AV API Gateway
Всем привет!
По ссылке можно ознакомиться с AV API Gateway – open-source решением, реализованным на Go и gin-gonic.
Функциональности достаточно много:
🍭 Core Gateway Features. HTTP Routing, gRPC Routing, WebSocket Proy и т.д.
🍭 Security & TLS. Поддержка TLS 1.2/1.3, mTLS, интеграция с Vault и т.д.
🍭 AuthN/AuthZ. Поддержка разных способов аутентификации – JWT, API Key, mTLS, OIDC и т.д.
🍭 Traffic Management. Балансировка нагрузк, управление сессиями, зеркалирование трафика и тд.
🍭 Caching. In-memory Cache, работа с Redis и т.д.
С полным перечнем возможностей AV API Gateway можно ознакомиться в GitHub-репозитории проекта.
Помимо этого, в нем есть большое количество примеров по настройке и эксплуатации решения.
Выглядит всё это достаточно интересно, рекомендуем к ознакомлению!
Всем привет!
По ссылке можно ознакомиться с AV API Gateway – open-source решением, реализованным на Go и gin-gonic.
Функциональности достаточно много:
🍭 Core Gateway Features. HTTP Routing, gRPC Routing, WebSocket Proy и т.д.
🍭 Security & TLS. Поддержка TLS 1.2/1.3, mTLS, интеграция с Vault и т.д.
🍭 AuthN/AuthZ. Поддержка разных способов аутентификации – JWT, API Key, mTLS, OIDC и т.д.
🍭 Traffic Management. Балансировка нагрузк, управление сессиями, зеркалирование трафика и тд.
🍭 Caching. In-memory Cache, работа с Redis и т.д.
С полным перечнем возможностей AV API Gateway можно ознакомиться в GitHub-репозитории проекта.
Помимо этого, в нем есть большое количество примеров по настройке и эксплуатации решения.
Выглядит всё это достаточно интересно, рекомендуем к ознакомлению!
GitHub
GitHub - vyrodovalexey/avapigw
Contribute to vyrodovalexey/avapigw development by creating an account on GitHub.
❤4👍1🤔1👌1
Security as Code Platform
Всем привет!
Для каждого языка используется собственный анализатор, у каждого из которых свой набор правил, разрозненная инфраструктура и потребность в покрытии сотен репозиториев.
Если вам знакома (или интересна) эту ситуация, то рекомендуем прочесть статью от Plaid.
В ней ребята описывают собственный опыт создания Security as Code-платформы.
Если кратко, то они унифицировали свои средства анализа и перешли к централизованной модели по принципу Security Pipeline as Code.
Есть набор шаблонов, который можно и нужно подключать для анализа репозиториев. Проверки разные – от инкрементального анализа PR до полноценных сканирований.
Но интересно другое – как именно ребята создавали свою платформу. Для этого собрались все части «триады».
Каждый выполнял свою часть:
🍭 Безопасность определяла «что»: какие сканеры, какие правила, на какие события
🍭 Инфраструктура помогала с вопросом «как»: использование Terraform, контейнеризации и оркестрации
🍭 Специалисты по конвейеру сборки помогали с проработкой конфигурации и оптимизации времени работы задач по ИБ в конвейере
🍭 Разработчики «оценивали» насколько все понятно и удобно для дальнейшего устранения ИБ-дефектов
И именно такая совместная работа позволила получить весьма и весьма плодотворные результаты.
Еще хочется отметить «рефлексию» в конце статьи, в которой описано, как и что можно было сделать лучше: от настройки сканеров до сокращения количества ложных срабатываний.
Рекомендуем к прочтению!
Всем привет!
Для каждого языка используется собственный анализатор, у каждого из которых свой набор правил, разрозненная инфраструктура и потребность в покрытии сотен репозиториев.
Если вам знакома (или интересна) эту ситуация, то рекомендуем прочесть статью от Plaid.
В ней ребята описывают собственный опыт создания Security as Code-платформы.
Если кратко, то они унифицировали свои средства анализа и перешли к централизованной модели по принципу Security Pipeline as Code.
Есть набор шаблонов, который можно и нужно подключать для анализа репозиториев. Проверки разные – от инкрементального анализа PR до полноценных сканирований.
Но интересно другое – как именно ребята создавали свою платформу. Для этого собрались все части «триады».
