KubeVirt_InfoSec_Audit.pdf
785 KB
ИБ-аудит KubeVirt
Всем привет!
KubeVirt – open-source проект, представляющий из себя «надстройку» над Kubernetes, которая позволяет управлять виртуальными машинами вместе с контейнерами в одном кластере.
И да, даже для open-source проектов проводят внешние аудиты по информационной безопасности.
KubeVirt не стал исключением. Его исследовала команда Quarkslab.
Было найдено:
🍭 1 High-уязвимость (Arbitrary Host File Read and Write)
🍭 7 Medium-уязвимостей (Authentication Bypass in Kubernetes Aggregation Layer, Arbitrary Container File Read и т.д.)
🍭 4 Low-уязвимости (Host devices exposed by KubeVirt are accessible clusterwide, Lack of Common Name (CN) Verification in TLS Certificates)
🍭 3 Info-уязвимости (Crash Triggered by Unoptimized Build, Unhandled Exception Leads to a Crash)
Для эксплуатации большинства уязвимостей требуется выполнение ряда условий: например, повышенные привилегии, доступ на узел кластера и т.д.
Больше подробностей можно найти в прилагаемом файле (~ 108 страниц).
А как вы считаете? Open-source более/менее безопасен, чем коммерческое ПО? Или нет никакой разницы?
Всем привет!
KubeVirt – open-source проект, представляющий из себя «надстройку» над Kubernetes, которая позволяет управлять виртуальными машинами вместе с контейнерами в одном кластере.
И да, даже для open-source проектов проводят внешние аудиты по информационной безопасности.
KubeVirt не стал исключением. Его исследовала команда Quarkslab.
Было найдено:
🍭 1 High-уязвимость (Arbitrary Host File Read and Write)
🍭 7 Medium-уязвимостей (Authentication Bypass in Kubernetes Aggregation Layer, Arbitrary Container File Read и т.д.)
🍭 4 Low-уязвимости (Host devices exposed by KubeVirt are accessible clusterwide, Lack of Common Name (CN) Verification in TLS Certificates)
🍭 3 Info-уязвимости (Crash Triggered by Unoptimized Build, Unhandled Exception Leads to a Crash)
Для эксплуатации большинства уязвимостей требуется выполнение ряда условий: например, повышенные привилегии, доступ на узел кластера и т.д.
Больше подробностей можно найти в прилагаемом файле (~ 108 страниц).
А как вы считаете? Open-source более/менее безопасен, чем коммерческое ПО? Или нет никакой разницы?
👍6
Ingress NGINX -> HAProxy Kubernetes Ingress Controller
Всем привет!
Недавно мы писали об утилите, которая позволит упростить переход с Ingress NGINX на Gateway API. Это не единственный вариант.
Но что, если вы не хотите использовать Gateway API, а хотите остаться на Ingress? В этом случае вам может быть полезен вот этот сайт.
Помимо базовой информации о том, как установить новый Ingress Controller, сайт поможет адаптировать существующие Ingress NGINX-конфигурации на HAProxy-вариант.
Например, за счет «подсказок» о том, как выглядит та или иная аннотация в обоих вариантах и что нужно изменить.
Помимо этого, сервис предоставляет ссылки на документацию, чтобы проще было в ней ориентироваться и сразу получат ответ на интересующий вопрос.
«Вишенкой» является набор руководств (tutorial), в которых собраны подобные инструкции о том, как настроить, например, Route HTTP traffic, Load balance traffic, Terminate SSL/TLS и т.д.
Всем привет!
Недавно мы писали об утилите, которая позволит упростить переход с Ingress NGINX на Gateway API. Это не единственный вариант.
Но что, если вы не хотите использовать Gateway API, а хотите остаться на Ingress? В этом случае вам может быть полезен вот этот сайт.
Помимо базовой информации о том, как установить новый Ingress Controller, сайт поможет адаптировать существующие Ingress NGINX-конфигурации на HAProxy-вариант.
Например, за счет «подсказок» о том, как выглядит та или иная аннотация в обоих вариантах и что нужно изменить.
Помимо этого, сервис предоставляет ссылки на документацию, чтобы проще было в ней ориентироваться и сразу получат ответ на интересующий вопрос.
«Вишенкой» является набор руководств (tutorial), в которых собраны подобные инструкции о том, как настроить, например, Route HTTP traffic, Load balance traffic, Terminate SSL/TLS и т.д.
