Привет!
Простая и КРАЙНЕ НАГЛЯДНАЯ статья, описывающая общее устройство сети Kubernetes.
От создания pod до контроля доступа к нему из-за пределов кластера:
🍭 Создание pod, изолированная сеть, сетевой доступности к контейнеру нет (извне/изнутри кластера)
🍭 «Соединение» pod network и host network, роль CNI в этом процессе, сетевая доступность контейнера на уровне node
🍭 ClusterIP – абстракция, позволяющая общаться с контейнерами, расположенными на разных nodes, сетевая доступность контейнеров на уровне кластера
🍭 NodePort и LoadBalancer – или как сделать контейнеры доступными извне! Описание взаимосвязи сущностей NodePort и LoadBalancer
🍭 Управление «внешней» доступностью при помощи LoadBalancer и Ingress Controller – в чем концептуальная разница и что это такое
Рекомендуем к прочтению! Множество схем, которые «эволюционируют» вместе с увеличением количеством абстракций, что упрощает общее восприятие и помогает разобраться что к чему ☺️
Простая и КРАЙНЕ НАГЛЯДНАЯ статья, описывающая общее устройство сети Kubernetes.
От создания pod до контроля доступа к нему из-за пределов кластера:
🍭 Создание pod, изолированная сеть, сетевой доступности к контейнеру нет (извне/изнутри кластера)
🍭 «Соединение» pod network и host network, роль CNI в этом процессе, сетевая доступность контейнера на уровне node
🍭 ClusterIP – абстракция, позволяющая общаться с контейнерами, расположенными на разных nodes, сетевая доступность контейнеров на уровне кластера
🍭 NodePort и LoadBalancer – или как сделать контейнеры доступными извне! Описание взаимосвязи сущностей NodePort и LoadBalancer
🍭 Управление «внешней» доступностью при помощи LoadBalancer и Ingress Controller – в чем концептуальная разница и что это такое
Рекомендуем к прочтению! Множество схем, которые «эволюционируют» вместе с увеличением количеством абстракций, что упрощает общее восприятие и помогает разобраться что к чему ☺️
Medium
Why and How of Kubernetes Ingress (and Networking)
Services running in Kubernetes are not accessible on a public or private cloud. This is how Kubernetes is designed considering service…
Всем привет!
И мы снова продолжаем делиться с вами полезными ресурсами и тулами, и сегодня у нас в меню небольшой инсайд о весьма интересном решении, ориентированным на срез AppSec.
Турецкий стартап, как бы это ни звучало неожиданно, Kondukto.io разработал и вывел на рынок весьма неплохое решение по направлению Vulnerability Orchestration.
Система ориентирована по большей части на направление Application Security, однако пока еще небольшой вендор, открыто идет на контакт с заказчиками и уверяет что большинство Feature Request'ов может обработать в небольшие сроки.
Итого платформа представляет из себя централизованную SaaS консоль, расположенную в Amazon, интегрируемую с различными toolchain в области DevSecOps и позволяющую быстро и удобно агрегировать обнаруженные уязвимости, репортить их и следить за их жизненным циклом.
Платформа работает как с инфраструктурными уязвимостями полученными от Nessus сканеров и Tenable инсталляций, так и контейнерными и уязвимостями в коде.
Прелесть платформы в том что сама платформа выполняет только функции агрегации и трекинга уязвимостей, источники же она использует как уже имеющиеся в вашей инфраструктуре, так и идущие из коробки тулзы:
🍩 SASD/DAST сканеры кода
🍩 Trivy сканер docker образов
🍩 CLI утилита, интегрированная в пайплайны большинства CI/CD систем
🍩 IAC сканеры
🍩 IAM анализаторы
и многие другие.
Процесс обработки уязвимостей, их репортинга через различные issue трекеры от Jira до тяжелых энтерпрайзных ServiceNow прозрачен, понятен и удобен и позволяет в любой момент времени быстро получить инфромацию о статусе кейса, его истории и выполнять активную обработку задачи. И конечно же, многие действия могут и должны быть автоматизированы.
