Technology Matrix: альтернативный взгляд на CNCF Landscape
Всем привет!
Если вы хотя бы раз видели CNCF Landscape, то, вероятно, у вас возникало несколько мыслей: «Как тут много всего!» и «А как с этим работать?».
Он развивается, обновляется, решений становится больше и… навигация в нем может быть не самой удобной.
Примерно так решил Автор статьи и сделал собственный вариант – Technology Matrix.
Задача – сделать работу с невероятным количеством технологий более удобной, наглядной и понятной.
Автор разбил все на 7 основных «областей»:
🍭 Skip. Пока не интересует
🍭 Watch. Наблюдение за проектом, чтение release notes и т.д.
🍭 Explore. «Тестирование» - базовая установка и настройка, прохождение различных руководств. Без особого погружения
🍭 Learn. «Продвинутая» версия Explore – более глубокое изучение
🍭 Adopt. Использование в «реальной жизни», готово к промышленной эксплуатации
🍭 Advocate. Евангелизм: не просто использование, но и распространение информации о технологии
🍭 Graveyard.Без комментариев
Для некоторых технологий Автор описывает почему он их использует, что именно ему нравится и почему он остановился на этом варианте.
Больше информации про Technology Matrix можно найти по ссылке.
Возможно, если вы любите структурировать информацию, предложенный подход может вас заинтересовать.
Всем привет!
Если вы хотя бы раз видели CNCF Landscape, то, вероятно, у вас возникало несколько мыслей: «Как тут много всего!» и «А как с этим работать?».
Он развивается, обновляется, решений становится больше и… навигация в нем может быть не самой удобной.
Примерно так решил Автор статьи и сделал собственный вариант – Technology Matrix.
Задача – сделать работу с невероятным количеством технологий более удобной, наглядной и понятной.
Автор разбил все на 7 основных «областей»:
🍭 Skip. Пока не интересует
🍭 Watch. Наблюдение за проектом, чтение release notes и т.д.
🍭 Explore. «Тестирование» - базовая установка и настройка, прохождение различных руководств. Без особого погружения
🍭 Learn. «Продвинутая» версия Explore – более глубокое изучение
🍭 Adopt. Использование в «реальной жизни», готово к промышленной эксплуатации
🍭 Advocate. Евангелизм: не просто использование, но и распространение информации о технологии
🍭 Graveyard.
Для некоторых технологий Автор описывает почему он их использует, что именно ему нравится и почему он остановился на этом варианте.
Больше информации про Technology Matrix можно найти по ссылке.
Возможно, если вы любите структурировать информацию, предложенный подход может вас заинтересовать.
rawkode.academy
Technology Matrix
Rawkode's opinionated guide to cloud native and platform engineering technologies.
👍3
Анализ безопасности приложений с Raptor
Всем привет!
Raptor – open-source проект, использующий Claude Code для проверки безопасности разрабатываемого приложения.
И да – это акроним: Recursive Autonomous Penetration Testing and Observation Robot(если кому-то это интересно 😅) .
Он позволяет:
🍭 Сканировать исходный код с Semgrep и CodeQL
🍭 Проводить fuzzing исполняемых файлов с AFL
🍭 Анализировать идентифицированные ИБ-дефекты с применением LLM
🍭 Генерировать exploits для подтверждения возможности эксплуатации ИБ-дефекта
🍭 Предлагать исправления для устранения ИБ-дефектов
🍭 Создавать отчеты в структурированном формате
Есть 2 режима установки – «самостоятельная» и c использованием devcontainer.
Подробнее об этом и о возможностях Raptor можно узнать в GitHub-репозитории проекта.
Всем привет!
Raptor – open-source проект, использующий Claude Code для проверки безопасности разрабатываемого приложения.
И да – это акроним: Recursive Autonomous Penetration Testing and Observation Robot
Он позволяет:
🍭 Сканировать исходный код с Semgrep и CodeQL
🍭 Проводить fuzzing исполняемых файлов с AFL
🍭 Анализировать идентифицированные ИБ-дефекты с применением LLM
🍭 Генерировать exploits для подтверждения возможности эксплуатации ИБ-дефекта
🍭 Предлагать исправления для устранения ИБ-дефектов
🍭 Создавать отчеты в структурированном формате
Есть 2 режима установки – «самостоятельная» и c использованием devcontainer.
Подробнее об этом и о возможностях Raptor можно узнать в GitHub-репозитории проекта.