Каждый выполнял свою часть:
🍭 Безопасность определяла «что»: какие сканеры, какие правила, на какие события
🍭 Инфраструктура помогала с вопросом «как»: использование Terraform, контейнеризации и оркестрации
🍭 Специалисты по конвейеру сборки помогали с проработкой конфигурации и оптимизации времени работы задач по ИБ в конвейере
🍭 Разработчики «оценивали» насколько все понятно и удобно для дальнейшего устранения ИБ-дефектов
И именно такая совместная работа позволила получить весьма и весьма плодотворные результаты.
Еще хочется отметить «рефлексию» в конце статьи, в которой описано, как и что можно было сделать лучше: от настройки сканеров до сокращения количества ложных срабатываний.
Рекомендуем к прочтению!
Plaid
Security as a platform: Codifying scans, signals, and guardrails | Plaid
At Plaid, we started treating security controls as infrastructure that enforces the same checks across every repo by default.
❤1
Изменение Snyk Security Database
Всем привет!
Недавно Snyk сделали некоторое «объединение»: данные из Snyk Advisor теперь стали доступны на security.snyk.io.
Если перевести на более понятный язык, то теперь полная информация о пакетах (как для разработчиков, так и для ИБ-специалистов) стала доступна в «едином окне».
Например:
🍭 Общий «уровень здоровья» пакета (с учетом категорий: безопасность, популярность, поддержка, сообщество)
🍭 Сведения о частоте коммитов
🍭 Информация об уязвимостях (с привязкой к версиям)
🍭 Сведения о количестве скачиваний пакета и т.д.
«Работает» не только для языков программирования, но и для пакетов операционных систем.
Всем привет!
Недавно Snyk сделали некоторое «объединение»: данные из Snyk Advisor теперь стали доступны на security.snyk.io.
Если перевести на более понятный язык, то теперь полная информация о пакетах (как для разработчиков, так и для ИБ-специалистов) стала доступна в «едином окне».
Например:
🍭 Общий «уровень здоровья» пакета (с учетом категорий: безопасность, популярность, поддержка, сообщество)
🍭 Сведения о частоте коммитов
🍭 Информация об уязвимостях (с привязкой к версиям)
🍭 Сведения о количестве скачиваний пакета и т.д.
«Работает» не только для языков программирования, но и для пакетов операционных систем.
Find detailed information and remediation guidance for vulnerabilities and misconfigurations.
Snyk Vulnerability Database | Snyk
Observability Conf
Всем привет!
19 марта в Москве состоится Observability Conf — отраслевая конференция для всех, кто отвечает за надежность и предсказуемость цифровых сервисов.
В программе — выступления от VK, Ozon, «Газпромбанка», «Лаборатории Касперского», «Инфосистемы Джет», X5 Digital, Proto, «Лаборатории Числитель», «Петрович.Тех» и других. А участие — бесплатное.
Эксперты обсудят как:
🍭 Работать с мониторингом как в условиях ограниченных ресурсов и отсутствия зрелых процессов, так и в масштабных корпоративных инфраструктурах.
🍭 Перейти от набора метрик к осмысленной наблюдаемости.
🍭 Выстроить эффективную работу с инцидентами.
🍭 Использовать современные инструменты, включая ИИ, для повышения устойчивости систем.
Места на офлайн ограничены площадкой, успевайте зарегистрироваться.
Всем привет!
19 марта в Москве состоится Observability Conf — отраслевая конференция для всех, кто отвечает за надежность и предсказуемость цифровых сервисов.
В программе — выступления от VK, Ozon, «Газпромбанка», «Лаборатории Касперского», «Инфосистемы Джет», X5 Digital, Proto, «Лаборатории Числитель», «Петрович.Тех» и других. А участие — бесплатное.
Эксперты обсудят как:
🍭 Работать с мониторингом как в условиях ограниченных ресурсов и отсутствия зрелых процессов, так и в масштабных корпоративных инфраструктурах.
🍭 Перейти от набора метрик к осмысленной наблюдаемости.
🍭 Выстроить эффективную работу с инцидентами.
🍭 Использовать современные инструменты, включая ИИ, для повышения устойчивости систем.
Места на офлайн ограничены площадкой, успевайте зарегистрироваться.
🔥5❤2🥰2
Astrological CPU Scheduler
Всем привет!
Человек не всесилен, многое ему неподвластно и иногда требуется помощь «свыше»! Для этого, например, можно воспользоваться Astrological CPU Scheduler.
Эта эзотерическая утилита позволяет реализовывать CPU Scheduling Decisions с учётом расположения планет, особенностей знаков зодиака и иных ключевых астрологических принципов.
