно, неконтролируемо?
Всем привет!
Цель Chaos Engineering – создание устойчивых систем. Проведение экспериментов с целью понимания скорости - локализации, реагирования и исправления проблемы.
Однако, реализация Chaos Engineering далеко не всегда (если вообще) – простая задача. Начиная от банального «а вдруг я что-то сломаю» и заканчивая технической сложностью реализации.
Именно вторую проблему пытается решить LitmusChaos MCP Server. Он позволяет проводить различные эксперименты.
Например:
🍭 Удаление frontend pod’ов
🍭 Изменение network latency
🍭 Создание http probe, которая проверяет API каждые 5 секунд
🍭 Получение статистики о (не) удавшихся экспериментах и не только
Никакого кода, никаких YAML или иных конфигурационных файлов, только «живое общение на обычном языке».
Больше о том, что может LitmusChaos MCP Server можно узнать в статье или в GitHub-репозитории проекта.
А стали бы вы использовать (доверять) подобную систему? Или все это слишком непонятно, рискованно, неконтролируемо?
DEV Community
Making Chaos Engineering Accessible: Introducing the LitmusChaos MCP Server
Chaos Engineering has always been about one thing: building resilient systems. But let’s be honest,...
Open Source Malware
Всем привет!
Open Source Malware – общедоступный ресурс, на котором собрана информация по вредоносным пакетам, которые можно найти в NPM и PyPi.
Также на сайте присутствует информация о Malicious Repositories, которые могут содержать криптомайнеры, использоваться для скама и/или фишинга.
Для каждого пакета приводится информация:
🍭 Описание угрозы
🍭 Детали payload’a (доступно только после регистрации через GitHub)
🍭 Информация о пакете и «издателе»
🍭 Ссылки на полезные ресурсы
На текущий момент база содержит информацию о 60к+ NPM пакетах, 9,7k PyPi пакетах и о 14 репозиториях.
Взаимодействовать с ресурсом можно и через API, описание которого представлено на сайте.
Всем привет!
Open Source Malware – общедоступный ресурс, на котором собрана информация по вредоносным пакетам, которые можно найти в NPM и PyPi.
Также на сайте присутствует информация о Malicious Repositories, которые могут содержать криптомайнеры, использоваться для скама и/или фишинга.
Для каждого пакета приводится информация:
🍭 Описание угрозы
🍭 Детали payload’a (доступно только после регистрации через GitHub)
🍭 Информация о пакете и «издателе»
🍭 Ссылки на полезные ресурсы
На текущий момент база содержит информацию о 60к+ NPM пакетах, 9,7k PyPi пакетах и о 14 репозиториях.
Взаимодействовать с ресурсом можно и через API, описание которого представлено на сайте.
Opensourcemalware
OpenSourceMalware.com - Community Threat Intelligence
Security professionals sharing intelligence on malicious packages, repositories, and CDNs to protect the open source ecosystem.
👍6
OWASP Top 10: 2025
Всем привет!
6 ноября 2025 года был представлен OWASP Top Ten 2025 Release Candidate.
Изменений получилось достаточно и даже появилось кое-что новое.
Сейчас список выглядит следующим образом:
🍭 A01:2025 - Broken Access Control // сюда «переехал» SSRF из OWASP Top 10 2021
🍭 A02:2025 - Security Misconfiguration //⬆️
🍭 A03:2025 - Software Supply Chain Failures // Новое
🍭 A04:2025 - Cryptographic Failures //⬇️
🍭 A05:2025 - Injection //⬇️
🍭 A06:2025 - Insecure Design //⬇️
🍭 A07:2025 - Authentication Failures
🍭 A08:2025 - Software or Data Integrity Failures
🍭 A09:2025 - Logging & Alerting Failures
🍭 A10:2025 - Mishandling of Exceptional Conditions // Новое
A03:2025 - Software Supply Chain Failures стала «расширением» A06:2021-Vulnerable and Outdated Components, демонстрируя, что безопасность цепочки поставки не ограничивается только управлением версиями используемых компонент.
A10:2025 - Mishandling of Exceptional Conditions – новая категория, «внутри» которой 24 CWE, связанных с некорректной обработкой ошибок, логическими и иными ошибками, которые могут привести к неконтролируемому поведению системы.
Подробнее с изменениями можно ознакомиться по ссылке.
Всем привет!