GitHub
GitHub - gadievron/raptor: Raptor turns Claude Code into a general-purpose AI offensive/defensive security agent. By using Claude.md…
Raptor turns Claude Code into a general-purpose AI offensive/defensive security agent. By using Claude.md and creating rules, sub-agents, and skills, and orchestrating security tool usage, we confi...
👀1
Kubeterm: GUI для Kubernetes
Всем привет!
Начинаем рабочую неделю с чего-то простого, а именно – Kubeterm. Да, это еще один графический web-интерфейс для Kubernetes.
С его помощью можно:
🍭 Аутентифицироваться в кластере Kubernetes
🍭 Просматривать общую информацию о кластере
🍭 Получать данные о созданных ресурсах
🍭 Управлять ресурсами: создавать, редактировать удалять и т.д. В том числе с использованием Helm
🍭 Искать причины возникших проблем (troubleshooting) через ephemeral-контейнеры
🍭 Реализовывать port-forward и не только
Устанавливается и настраивается быстро, можно сразу использовать. С «внешним видом» можно ознакомиться по ссылке на GitHub-репозиторий.
P.S. Можно установить даже на iOs и Android 😅
Всем привет!
Начинаем рабочую неделю с чего-то простого, а именно – Kubeterm. Да, это еще один графический web-интерфейс для Kubernetes.
С его помощью можно:
🍭 Аутентифицироваться в кластере Kubernetes
🍭 Просматривать общую информацию о кластере
🍭 Получать данные о созданных ресурсах
🍭 Управлять ресурсами: создавать, редактировать удалять и т.д. В том числе с использованием Helm
🍭 Искать причины возникших проблем (troubleshooting) через ephemeral-контейнеры
🍭 Реализовывать port-forward и не только
Устанавливается и настраивается быстро, можно сразу использовать. С «внешним видом» можно ознакомиться по ссылке на GitHub-репозиторий.
P.S. Можно установить даже на iOs и Android 😅
GitHub
GitHub - kbterm/kubeterm: Graphical management tool for kubernetes
Graphical management tool for kubernetes. Contribute to kbterm/kubeterm development by creating an account on GitHub.
SecureCodeChallenges
Всем привет!
По ссылке доступен репозиторий, в котором находится небольшое уязвимое приложение.
Ваша цель – провести его Security Review. Найти все ИБ-дефекты, объяснить насколько они критичны, предложить рекомендации и реализовать «защищенную версию».
«Доступен» следующий набор ИБ-дефектов:
🍭 SQL Injection
🍭 Stored XSS
🍭 Insecure Query Building
🍭 Missing Validation and Sanitization
🍭 Poor Handling of User Input
🍭 Lack of Output Encoding
Приложение создано с использованием Node.js, React, SQLite, Simple REST API. Соответственно, для установки и запуска потребуется Node.js.
Дальше все просто – скачиваем репозиторий, устанавливаем зависимости, запускаем приложение, получаем к нему доступ по порту 3000 и исследуем.
Всем привет!
По ссылке доступен репозиторий, в котором находится небольшое уязвимое приложение.
Ваша цель – провести его Security Review. Найти все ИБ-дефекты, объяснить насколько они критичны, предложить рекомендации и реализовать «защищенную версию».
«Доступен» следующий набор ИБ-дефектов:
🍭 SQL Injection
🍭 Stored XSS
🍭 Insecure Query Building
🍭 Missing Validation and Sanitization
🍭 Poor Handling of User Input
🍭 Lack of Output Encoding
Приложение создано с использованием Node.js, React, SQLite, Simple REST API. Соответственно, для установки и запуска потребуется Node.js.
Дальше все просто – скачиваем репозиторий, устанавливаем зависимости, запускаем приложение, получаем к нему доступ по порту 3000 и исследуем.
GitHub
GitHub - MbankoKevin/SecureCodeChallenges: This repository is for intentionally vulnerable codes. i use this repo to practice secure…
This repository is for intentionally vulnerable codes. i use this repo to practice secure code reviews and better improve my skills as an Appsec Engineer. - MbankoKevin/SecureCodeChallenges
OWASP-AI-Testing-Guide-v1.pdf
6.2 MB
OWASP AI Testing Guide
Всем привет!
Мы не часто пишем про AI, но мимо такого пройти просто невозможно! В ноябре OWASP выпустили AI Testing Guide.