Из значимого функционала можно выделить:
🍭 Точный расчет положения планет
🍭 Знание особенностей знаков зодиака
🍭 Определение ретроградности
🍭 Анализ фаз луны
🍭 Учет влияния огненных и водных знаков
Всё это и даже больше используется для того, чтобы сделать корректные настройки.
Если этого недостаточно, то можно обратиться к ресурсу, в котором представлен календарь, подсказывающий лучшие даты для «деплоя в продакшен» с разбивкой по знакам зодиака.
P.S. Да, просто шуточный пятничный пост 😅(или нет?! 🤔) .
Серьезное в нём лишь то, что мы желаем вам стабильных релизов, безопасных обновлений и удачных «деплоев в продакшен» 🤗.
С пятницей!!! Отличного всем вечера и прекрасных выходных!!!
Всем привет!
Человек не всесилен, многое ему неподвластно и иногда требуется помощь «свыше»! Для этого, например, можно воспользоваться Astrological CPU Scheduler.
Эта эзотерическая утилита позволяет реализовывать CPU Scheduling Decisions с учётом расположения планет, особенностей знаков зодиака и иных ключевых астрологических принципов.
Из значимого функционала можно выделить:
🍭 Точный расчет положения планет
🍭 Знание особенностей знаков зодиака
🍭 Определение ретроградности
🍭 Анализ фаз луны
🍭 Учет влияния огненных и водных знаков
Всё это и даже больше используется для того, чтобы сделать корректные настройки.
Если этого недостаточно, то можно обратиться к ресурсу, в котором представлен календарь, подсказывающий лучшие даты для «деплоя в продакшен» с разбивкой по знакам зодиака.
P.S. Да, просто шуточный пятничный пост 😅
Серьезное в нём лишь то, что мы желаем вам стабильных релизов, безопасных обновлений и удачных «деплоев в продакшен» 🤗.
С пятницей!!! Отличного всем вечера и прекрасных выходных!!!
GitHub
GitHub - zampierilucas/scx_horoscope: Astrological CPU Scheduler
Astrological CPU Scheduler. Contribute to zampierilucas/scx_horoscope development by creating an account on GitHub.
😁9👎2❤1🥴1🤨1🙈1
SITF: SDLC Infrastructure Threat Framework.
Всем привет!
SITF – открытый framework от Wiz, который может быть использован для защиты элементов ИТ-инфраструктуры, которые используются при разработке ПО.
Он «разбит» на 5 основных разделов:
🍭 Endpoint/IDE
🍭 VCS
🍭 CI/CD
🍭 Registry
🍭 Production/Cloud
Для каждого раздела описаны техники атак (суммарно их более 70 на текущий момент): указан перечень рисков и возможные способы контроля.
Еще одной интересной особенностью является Attack Flow Visualizer. Он представляет из себя интерактивный drag’n’drop инструмент для визуализации атак.
Работает примерно так: берем компоненты из разделов (IDE, VCS, CI/CD и т.д.), добавляем техники и создаем сценарии атак.
В качестве примера в статье рассмотрен Shai-Hulud-2.0 и его анализ с использованием SITF.
А если и этого мало, то можно скачать SITF в качестве «плаката» и хоть на стену вешай!
Всем привет!
SITF – открытый framework от Wiz, который может быть использован для защиты элементов ИТ-инфраструктуры, которые используются при разработке ПО.
Он «разбит» на 5 основных разделов:
🍭 Endpoint/IDE
🍭 VCS
🍭 CI/CD
🍭 Registry
🍭 Production/Cloud
Для каждого раздела описаны техники атак (суммарно их более 70 на текущий момент): указан перечень рисков и возможные способы контроля.
Еще одной интересной особенностью является Attack Flow Visualizer. Он представляет из себя интерактивный drag’n’drop инструмент для визуализации атак.
Работает примерно так: берем компоненты из разделов (IDE, VCS, CI/CD и т.д.), добавляем техники и создаем сценарии атак.
В качестве примера в статье рассмотрен Shai-Hulud-2.0 и его анализ с использованием SITF.
А если и этого мало, то можно скачать SITF в качестве «плаката» и хоть на стену вешай!
wiz.io
SITF: The First Threat Framework for SDLC Infrastructure | Wiz Blog
Introducing SITF, an open framework to map and block supply chain attacks. Visualize threats across Endpoint, VCS, CI/CD, and Registry with 70+ techniques.
❤5👍4
MCP Scan
Всем привет!