Ссылка на сайт продукта ниже, и помните: Using Jira doesn't make you Agile 🤪
https://kondukto.io/
И мы снова продолжаем делиться с вами полезными ресурсами и тулами, и сегодня у нас в меню небольшой инсайд о весьма интересном решении, ориентированным на срез AppSec.
Турецкий стартап, как бы это ни звучало неожиданно, Kondukto.io разработал и вывел на рынок весьма неплохое решение по направлению Vulnerability Orchestration.
Система ориентирована по большей части на направление Application Security, однако пока еще небольшой вендор, открыто идет на контакт с заказчиками и уверяет что большинство Feature Request'ов может обработать в небольшие сроки.
Итого платформа представляет из себя централизованную SaaS консоль, расположенную в Amazon, интегрируемую с различными toolchain в области DevSecOps и позволяющую быстро и удобно агрегировать обнаруженные уязвимости, репортить их и следить за их жизненным циклом.
Платформа работает как с инфраструктурными уязвимостями полученными от Nessus сканеров и Tenable инсталляций, так и контейнерными и уязвимостями в коде.
Прелесть платформы в том что сама платформа выполняет только функции агрегации и трекинга уязвимостей, источники же она использует как уже имеющиеся в вашей инфраструктуре, так и идущие из коробки тулзы:
🍩 SASD/DAST сканеры кода
🍩 Trivy сканер docker образов
🍩 CLI утилита, интегрированная в пайплайны большинства CI/CD систем
🍩 IAC сканеры
🍩 IAM анализаторы
и многие другие.
Процесс обработки уязвимостей, их репортинга через различные issue трекеры от Jira до тяжелых энтерпрайзных ServiceNow прозрачен, понятен и удобен и позволяет в любой момент времени быстро получить инфромацию о статусе кейса, его истории и выполнять активную обработку задачи. И конечно же, многие действия могут и должны быть автоматизированы.
Ссылка на сайт продукта ниже, и помните: Using Jira doesn't make you Agile 🤪
https://kondukto.io/
Invicti
Invicti (formerly Netsparker) | Web Application and API Security for Enterprise
Accurate and automated application security testing that scales like no other solution. Secure thousands of websites, applications, and APIs with the industry’s only DAST-first AppSec platform.
Привет!
Tilt – удобный инструмент для разработчиков, который поможет им в поиске ошибок при разработке контейнеров и микросервисных приложений.
Ключевые функции Tilt:
🍭 Отслеживает изменения в исходном коде и автоматически запускает build/push deployments для k8s
🍭 Поддержка приложений, состоящих из нескольких компонент/микросервисов
🍭 Предоставляет web-console, в которой отображается информация о deploy, можно посмотреть логи build и deploy процессов
🍭 Возможно использовать Tilt вместе с Helm charts
При помощи графического интерфейса, кроме получения информации о deploy и логах, можно увидеть в чем именно (в какой сущности) заключается ошибка, что сократит время потенциального debug.
Краткое видео об основных возможностях можно посмотреть вот тут, а небольшую обзорную статью с базовым примером установки и использования – вот тут. И, конечно же, ссылка на repo ☺️
Tilt – удобный инструмент для разработчиков, который поможет им в поиске ошибок при разработке контейнеров и микросервисных приложений.
Ключевые функции Tilt:
🍭 Отслеживает изменения в исходном коде и автоматически запускает build/push deployments для k8s
🍭 Поддержка приложений, состоящих из нескольких компонент/микросервисов
🍭 Предоставляет web-console, в которой отображается информация о deploy, можно посмотреть логи build и deploy процессов
🍭 Возможно использовать Tilt вместе с Helm charts
При помощи графического интерфейса, кроме получения информации о deploy и логах, можно увидеть в чем именно (в какой сущности) заключается ошибка, что сократит время потенциального debug.