Документ получился очень массивный – около 250 страниц. Скачать его можно в приложении.
Материал «разбит» на 4 основные части:
🍭 Introduction
🍭 Threat Modeling AI Systems
🍭 OWASP AI Testing Guide Framework
🍭 Appendices and References
Самое «мясо» как раз находится в разделе «OWASP AI Testing Guide Framework».
В нем Авторы рассказывают о том, как и что можно проверить в соответствии с OWASP Top 10 для AI.
Описываются цели тестирования, сама суть атаки, примеры, способы минимизации рисков и средства автоматизации, которые могут быть полезны.
Однозначно рекомендуем!
P.S. А как вы смотрите на то, чтобы помимо DevSecOps мы бы еще писали про безопасность ML в этом канале? Если интересно – ставьте 🔥 под постом!
Всем привет!
Мы не часто пишем про AI, но мимо такого пройти просто невозможно! В ноябре OWASP выпустили AI Testing Guide.
Документ получился очень массивный – около 250 страниц. Скачать его можно в приложении.
Материал «разбит» на 4 основные части:
🍭 Introduction
🍭 Threat Modeling AI Systems
🍭 OWASP AI Testing Guide Framework
🍭 Appendices and References
Самое «мясо» как раз находится в разделе «OWASP AI Testing Guide Framework».
В нем Авторы рассказывают о том, как и что можно проверить в соответствии с OWASP Top 10 для AI.
Описываются цели тестирования, сама суть атаки, примеры, способы минимизации рисков и средства автоматизации, которые могут быть полезны.
Однозначно рекомендуем!
P.S. А как вы смотрите на то, чтобы помимо DevSecOps мы бы еще писали про безопасность ML в этом канале? Если интересно – ставьте 🔥 под постом!
🔥41👎4👍1🥱1🥴1
MCP Breach-to-Fix Labs
Всем привет!
По ссылке доступен набор из 9 лабораторных работ, посвященных вопросам безопасности при работе с MCP.
Все сценарии проверены Автором и не являются теоретическими. Они помогут лучше понять «что может пойти не так» при работе с MCP и как сделать лучше.
Доступны такие лабораторные, как:
🍭 Hidden Instructions in Tool Responses
🍭 Log Poisoning Incident Response
🍭 Classic SQL Injection (Stored Prompt)
🍭 Git Command Injection
🍭 Tool Denoscription Poisoning и не только
У каждого сценария есть 2 «режима»: уязвимый и безопасный (hardened-вариант, который остановит атаку).
Запуск – как обычно, через Docker – инструкции можно найти в GitHub-репозитории.
Больше информации о проекте можно найти в статье.
Всем привет!
По ссылке доступен набор из 9 лабораторных работ, посвященных вопросам безопасности при работе с MCP.
Все сценарии проверены Автором и не являются теоретическими. Они помогут лучше понять «что может пойти не так» при работе с MCP и как сделать лучше.
Доступны такие лабораторные, как:
🍭 Hidden Instructions in Tool Responses
🍭 Log Poisoning Incident Response
🍭 Classic SQL Injection (Stored Prompt)
🍭 Git Command Injection
🍭 Tool Denoscription Poisoning и не только
У каждого сценария есть 2 «режима»: уязвимый и безопасный (hardened-вариант, который остановит атаку).
Запуск – как обычно, через Docker – инструкции можно найти в GitHub-репозитории.
Больше информации о проекте можно найти в статье.
GitHub
GitHub - PawelKozy/mcp-breach-to-fix-labs: Hands-on MCP security lab: 10 real incidents reproduced with vulnerable/secure MCP servers…
Hands-on MCP security lab: 10 real incidents reproduced with vulnerable/secure MCP servers, pytest regressions, and Claude/Cursor battle-tested exploit walkthroughs - PawelKozy/mcp-breach-to-fix-labs
❤3👍3
Building Secure AI Applications.pdf
2.7 MB
Building Secure AI Applications
Всем привет!
В приложении можно скачать небольшой методический материал (~ 40 страниц), посвященный тому, на что обращать внимание при обеспечении ИБ при разработке приложений, использующих AI.
Материал основан на OWASP Top 10 для LLM:
🍭 LLM01 Prompt Injection
🍭 LLM02 Sensitive Information Disclosure
🍭 LLM03 Supply Chain
🍭 LLM04 Data and Model Poisoning
🍭 LLM05 Improper Output Handling и не только
Для каждого раздела описаны общие рекомендации по повышению уровня защищенности и перечень инструментов, которые можно использовать для автоматизации.