MCP Scan – open-source утилита, которая позволяет выявлять уязвимости при работе с агентами, MCP и навыками (skills).
Доступен следующий функционал:
🍭 Автоматическое обнаружение конфигурации MCP, агентов и навыков
🍭 Идентификация Prompt Injection, Tool Poisoning атак и Toxic Flaws в MCP
🍭 Анализ агентов и навыков для выявления Prompt Injection, вредоносного ПО, работы с чувствительными данными и не только
Работает с Claude, Cursor, Windsurf и не только. Устанавливается и запускается просто, сразу готов к работе.
Можно запускать в нескольких режимах. Пассивное сканирование – запускается по запросу и предоставляет результат. Активный proxy – MCP Scan анализирует все взаимодействие и сразу сообщает о подозрительной активности.
Больше про утилиту можно прочесть в GitHub-репозитории или в официальной документации.
Всем привет!
MCP Scan – open-source утилита, которая позволяет выявлять уязвимости при работе с агентами, MCP и навыками (skills).
Доступен следующий функционал:
🍭 Автоматическое обнаружение конфигурации MCP, агентов и навыков
🍭 Идентификация Prompt Injection, Tool Poisoning атак и Toxic Flaws в MCP
🍭 Анализ агентов и навыков для выявления Prompt Injection, вредоносного ПО, работы с чувствительными данными и не только
Работает с Claude, Cursor, Windsurf и не только. Устанавливается и запускается просто, сразу готов к работе.
Можно запускать в нескольких режимах. Пассивное сканирование – запускается по запросу и предоставляет результат. Активный proxy – MCP Scan анализирует все взаимодействие и сразу сообщает о подозрительной активности.
Больше про утилиту можно прочесть в GitHub-репозитории или в официальной документации.
GitHub
GitHub - snyk/agent-scan: Security scanner for AI agents, MCP servers and agent skills.
Security scanner for AI agents, MCP servers and agent skills. - snyk/agent-scan
❤3👍2
CVE Quality-by-Design Manifesto
Всем привет!
Что такое CVE известно всем и каждому, кто имеет отношение к информационной безопасности. Многие годы собиралась информация об уязвимостях.
И каждый год их становится только больше (на этом сайте удобно посмотреть ретроспективу, начиная с 1999 года и до нынешнего времени).
По мнению Автора статьи пора переходить от «количества» к «качеству», ведь то, что мы имеем сейчас (далеко) не всегда может быть полезно и применимо.
Автор предлагает сфокусироваться на:
🍭 Completeness. Заполнение данных о всех возможных полях, предоставление понятной информации о том, «что это такое и почему это плохо»
🍭 Accuracy. Гомогенность данных, отсутствие устаревшей информации, точность описания
🍭 Timeliness. Своевременное внесение информации об уязвимостях и изменении в них
🍭 Utility. Определение того, насколько полезна запись для принятия решений
🍭 Enrichment. Предоставление дополнительной информации об уязвимости (помимо референсов)
Да, с одной стороны, звучит как «за всё хорошее против всего плохого».
С другой – с таким ростом количества записей о CVE инструмент может стать достаточно бесполезным, если не предпринимать никаких усилий для того, чтобы сделать данные более целесообразными для использования.
А вы согласны с Автором статьи или всё итак нормально и вполне себе работает без каких-либо изменений?
Всем привет!
Что такое CVE известно всем и каждому, кто имеет отношение к информационной безопасности. Многие годы собиралась информация об уязвимостях.
И каждый год их становится только больше (на этом сайте удобно посмотреть ретроспективу, начиная с 1999 года и до нынешнего времени).
По мнению Автора статьи пора переходить от «количества» к «качеству», ведь то, что мы имеем сейчас (далеко) не всегда может быть полезно и применимо.
Автор предлагает сфокусироваться на:
🍭 Completeness. Заполнение данных о всех возможных полях, предоставление понятной информации о том, «что это такое и почему это плохо»
🍭 Accuracy. Гомогенность данных, отсутствие устаревшей информации, точность описания
🍭 Timeliness. Своевременное внесение информации об уязвимостях и изменении в них
🍭 Utility. Определение того, насколько полезна запись для принятия решений
🍭 Enrichment. Предоставление дополнительной информации об уязвимости (помимо референсов)
Да, с одной стороны, звучит как «за всё хорошее против всего плохого».
С другой – с таким ростом количества записей о CVE инструмент может стать достаточно бесполезным, если не предпринимать никаких усилий для того, чтобы сделать данные более целесообразными для использования.