Краткое видео об основных возможностях можно посмотреть вот тут, а небольшую обзорную статью с базовым примером установки и использования – вот тут. И, конечно же, ссылка на repo ☺️
YouTube
Tilt In Two Minutes
Do you ever wonder what is the best workflow for developing multi-service applications? Are Docker, Kubernetes, and microservices throwing you for a loop? Check out https://tilt.dev.
Привет!
Интересная статья от SNYK, в которой рассматриваются некоторые их продукты для обеспечения безопасности Python Application.
«Ваш код, используемые open source компоненты, контейнеры, конфигурация элементов ИТ-инфраструктуры (IaC)» - то, что можно проанализировать при помощи решений от SNYK:
🍭 Snyk Code – статический анализатор (SAST)
🍭 Snyk Open Source – анализ open source компоненты (SCA)
🍭 Snyk Container – анализ образов контейнеров на наличие уязвимостей и иных ИБ-дефектов
🍭 Snyk Infrastructure as Code – анализ конфигурационных файлов
Далее в статье приводятся небольшие примеры каждого инструмента и общий обзор того, как вместе они выстраиваются в целостную картину для обеспечения безопасности приложения.
Отдельно хочется отметить Snyk Advisor – бесплатный online ресурс, который можно использовать для выбора оптимальной зависимости или образа контейнера, используемого в качестве базового ☺️
Интересная статья от SNYK, в которой рассматриваются некоторые их продукты для обеспечения безопасности Python Application.
«Ваш код, используемые open source компоненты, контейнеры, конфигурация элементов ИТ-инфраструктуры (IaC)» - то, что можно проанализировать при помощи решений от SNYK:
🍭 Snyk Code – статический анализатор (SAST)
🍭 Snyk Open Source – анализ open source компоненты (SCA)
🍭 Snyk Container – анализ образов контейнеров на наличие уязвимостей и иных ИБ-дефектов
🍭 Snyk Infrastructure as Code – анализ конфигурационных файлов
Далее в статье приводятся небольшие примеры каждого инструмента и общий обзор того, как вместе они выстраиваются в целостную картину для обеспечения безопасности приложения.
Отдельно хочется отметить Snyk Advisor – бесплатный online ресурс, который можно использовать для выбора оптимальной зависимости или образа контейнера, используемого в качестве базового ☺️
Snyk
Getting started with Snyk for secure Python development | Snyk
Snyk makes secure Python development simple. Learn how to secure the code making up your Python app — your own code, the open source libraries you’re pulling in, your containers, and your infrastructure as code (IaC) — by integrating seamlessly into your…
Привет!
Недавно (13.09.2021) появилась новость про CVE-2021-25741 в Kubernetes (получила уровень критичности High), которая позволяет «create a container with subpath volume mounts to access files & directories outside of the volume, including on the host filesystem».
Подверженные версии: v1.22.0 - v1.22.1; v1.21.0 - v1.21.4; v1.20.0 - v1.20.10; <= v1.19.14
Уязвимость можно эксплуатировать, даже если администраторы ограничили возможность mount'a hostPath: «Exploitation allows hostPath-like access without use of the hostPath feature, thus bypassing the restriction».
Рекомендации по профилактике: «Disable the VolumeSubpath feature gate on kubelet and kube-apiserver, and remove any existing Pods making use of the feature».
Больше информации можно найти по ссылке на github, статье и в материалах cve.report
Недавно (13.09.2021) появилась новость про CVE-2021-25741 в Kubernetes (получила уровень критичности High), которая позволяет «create a container with subpath volume mounts to access files & directories outside of the volume, including on the host filesystem».
Подверженные версии: v1.22.0 - v1.22.1; v1.21.0 - v1.21.4; v1.20.0 - v1.20.10; <= v1.19.14
Уязвимость можно эксплуатировать, даже если администраторы ограничили возможность mount'a hostPath: «Exploitation allows hostPath-like access without use of the hostPath feature, thus bypassing the restriction».