HAProxy Technologies
Ingress NGINX to HAProxy Kubernetes Ingress Migration
Convert Ingress NGINX configs and annotations to HAProxy Kubernetes Ingress Controller with install steps, examples, and a fast start toolkit.
👍5❤1🔥1
Technology Matrix: альтернативный взгляд на CNCF Landscape
Всем привет!
Если вы хотя бы раз видели CNCF Landscape, то, вероятно, у вас возникало несколько мыслей: «Как тут много всего!» и «А как с этим работать?».
Он развивается, обновляется, решений становится больше и… навигация в нем может быть не самой удобной.
Примерно так решил Автор статьи и сделал собственный вариант – Technology Matrix.
Задача – сделать работу с невероятным количеством технологий более удобной, наглядной и понятной.
Автор разбил все на 7 основных «областей»:
🍭 Skip. Пока не интересует
🍭 Watch. Наблюдение за проектом, чтение release notes и т.д.
🍭 Explore. «Тестирование» - базовая установка и настройка, прохождение различных руководств. Без особого погружения
🍭 Learn. «Продвинутая» версия Explore – более глубокое изучение
🍭 Adopt. Использование в «реальной жизни», готово к промышленной эксплуатации
🍭 Advocate. Евангелизм: не просто использование, но и распространение информации о технологии
🍭 Graveyard.Без комментариев
Для некоторых технологий Автор описывает почему он их использует, что именно ему нравится и почему он остановился на этом варианте.
Больше информации про Technology Matrix можно найти по ссылке.
Возможно, если вы любите структурировать информацию, предложенный подход может вас заинтересовать.
Всем привет!
Если вы хотя бы раз видели CNCF Landscape, то, вероятно, у вас возникало несколько мыслей: «Как тут много всего!» и «А как с этим работать?».
Он развивается, обновляется, решений становится больше и… навигация в нем может быть не самой удобной.
Примерно так решил Автор статьи и сделал собственный вариант – Technology Matrix.
Задача – сделать работу с невероятным количеством технологий более удобной, наглядной и понятной.
Автор разбил все на 7 основных «областей»:
🍭 Skip. Пока не интересует
🍭 Watch. Наблюдение за проектом, чтение release notes и т.д.
🍭 Explore. «Тестирование» - базовая установка и настройка, прохождение различных руководств. Без особого погружения
🍭 Learn. «Продвинутая» версия Explore – более глубокое изучение
🍭 Adopt. Использование в «реальной жизни», готово к промышленной эксплуатации
🍭 Advocate. Евангелизм: не просто использование, но и распространение информации о технологии
🍭 Graveyard.
Для некоторых технологий Автор описывает почему он их использует, что именно ему нравится и почему он остановился на этом варианте.
Больше информации про Technology Matrix можно найти по ссылке.
Возможно, если вы любите структурировать информацию, предложенный подход может вас заинтересовать.
rawkode.academy
Technology Matrix
Rawkode's opinionated guide to cloud native and platform engineering technologies.
👍3
Анализ безопасности приложений с Raptor
Всем привет!
Raptor – open-source проект, использующий Claude Code для проверки безопасности разрабатываемого приложения.
И да – это акроним: Recursive Autonomous Penetration Testing and Observation Robot(если кому-то это интересно 😅) .
Он позволяет:
🍭 Сканировать исходный код с Semgrep и CodeQL
🍭 Проводить fuzzing исполняемых файлов с AFL
🍭 Анализировать идентифицированные ИБ-дефекты с применением LLM
🍭 Генерировать exploits для подтверждения возможности эксплуатации ИБ-дефекта
🍭 Предлагать исправления для устранения ИБ-дефектов
🍭 Создавать отчеты в структурированном формате
Есть 2 режима установки – «самостоятельная» и c использованием devcontainer.
Подробнее об этом и о возможностях Raptor можно узнать в GitHub-репозитории проекта.
Всем привет!
Raptor – open-source проект, использующий Claude Code для проверки безопасности разрабатываемого приложения.