Дополнительно в материале представлена концептуальная архитектура с соотношением рассматриваемых угроз.
Всем привет!
В приложении можно скачать небольшой методический материал (~ 40 страниц), посвященный тому, на что обращать внимание при обеспечении ИБ при разработке приложений, использующих AI.
Материал основан на OWASP Top 10 для LLM:
🍭 LLM01 Prompt Injection
🍭 LLM02 Sensitive Information Disclosure
🍭 LLM03 Supply Chain
🍭 LLM04 Data and Model Poisoning
🍭 LLM05 Improper Output Handling и не только
Для каждого раздела описаны общие рекомендации по повышению уровня защищенности и перечень инструментов, которые можно использовать для автоматизации.
Дополнительно в материале представлена концептуальная архитектура с соотношением рассматриваемых угроз.
👍7
Использование LLM для анализа PR
Всем привет!
Как быть, если надо анализировать около 10,000 PR, создаваемых еженедельно? Вариант ответа на этот вопрос можно найти в статье от DataDog.
В ней Авторы описывают свой опыт создания BewAIre – специализированного инструмента, который позволяет определить является ли PR вредоносным.
Команда разбила задачу на 3 блока:
🍭 Управление набором данных (dataset, создание, актуализация)
🍭 Работа с «контекстными окнами» и большими размерами данных
🍭 Сокращение ложных срабатываний
Каждый из разделов очень хорошо описан в статье, включая перечень подходов, используемых Командой.
В результате у них получилось достичь приличных показателей: > 99.3% - точность, 0.03% - FP, 100% - покрытие.
Больше подробностей, включая описание «подводных камней» и lessons learned, можно найти в самой статье.
Всем привет!
Как быть, если надо анализировать около 10,000 PR, создаваемых еженедельно? Вариант ответа на этот вопрос можно найти в статье от DataDog.
В ней Авторы описывают свой опыт создания BewAIre – специализированного инструмента, который позволяет определить является ли PR вредоносным.
Команда разбила задачу на 3 блока:
🍭 Управление набором данных (dataset, создание, актуализация)
🍭 Работа с «контекстными окнами» и большими размерами данных
🍭 Сокращение ложных срабатываний
Каждый из разделов очень хорошо описан в статье, включая перечень подходов, используемых Командой.
В результате у них получилось достичь приличных показателей: > 99.3% - точность, 0.03% - FP, 100% - покрытие.
Больше подробностей, включая описание «подводных камней» и lessons learned, можно найти в самой статье.
Datadog
Detecting malicious pull requests at scale with LLMs | Datadog
Learn how Datadog’s SDLC Security team built an LLM-powered system to detect malicious pull requests at scale—without sacrificing developer velocity.
❤4
Всем привет!
Обсудили на подкасте с коллегами из Crosstech Solutions Group безопасную разработку, DevSecOps, безопасность контейнерной инфраструктуры и боли-печали всех тех, кто этим занимается. Приятного просмотра (или прослушивания ☺️)
Яндекс Музыка
ВК
Rutube
Обсудили на подкасте с коллегами из Crosstech Solutions Group безопасную разработку, DevSecOps, безопасность контейнерной инфраструктуры и боли-печали всех тех, кто этим занимается. Приятного просмотра (или прослушивания ☺️)
Яндекс Музыка
ВК
Rutube
VK Видео
CrossCheck 2.0: DevSecOps — от кода до контейнера
В этом выпуске: ✦ Что мотивирует компании внедрять DevSecOps? ✦ Почему все массово переходят на контейнерную разработку? ✦И как выбрать решение по защите контейнерных сред, чтобы не ошибиться? Участники выпуска: — Руслан Субхангулов - Директор по продукту…
23❤16👍10🥰5🔥3
Web LLM attacks
Всем привет!
На сайте Web Security Academy от PortSwigger можно найти небольшой урок, посвященный атакам на LLM.
Он состоит из разделов:
🍭 Overview
🍭 Exploiting LLM APIs, functions and plugins
🍭 Indirect prompt injection
🍭 Leaking sensitive training data
🍭 Defending against LLM attacks
Как и любой материал на в Web Security Academy урок состоит из нескольких частей: теоретическая и практическая.
На текущий момент доступно 4 лабораторные работы: Exploiting LLM APIs with excessive agency, Exploiting vulnerabilities in LLM APIs, Indirect prompt injection и Exploiting insecure output handling in LLMs.