Рекомендации по профилактике: «Disable the VolumeSubpath feature gate on kubelet and kube-apiserver, and remove any existing Pods making use of the feature».
Больше информации можно найти по ссылке на github, статье и в материалах cve.report
GitHub
CVE-2021-25741: Symlink Exchange Can Allow Host Filesystem Access · Issue #104980 · kubernetes/kubernetes
A security issue was discovered in Kubernetes where a user may be able to create a container with subpath volume mounts to access files & directories outside of the volume, including on the hos...
Привет!
Можно встретить много вопросов на тему «Как мне стать … (подставить нужное)?», т.к. не всегда понятно, за что браться в первую очередь в нашем мире, полном информации.
Есть интересный вариант пути развития по теме «Web Security Researcher». Он включает в себя несколько Tiers, которые кратко (по сравнению с тем, что приводится в статье – очень (!) кратко) описаны ниже:
🍭 Tier 1: Основы – HTTP, сети, программирование, Bash и Linux
🍭 Tier 2: Использование доступных online ресурсов для обучения и практики, например OWASP Top 10, изучение книг по анализу web – приложений
🍭 Tier 3: Применение полученных навыков на Hack The Box, RootMe, Try Hack Me и т.д.
🍭 Tier 4: «Оттачивание навыков», чтение более сложной литературы по тематике
🍭 Tier 5: Продолжения развития навыков, полученных на предыдущих этапах
Подборка, в первую очередь, привлекла количеством интереснейших материалов, на которые ссылаются ее авторы – от простого «30 дней Python» до «HTTP Desync Attacks.». Возможно, это пригодится и вам!
Можно встретить много вопросов на тему «Как мне стать … (подставить нужное)?», т.к. не всегда понятно, за что браться в первую очередь в нашем мире, полном информации.
Есть интересный вариант пути развития по теме «Web Security Researcher». Он включает в себя несколько Tiers, которые кратко (по сравнению с тем, что приводится в статье – очень (!) кратко) описаны ниже:
🍭 Tier 1: Основы – HTTP, сети, программирование, Bash и Linux
🍭 Tier 2: Использование доступных online ресурсов для обучения и практики, например OWASP Top 10, изучение книг по анализу web – приложений
🍭 Tier 3: Применение полученных навыков на Hack The Box, RootMe, Try Hack Me и т.д.
🍭 Tier 4: «Оттачивание навыков», чтение более сложной литературы по тематике
🍭 Tier 5: Продолжения развития навыков, полученных на предыдущих этапах
Подборка, в первую очередь, привлекла количеством интереснейших материалов, на которые ссылаются ее авторы – от простого «30 дней Python» до «HTTP Desync Attacks.». Возможно, это пригодится и вам!
Привет!
Вышло обновление Connaisseur до версии 2.X.X – инструмента для контроля подписей образов контейнеров. По этой теме мы уже писали ранее (Cosign, Connaisseur)
Одним из самых интересных нововведений стала оптимизация поддержки проверки подписей образов, реализованных разными механизмами:
🍭 Notary
🍭 Docker Content Trust
🍭 Cosign и т.д.
Кроме того, добавили multi key support и скорректировали документацию. Простой use case, где это может пригодится: например, вы используете Cosign для подписи собственных образов, в то время как требуется контролировать подписи образов из Docker Hub, часть которых подписана при помощи Docker Content Trust. Все это можно реализовать при помощи Connaisseur.
Если же вам интересна тематика подписи образов контейнеров и хочется чуть больше деталей – крайне рекомендуем почитать статью «Создание и проверка подписей образов контейнеров: Интеграция Notary V1 и Connaisseur в Kubernetes» на Habr. Емко и по существу! ☺️
Вышло обновление Connaisseur до версии 2.X.X – инструмента для контроля подписей образов контейнеров. По этой теме мы уже писали ранее (Cosign, Connaisseur)
Одним из самых интересных нововведений стала оптимизация поддержки проверки подписей образов, реализованных разными механизмами:
🍭 Notary
🍭 Docker Content Trust
🍭 Cosign и т.д.