И да – это акроним: Recursive Autonomous Penetration Testing and Observation Robot
Он позволяет:
🍭 Сканировать исходный код с Semgrep и CodeQL
🍭 Проводить fuzzing исполняемых файлов с AFL
🍭 Анализировать идентифицированные ИБ-дефекты с применением LLM
🍭 Генерировать exploits для подтверждения возможности эксплуатации ИБ-дефекта
🍭 Предлагать исправления для устранения ИБ-дефектов
🍭 Создавать отчеты в структурированном формате
Есть 2 режима установки – «самостоятельная» и c использованием devcontainer.
Подробнее об этом и о возможностях Raptor можно узнать в GitHub-репозитории проекта.
GitHub
GitHub - gadievron/raptor: Raptor turns Claude Code into a general-purpose AI offensive/defensive security agent. By using Claude.md…
Raptor turns Claude Code into a general-purpose AI offensive/defensive security agent. By using Claude.md and creating rules, sub-agents, and skills, and orchestrating security tool usage, we confi...
👀1
Kubeterm: GUI для Kubernetes
Всем привет!
Начинаем рабочую неделю с чего-то простого, а именно – Kubeterm. Да, это еще один графический web-интерфейс для Kubernetes.
С его помощью можно:
🍭 Аутентифицироваться в кластере Kubernetes
🍭 Просматривать общую информацию о кластере
🍭 Получать данные о созданных ресурсах
🍭 Управлять ресурсами: создавать, редактировать удалять и т.д. В том числе с использованием Helm
🍭 Искать причины возникших проблем (troubleshooting) через ephemeral-контейнеры
🍭 Реализовывать port-forward и не только
Устанавливается и настраивается быстро, можно сразу использовать. С «внешним видом» можно ознакомиться по ссылке на GitHub-репозиторий.
P.S. Можно установить даже на iOs и Android 😅
Всем привет!
Начинаем рабочую неделю с чего-то простого, а именно – Kubeterm. Да, это еще один графический web-интерфейс для Kubernetes.
С его помощью можно:
🍭 Аутентифицироваться в кластере Kubernetes
🍭 Просматривать общую информацию о кластере
🍭 Получать данные о созданных ресурсах
🍭 Управлять ресурсами: создавать, редактировать удалять и т.д. В том числе с использованием Helm
🍭 Искать причины возникших проблем (troubleshooting) через ephemeral-контейнеры
🍭 Реализовывать port-forward и не только
Устанавливается и настраивается быстро, можно сразу использовать. С «внешним видом» можно ознакомиться по ссылке на GitHub-репозиторий.
P.S. Можно установить даже на iOs и Android 😅
GitHub
GitHub - kbterm/kubeterm: Graphical management tool for kubernetes
Graphical management tool for kubernetes. Contribute to kbterm/kubeterm development by creating an account on GitHub.
SecureCodeChallenges
Всем привет!
По ссылке доступен репозиторий, в котором находится небольшое уязвимое приложение.
Ваша цель – провести его Security Review. Найти все ИБ-дефекты, объяснить насколько они критичны, предложить рекомендации и реализовать «защищенную версию».
«Доступен» следующий набор ИБ-дефектов:
🍭 SQL Injection
🍭 Stored XSS
🍭 Insecure Query Building
🍭 Missing Validation and Sanitization
🍭 Poor Handling of User Input
🍭 Lack of Output Encoding
Приложение создано с использованием Node.js, React, SQLite, Simple REST API. Соответственно, для установки и запуска потребуется Node.js.
Дальше все просто – скачиваем репозиторий, устанавливаем зависимости, запускаем приложение, получаем к нему доступ по порту 3000 и исследуем.
Всем привет!
По ссылке доступен репозиторий, в котором находится небольшое уязвимое приложение.
Ваша цель – провести его Security Review. Найти все ИБ-дефекты, объяснить насколько они критичны, предложить рекомендации и реализовать «защищенную версию».
«Доступен» следующий набор ИБ-дефектов:
🍭 SQL Injection
🍭 Stored XSS
🍭 Insecure Query Building
🍭 Missing Validation and Sanitization
🍭 Poor Handling of User Input
🍭 Lack of Output Encoding
Приложение создано с использованием Node.js, React, SQLite, Simple REST API. Соответственно, для установки и запуска потребуется Node.js.
Дальше все просто – скачиваем репозиторий, устанавливаем зависимости, запускаем приложение, получаем к нему доступ по порту 3000 и исследуем.