А вы согласны с Автором статьи или всё итак нормально и вполне себе работает без каких-либо изменений?
Medium
CVE Quality-by-Design Manifesto
Introduction
👍1
Раннее обнаружение «CVE» с использованием LLM
Всем привет!
Регистрация CVE требует некоторого времени. При этом, информация о том, что именно было исправлено в проекте, для которого регистрируется CVE, доступна сильно раньше. Её только надо найти.
Бывают и более пугающие случаи: когда было сделано обновление по устранению уязвимости, но CVE никогда не присваивалась. Однако, информация об обновлении все равно доступна в GitHub-репозитории (для open-source проектов). И все точно также – её только надо найти.
Именно этой задачей и озаботился Автор статьи. С использованием LLM он создал GitHub Action, который на периодической основе анализировал заданный перечень open-source репозиториев.
Для этого извлекались новые коммиты и передавались в Claude, задачей которого было определить – устранялись ли уязвимости или нет.
Однако, такой подход создавал как false positive, так и false negative-результаты.
Для устранения этого недостатка Автор немного адаптировал подход и используемые инструкции (все в явном виде указано в статье).
В итоге все вышло «не без шероховатостей», но тем не менее – PoC был реализован и с его результатами можно ознакомиться по ссылке.
Зато! Это решает задачу получения информации об исправлении уязвимости максимально рано, не дожидаясь публикации CVE, обновления баз данных анализаторов и т.д.
Всем привет!
Регистрация CVE требует некоторого времени. При этом, информация о том, что именно было исправлено в проекте, для которого регистрируется CVE, доступна сильно раньше. Её только надо найти.
Бывают и более пугающие случаи: когда было сделано обновление по устранению уязвимости, но CVE никогда не присваивалась. Однако, информация об обновлении все равно доступна в GitHub-репозитории (для open-source проектов). И все точно также – её только надо найти.
Именно этой задачей и озаботился Автор статьи. С использованием LLM он создал GitHub Action, который на периодической основе анализировал заданный перечень open-source репозиториев.
Для этого извлекались новые коммиты и передавались в Claude, задачей которого было определить – устранялись ли уязвимости или нет.
Однако, такой подход создавал как false positive, так и false negative-результаты.
Для устранения этого недостатка Автор немного адаптировал подход и используемые инструкции (все в явном виде указано в статье).
В итоге все вышло «не без шероховатостей», но тем не менее – PoC был реализован и с его результатами можно ознакомиться по ссылке.
Зато! Это решает задачу получения информации об исправлении уязвимости максимально рано, не дожидаясь публикации CVE, обновления баз данных анализаторов и т.д.
spaceraccoon.dev
Discovering Negative-Days with LLM Workflows
It’s no longer just about reverse-engineering n-days. You can detect vulnerabilities in open-source repositories before a CVE is published - or even if they’re never published. Here’s how I built an LLM workflow to detect “negative-days” and “never-days”.
👍4❤2
🔐 Sec в DevSecOps: ищем баланс безопасности в процессе разработки!
Всем привет!👋
🤔 Знакомая ситуация? Безопасность важна, но не хочется превращать процесс разработки в бесконечную череду проверок и согласований!
В нашей новой статье разобрали самые острые вопросы интеграции безопасности в DevOps:
📊 4 подхода к внедрению Security в процессы разработки
🛠 Shift-Down Security — плюсы и минусы революционного подхода
🏢 Платформенный подход как способ облегчить жизнь разработчикам
🔥 Главное — найти баланс между защитой приложения и комфортом команды!
🔍 Читайте подробнее в посте на Хабре
Всем привет!👋
🤔 Знакомая ситуация? Безопасность важна, но не хочется превращать процесс разработки в бесконечную череду проверок и согласований!
В нашей новой статье разобрали самые острые вопросы интеграции безопасности в DevOps:
📊 4 подхода к внедрению Security в процессы разработки
🛠 Shift-Down Security — плюсы и минусы революционного подхода
🏢 Платформенный подход как способ облегчить жизнь разработчикам
🔥 Главное — найти баланс между защитой приложения и комфортом команды!
🔍 Читайте подробнее в посте на Хабре
Хабр
Sec в DevSecOps — в чем разница подходов
Привет, Хабр! Меня зовут Рома Корчагин, я занимаюсь внедрением процессов безопасной разработки в продукте «Штурвал» от «Лаборатории Числитель». Наша платформа позволяет создавать сотни кластеров и...