Кроме того, добавили multi key support и скорректировали документацию. Простой use case, где это может пригодится: например, вы используете Cosign для подписи собственных образов, в то время как требуется контролировать подписи образов из Docker Hub, часть которых подписана при помощи Docker Content Trust. Все это можно реализовать при помощи Connaisseur.
Если же вам интересна тематика подписи образов контейнеров и хочется чуть больше деталей – крайне рекомендуем почитать статью «Создание и проверка подписей образов контейнеров: Интеграция Notary V1 и Connaisseur в Kubernetes» на Habr. Емко и по существу! ☺️
Medium
Verify Container Image Signatures in Kubernetes using Notary or Cosign or both
Connaisseur v2.0 adds support for multiple keys and signature solutions.
Всем привет!
В этом году ежегодная конференция All Day DevOps пройдет уже очень и очень скоро, а именно – 28 октября! Регистрация, как обычно, бесплатная и доступна по ссылке к самому мероприятию.
Основные tracks в этом году:
🍭 CI/CD – continuous everything
🍭 Modern Infrastructure
🍭 DevSecOps
🍭 Cultural Transformation
🍭 Site Reliability Engineering
🍭 Government
Приятно видеть, что секции посвящены не только технологиям, но и формированию культуры и практик управления, без которых никакая автоматизация не заработает «в полную силу»
В этом году ежегодная конференция All Day DevOps пройдет уже очень и очень скоро, а именно – 28 октября! Регистрация, как обычно, бесплатная и доступна по ссылке к самому мероприятию.
Основные tracks в этом году:
🍭 CI/CD – continuous everything
🍭 Modern Infrastructure
🍭 DevSecOps
🍭 Cultural Transformation
🍭 Site Reliability Engineering
🍭 Government
Приятно видеть, что секции посвящены не только технологиям, но и формированию культуры и практик управления, без которых никакая автоматизация не заработает «в полную силу»
Alldaydevops
All Day DevOps | The World's Largest DevOps Conference
Join us for the largest virtual DevOps conference. Now available on-demand!
24 Hours | 5 tracks | Free Online
24 Hours | 5 tracks | Free Online
Всем привет!
Еще один Admission Webhook, который вместе с политиками, написанными на OPA, позволяет анализировать запускаемые сущности на предмет соответствия политикам ИБ (в том числе преднастроенным) для принятия решения о возможности ее (сущности) создания.
Это MagTape! Перечень доступных политик «из коробки» (отдельно – описание политик):
🍭 Liveness Probe (Check ID: MT1001)
🍭 Readiness Probe (Check ID: MT1002)
🍭 Resource Limits (Check ID: MT1003)
🍭 Resource Requests (Check ID: MT1004)
🍭 Pod Disruption Budget (Check ID: MT1005)
🍭 Istio Port Name/Number Mismatch (Check ID: MT1006)
🍭 Singleton Pods (Check ID: MT1007)
🍭 Host Port (Check ID: MT1008)
🍭 emptyDir Volume (Check ID: MT1009)
🍭 Host Path (Check ID: MT1010)
🍭 Privileged Pod Security Context (Check ID: MT2001)
🍭 Node Port Range (Check ID: MT2002)
Из интересного – позволяет генерировать K8S Events (через
Из важного (!) ⚡️ – требует прав Cluster Admin.
До конца непонятно, чем это отличается от связки OPA/GateKeeper с большим количеством политик, которые можно найти в различных repo. Возможно, что именно native интеграцией со Slack 😊
Еще один Admission Webhook, который вместе с политиками, написанными на OPA, позволяет анализировать запускаемые сущности на предмет соответствия политикам ИБ (в том числе преднастроенным) для принятия решения о возможности ее (сущности) создания.