GitHub
GitHub - MbankoKevin/SecureCodeChallenges: This repository is for intentionally vulnerable codes. i use this repo to practice secure…
This repository is for intentionally vulnerable codes. i use this repo to practice secure code reviews and better improve my skills as an Appsec Engineer. - MbankoKevin/SecureCodeChallenges
OWASP-AI-Testing-Guide-v1.pdf
6.2 MB
OWASP AI Testing Guide
Всем привет!
Мы не часто пишем про AI, но мимо такого пройти просто невозможно! В ноябре OWASP выпустили AI Testing Guide.
Документ получился очень массивный – около 250 страниц. Скачать его можно в приложении.
Материал «разбит» на 4 основные части:
🍭 Introduction
🍭 Threat Modeling AI Systems
🍭 OWASP AI Testing Guide Framework
🍭 Appendices and References
Самое «мясо» как раз находится в разделе «OWASP AI Testing Guide Framework».
В нем Авторы рассказывают о том, как и что можно проверить в соответствии с OWASP Top 10 для AI.
Описываются цели тестирования, сама суть атаки, примеры, способы минимизации рисков и средства автоматизации, которые могут быть полезны.
Однозначно рекомендуем!
P.S. А как вы смотрите на то, чтобы помимо DevSecOps мы бы еще писали про безопасность ML в этом канале? Если интересно – ставьте 🔥 под постом!
Всем привет!
Мы не часто пишем про AI, но мимо такого пройти просто невозможно! В ноябре OWASP выпустили AI Testing Guide.
Документ получился очень массивный – около 250 страниц. Скачать его можно в приложении.
Материал «разбит» на 4 основные части:
🍭 Introduction
🍭 Threat Modeling AI Systems
🍭 OWASP AI Testing Guide Framework
🍭 Appendices and References
Самое «мясо» как раз находится в разделе «OWASP AI Testing Guide Framework».
В нем Авторы рассказывают о том, как и что можно проверить в соответствии с OWASP Top 10 для AI.
Описываются цели тестирования, сама суть атаки, примеры, способы минимизации рисков и средства автоматизации, которые могут быть полезны.
Однозначно рекомендуем!
P.S. А как вы смотрите на то, чтобы помимо DevSecOps мы бы еще писали про безопасность ML в этом канале? Если интересно – ставьте 🔥 под постом!
🔥41👎4👍1🥱1🥴1
MCP Breach-to-Fix Labs
Всем привет!
По ссылке доступен набор из 9 лабораторных работ, посвященных вопросам безопасности при работе с MCP.
Все сценарии проверены Автором и не являются теоретическими. Они помогут лучше понять «что может пойти не так» при работе с MCP и как сделать лучше.
Доступны такие лабораторные, как:
🍭 Hidden Instructions in Tool Responses
🍭 Log Poisoning Incident Response
🍭 Classic SQL Injection (Stored Prompt)
🍭 Git Command Injection
🍭 Tool Denoscription Poisoning и не только
У каждого сценария есть 2 «режима»: уязвимый и безопасный (hardened-вариант, который остановит атаку).
Запуск – как обычно, через Docker – инструкции можно найти в GitHub-репозитории.
Больше информации о проекте можно найти в статье.
Всем привет!
По ссылке доступен набор из 9 лабораторных работ, посвященных вопросам безопасности при работе с MCP.
Все сценарии проверены Автором и не являются теоретическими. Они помогут лучше понять «что может пойти не так» при работе с MCP и как сделать лучше.
Доступны такие лабораторные, как:
🍭 Hidden Instructions in Tool Responses
🍭 Log Poisoning Incident Response
🍭 Classic SQL Injection (Stored Prompt)
🍭 Git Command Injection
🍭 Tool Denoscription Poisoning и не только
У каждого сценария есть 2 «режима»: уязвимый и безопасный (hardened-вариант, который остановит атаку).
Запуск – как обычно, через Docker – инструкции можно найти в GitHub-репозитории.
Больше информации о проекте можно найти в статье.
GitHub
GitHub - PawelKozy/mcp-breach-to-fix-labs: Hands-on MCP security lab: 10 real incidents reproduced with vulnerable/secure MCP servers…
Hands-on MCP security lab: 10 real incidents reproduced with vulnerable/secure MCP servers, pytest regressions, and Claude/Cursor battle-tested exploit walkthroughs - PawelKozy/mcp-breach-to-fix-labs
❤3👍3
Building Secure AI Applications.pdf
2.7 MB
Building Secure AI Applications
Всем привет!