10🔥6❤4👍2
Новый релиз JCSF!
Чудеса случаются, если в них верить! Доказательство этому - новый релиз JCSF! 😊
В этой версии мы:
1. Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
2. Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
3. Для соответствующих практик указали маппинг на Угрозы Безопасности Информации (УБИ) ФСТЭК
4. Причесали дизайн и внешний вид
В планах:
1. Сделать расчет FTE на задачи ИБ в средах контейнеризации и контейнерной оркестрации
2. Актуализировать связь контролей (вкладка "Контроли") и соответствующих групп практик
Если у вас есть вопросы или непреодолимое желание поучаствовать в развитии Jet Container Security Framework (JCSF) - обязательно пишите нам здесь в комментариях или на почту dso@jet.su
Чудеса случаются, если в них верить! Доказательство этому - новый релиз JCSF! 😊
В этой версии мы:
1. Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
2. Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
3. Для соответствующих практик указали маппинг на Угрозы Безопасности Информации (УБИ) ФСТЭК
4. Причесали дизайн и внешний вид
В планах:
1. Сделать расчет FTE на задачи ИБ в средах контейнеризации и контейнерной оркестрации
2. Актуализировать связь контролей (вкладка "Контроли") и соответствующих групп практик
Если у вас есть вопросы или непреодолимое желание поучаствовать в развитии Jet Container Security Framework (JCSF) - обязательно пишите нам здесь в комментариях или на почту dso@jet.su
GitHub
Release 13.02.2026 · Jet-Security-Team/Jet-Container-Security-Framework
Список изменений:
Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
Для соответствующих практ...
Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
Для соответствующих практ...
15🔥7❤🔥2🥰1
Guardon: анализ манифестов… в браузере!
Всем привет!
Для анализа Kubernetes-манифестов на соответствие лучшим практикам по информационной безопасности есть «проверенные временем» решения.
Например, Kyverno и OPA Gatekeeper.
Работают они перед тем, как ресурс будет создан в кластере. Хочется левее? И это можно. Например, в CI/CD. Еще левее? И да, так тоже можно!
Например, с использованием Guardon. Он представляет из себя браузерное расширение (Chrome), которое анализирует просматриваемые манифесты «прямо на месте».
Что он может:
🍭 Создавать правила с использованием собственного конструктора
🍭 Находить «проблемные места» в открытом манифесте
🍭 Предлагать решение найденных недостатков (генерация обновлённого yaml)
🍭 Копировать полученный результат для дальнейшей работы
🍭 Объяснять почему так (не) надо делать
🍭 Импортировать правила из Kyverno (пока что реализован прототип)
🍭Даже тёмная тема есть!!!
Удобно, что конструктор правил позволяет добавить необходимую информацию «от себя».
Посмотреть на него «в действии» можно в ролике, указанном в репозитории.
Да, достаточно молодая разработка, но выглядит достаточно интересно и подход может применяться на практике.
А вы бы стали использовать нечто подобное?
Всем привет!
Для анализа Kubernetes-манифестов на соответствие лучшим практикам по информационной безопасности есть «проверенные временем» решения.
Например, Kyverno и OPA Gatekeeper.
Работают они перед тем, как ресурс будет создан в кластере. Хочется левее? И это можно. Например, в CI/CD. Еще левее? И да, так тоже можно!
Например, с использованием Guardon. Он представляет из себя браузерное расширение (Chrome), которое анализирует просматриваемые манифесты «прямо на месте».
Что он может:
🍭 Создавать правила с использованием собственного конструктора
🍭 Находить «проблемные места» в открытом манифесте
🍭 Предлагать решение найденных недостатков (генерация обновлённого yaml)
🍭 Копировать полученный результат для дальнейшей работы
🍭 Объяснять почему так (не) надо делать
🍭 Импортировать правила из Kyverno (пока что реализован прототип)
🍭
Удобно, что конструктор правил позволяет добавить необходимую информацию «от себя».
Посмотреть на него «в действии» можно в ролике, указанном в репозитории.
Да, достаточно молодая разработка, но выглядит достаточно интересно и подход может применяться на практике.
А вы бы стали использовать нечто подобное?
GitHub
GitHub - sajal-n/guardon: Browser extension for Kubernetes YAML guardrails – security & compliance linting directly in GitHub/GitLab.
Browser extension for Kubernetes YAML guardrails – security & compliance linting directly in GitHub/GitLab. - sajal-n/guardon
❤3👍1