6 ноября 2025 года был представлен OWASP Top Ten 2025 Release Candidate.
Изменений получилось достаточно и даже появилось кое-что новое.
Сейчас список выглядит следующим образом:
🍭 A01:2025 - Broken Access Control // сюда «переехал» SSRF из OWASP Top 10 2021
🍭 A02:2025 - Security Misconfiguration //
🍭 A03:2025 - Software Supply Chain Failures // Новое
🍭 A04:2025 - Cryptographic Failures //
🍭 A05:2025 - Injection //
🍭 A06:2025 - Insecure Design //
🍭 A07:2025 - Authentication Failures
🍭 A08:2025 - Software or Data Integrity Failures
🍭 A09:2025 - Logging & Alerting Failures
🍭 A10:2025 - Mishandling of Exceptional Conditions // Новое
A03:2025 - Software Supply Chain Failures стала «расширением» A06:2021-Vulnerable and Outdated Components, демонстрируя, что безопасность цепочки поставки не ограничивается только управлением версиями используемых компонент.
A10:2025 - Mishandling of Exceptional Conditions – новая категория, «внутри» которой 24 CWE, связанных с некорректной обработкой ошибок, логическими и иными ошибками, которые могут привести к неконтролируемому поведению системы.
Подробнее с изменениями можно ознакомиться по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤2
Metis: AI-Powered Security Code Review
Всем привет!
Metis – open-source утилита, разработанная командой продуктовой безопасности Arm. Его основная задача состоит в том, чтобы упростить процесс code review и улучшить код с точки зрения ИБ.
В отличие от «традиционных» линтеров и SAST-инструментов, Metis работает за счет «понимания кода и того, что происходит».
На текущий момент он поддерживает C, C++, Python, Rust и TypeScript. Конечно же, для его работы нужен LLM provider, в качестве которого выступает OpenAI.
Возможно расширить набор используемых prompts. На текущий момент доступны:
По результатам работы Metis может сгенерировать отчет (JSON). Также, судя по коду, доступен (или скоро будет доступен) вариант с SARIF.
Больше про утилиту (установка, настройка, запуск и т.д.) можно прочесть в GitHub-репозитории.
Всем привет!
Metis – open-source утилита, разработанная командой продуктовой безопасности Arm. Его основная задача состоит в том, чтобы упростить процесс code review и улучшить код с точки зрения ИБ.
В отличие от «традиционных» линтеров и SAST-инструментов, Metis работает за счет «понимания кода и того, что происходит».
На текущий момент он поддерживает C, C++, Python, Rust и TypeScript. Конечно же, для его работы нужен LLM provider, в качестве которого выступает OpenAI.
Возможно расширить набор используемых prompts. На текущий момент доступны:
security_review, validation_review и security_review_checks. По результатам работы Metis может сгенерировать отчет (JSON). Также, судя по коду, доступен (или скоро будет доступен) вариант с SARIF.
Больше про утилиту (установка, настройка, запуск и т.д.) можно прочесть в GitHub-репозитории.
GitHub
GitHub - arm/metis: Metis is an open-source, AI-driven tool for deep security code review
Metis is an open-source, AI-driven tool for deep security code review - arm/metis
👍3❤1
Вот и все, ребята! Ingress NGINX
Всем привет!
Небольшой, но очень важный пост. Объявлено «завершение поддержки» Ingress NGINX: «Best-effort maintenance will continue until March 2026».
После этой даты не будет релизов, исправления багов, обновлений и т.д.
Рекомендация простая – начать миграцию на «одну из множества» альтернатив. Например, на Gateway API.
Подробнее с новостью можно ознакомиться в блоге Kubernetes.
Всем привет!
Небольшой, но очень важный пост. Объявлено «завершение поддержки» Ingress NGINX: «Best-effort maintenance will continue until March 2026».
После этой даты не будет релизов, исправления багов, обновлений и т.д.
Рекомендация простая – начать миграцию на «одну из множества» альтернатив. Например, на Gateway API.
Подробнее с новостью можно ознакомиться в блоге Kubernetes.
Kubernetes Contributors
Ingress NGINX Retirement: What You Need to Know
To prioritize the safety and security of the ecosystem, Kubernetes SIG Network and the Security Response Committee are announcing the upcoming retirement of Ingress NGINX. Best-effort maintenance will continue until March 2026. Afterward, there will be no…
😭7👍2💔1