В приложении можно скачать небольшой методический материал (~ 40 страниц), посвященный тому, на что обращать внимание при обеспечении ИБ при разработке приложений, использующих AI.
Материал основан на OWASP Top 10 для LLM:
🍭 LLM01 Prompt Injection
🍭 LLM02 Sensitive Information Disclosure
🍭 LLM03 Supply Chain
🍭 LLM04 Data and Model Poisoning
🍭 LLM05 Improper Output Handling и не только
Для каждого раздела описаны общие рекомендации по повышению уровня защищенности и перечень инструментов, которые можно использовать для автоматизации.
Дополнительно в материале представлена концептуальная архитектура с соотношением рассматриваемых угроз.
Всем привет!
В приложении можно скачать небольшой методический материал (~ 40 страниц), посвященный тому, на что обращать внимание при обеспечении ИБ при разработке приложений, использующих AI.
Материал основан на OWASP Top 10 для LLM:
🍭 LLM01 Prompt Injection
🍭 LLM02 Sensitive Information Disclosure
🍭 LLM03 Supply Chain
🍭 LLM04 Data and Model Poisoning
🍭 LLM05 Improper Output Handling и не только
Для каждого раздела описаны общие рекомендации по повышению уровня защищенности и перечень инструментов, которые можно использовать для автоматизации.
Дополнительно в материале представлена концептуальная архитектура с соотношением рассматриваемых угроз.
👍7
Использование LLM для анализа PR
Всем привет!
Как быть, если надо анализировать около 10,000 PR, создаваемых еженедельно? Вариант ответа на этот вопрос можно найти в статье от DataDog.
В ней Авторы описывают свой опыт создания BewAIre – специализированного инструмента, который позволяет определить является ли PR вредоносным.
Команда разбила задачу на 3 блока:
🍭 Управление набором данных (dataset, создание, актуализация)
🍭 Работа с «контекстными окнами» и большими размерами данных
🍭 Сокращение ложных срабатываний
Каждый из разделов очень хорошо описан в статье, включая перечень подходов, используемых Командой.
В результате у них получилось достичь приличных показателей: > 99.3% - точность, 0.03% - FP, 100% - покрытие.
Больше подробностей, включая описание «подводных камней» и lessons learned, можно найти в самой статье.
Всем привет!
Как быть, если надо анализировать около 10,000 PR, создаваемых еженедельно? Вариант ответа на этот вопрос можно найти в статье от DataDog.
В ней Авторы описывают свой опыт создания BewAIre – специализированного инструмента, который позволяет определить является ли PR вредоносным.
Команда разбила задачу на 3 блока:
🍭 Управление набором данных (dataset, создание, актуализация)
🍭 Работа с «контекстными окнами» и большими размерами данных
🍭 Сокращение ложных срабатываний
Каждый из разделов очень хорошо описан в статье, включая перечень подходов, используемых Командой.
В результате у них получилось достичь приличных показателей: > 99.3% - точность, 0.03% - FP, 100% - покрытие.
Больше подробностей, включая описание «подводных камней» и lessons learned, можно найти в самой статье.
Datadog
Detecting malicious pull requests at scale with LLMs | Datadog
Learn how Datadog’s SDLC Security team built an LLM-powered system to detect malicious pull requests at scale—without sacrificing developer velocity.
❤4
Всем привет!
Обсудили на подкасте с коллегами из Crosstech Solutions Group безопасную разработку, DevSecOps, безопасность контейнерной инфраструктуры и боли-печали всех тех, кто этим занимается. Приятного просмотра (или прослушивания ☺️)
Яндекс Музыка
ВК
Rutube
Обсудили на подкасте с коллегами из Crosstech Solutions Group безопасную разработку, DevSecOps, безопасность контейнерной инфраструктуры и боли-печали всех тех, кто этим занимается. Приятного просмотра (или прослушивания ☺️)
Яндекс Музыка
ВК
Rutube
VK Видео
CrossCheck 2.0: DevSecOps — от кода до контейнера
В этом выпуске: ✦ Что мотивирует компании внедрять DevSecOps? ✦ Почему все массово переходят на контейнерную разработку? ✦И как выбрать решение по защите контейнерных сред, чтобы не ошибиться? Участники выпуска: — Руслан Субхангулов - Директор по продукту…
23❤15👍9🥰5🔥3