Всем привет!
На сайте Web Security Academy от PortSwigger можно найти небольшой урок, посвященный атакам на LLM.
Он состоит из разделов:
🍭 Overview
🍭 Exploiting LLM APIs, functions and plugins
🍭 Indirect prompt injection
🍭 Leaking sensitive training data
🍭 Defending against LLM attacks
Как и любой материал на в Web Security Academy урок состоит из нескольких частей: теоретическая и практическая.
На текущий момент доступно 4 лабораторные работы: Exploiting LLM APIs with excessive agency, Exploiting vulnerabilities in LLM APIs, Indirect prompt injection и Exploiting insecure output handling in LLMs.
portswigger.net
Web LLM attacks | Web Security Academy
Organizations are rushing to integrate Large Language Models (LLMs) in order to improve their online customer experience. This exposes them to web LLM ...
❤4🔥2
Understanding Linux Capability Sets
Всем привет!
Хорошей практикой для защиты контейнеров (да и не только) является ограничение Linux Capabilities, что позволяет контролировать их (контейнеров) возможности и может быть использовано для сокращения поверхности атаки.
Но как это устроено и что происходит «на самом деле»? Если вам интересно ознакомиться с базовыми концептами, то эта статья для вас!
Автор рассматривает:
🍭 «Типы» capabilities (File, Process)
🍭 Capability Sets (Bounding, Permitted, Effective)
🍭 Процесс «вычисления» итогового набора
🍭 Работа Capabilities в Kubernetes
Статья небольшая, но очень наглядная. Самое то, чтобы понять основы и принципы назначения итогового набора возможностей.
Много примеров, пояснений и диаграмм. Рекомендуем!
Всем привет!
Хорошей практикой для защиты контейнеров (да и не только) является ограничение Linux Capabilities, что позволяет контролировать их (контейнеров) возможности и может быть использовано для сокращения поверхности атаки.
Но как это устроено и что происходит «на самом деле»? Если вам интересно ознакомиться с базовыми концептами, то эта статья для вас!
Автор рассматривает:
🍭 «Типы» capabilities (File, Process)
🍭 Capability Sets (Bounding, Permitted, Effective)
🍭 Процесс «вычисления» итогового набора
🍭 Работа Capabilities в Kubernetes
Статья небольшая, но очень наглядная. Самое то, чтобы понять основы и принципы назначения итогового набора возможностей.
Много примеров, пояснений и диаграмм. Рекомендуем!
utam0k
Beyond Container Capabilities: Understanding Linux Capability Sets
👍4🗿1
React2Shell: подробный разбор
Всем привет!
Все так! Про React2Shell было очень много новостей, много всего написано, но!
Если вы по какой-то причине его пропустили или не было времени разобраться, то эта статья может быть вам полезна.
В ней ребята из Wiz очень подробно разбирают что это такое и как это работает.
Статья содержит разделы:
🍭 Introduction. Общая информация о
🍭 Exploitation in The Wild. Разбор, в котором рассматривается сокращенный пример kill chain
🍭 The Vulnerability Extends Beyond Next.js. Рассуждения о том, к чему еще можно «применить» уязвимость
🍭 PoC Breakdown. Разбор примера реализации атаки
В статье множество деталей, примеров, комментариев и ссылок.
Самое то для того, чтобы разобраться что к чему!
Всем привет!
Все так! Про React2Shell было очень много новостей, много всего написано, но!
Если вы по какой-то причине его пропустили или не было времени разобраться, то эта статья может быть вам полезна.
В ней ребята из Wiz очень подробно разбирают что это такое и как это работает.
Статья содержит разделы:
🍭 Introduction. Общая информация о
🍭 Exploitation in The Wild. Разбор, в котором рассматривается сокращенный пример kill chain
🍭 The Vulnerability Extends Beyond Next.js. Рассуждения о том, к чему еще можно «применить» уязвимость
🍭 PoC Breakdown. Разбор примера реализации атаки
В статье множество деталей, примеров, комментариев и ссылок.
Самое то для того, чтобы разобраться что к чему!
wiz.io
React2Shell Deep Dive: CVE-2025-55182 Exploit Mechanics | Wiz Blog
A technical deep dive into React2Shell (CVE-2025-55182): deserialization bugs, gadget-chains, framework-wide impact, and real-world exploitation data.