Это MagTape! Перечень доступных политик «из коробки» (отдельно – описание политик):
🍭 Liveness Probe (Check ID: MT1001)
🍭 Readiness Probe (Check ID: MT1002)
🍭 Resource Limits (Check ID: MT1003)
🍭 Resource Requests (Check ID: MT1004)
🍭 Pod Disruption Budget (Check ID: MT1005)
🍭 Istio Port Name/Number Mismatch (Check ID: MT1006)
🍭 Singleton Pods (Check ID: MT1007)
🍭 Host Port (Check ID: MT1008)
🍭 emptyDir Volume (Check ID: MT1009)
🍭 Host Path (Check ID: MT1010)
🍭 Privileged Pod Security Context (Check ID: MT2001)
🍭 Node Port Range (Check ID: MT2002)
Из интересного – позволяет генерировать K8S Events (через
MAGTAPE_K8S_EVENTS_ENABLED = TRUE) и отправлять уведомления в Slack (native интеграция).Из важного (!) ⚡️ – требует прав Cluster Admin.
До конца непонятно, чем это отличается от связки OPA/GateKeeper с большим количеством политик, которые можно найти в различных repo. Возможно, что именно native интеграцией со Slack 😊
GitHub
GitHub - tmobile/magtape: MagTape Policy-as-Code for Kubernetes
MagTape Policy-as-Code for Kubernetes. Contribute to tmobile/magtape development by creating an account on GitHub.
Привет!
Хорошая статья на тему Namespaces и Cgroups в *nix-based системах для начинающих.
В начале приводится краткое определение терминов:
🍭 Namespaces – возможность «разделения» ресурсов таким образом, что один набор процессов видит одну группу ресурсов, а второй набор – иную группу. Еще проще – при помощи Namespace можно изолировать процессы друг от друга
🍭 Cgroups – возможность управления CPU, памятью, I/O, сетевыми возможностями и т.д.
Дальше приводится краткое описание различных «видов» namespace (User, PID, Network и т.д.) и возможностей Cgroups (Limits, Prioritization, Accounting и т.д.)
Есть наглядные диаграммы, демонстрирующие принципы работы и небольшие примеры создания сущностей ☺️
Хорошая статья на тему Namespaces и Cgroups в *nix-based системах для начинающих.
В начале приводится краткое определение терминов:
🍭 Namespaces – возможность «разделения» ресурсов таким образом, что один набор процессов видит одну группу ресурсов, а второй набор – иную группу. Еще проще – при помощи Namespace можно изолировать процессы друг от друга
🍭 Cgroups – возможность управления CPU, памятью, I/O, сетевыми возможностями и т.д.
Дальше приводится краткое описание различных «видов» namespace (User, PID, Network и т.д.) и возможностей Cgroups (Limits, Prioritization, Accounting и т.д.)
Есть наглядные диаграммы, демонстрирующие принципы работы и небольшие примеры создания сущностей ☺️
Всем привет!
ArgoCD – достаточно популярный инструмент для автоматизации Continuous Deployment, CD. В статье приводится пример того, как некорректная конфигурация приводит к проблемам с безопасностью.
Все достаточно просто – злоумышленник воспользовался доступным извне Argo Dashboard для того, чтобы создать собственный Workflow: YAML, описывающий что и с чем необходимо сделать. Пример – создание контейнера с сryptominer.
Означает ли это, что ArgoCD лучше не использовать? Скорее это означает что все надо корректно настраивать и обращать внимание на практики по информационной безопасности, разрабатываемые, в том числе и maintener’ами проекта
ArgoCD – достаточно популярный инструмент для автоматизации Continuous Deployment, CD. В статье приводится пример того, как некорректная конфигурация приводит к проблемам с безопасностью.
Все достаточно просто – злоумышленник воспользовался доступным извне Argo Dashboard для того, чтобы создать собственный Workflow: YAML, описывающий что и с чем необходимо сделать. Пример – создание контейнера с сryptominer.
Означает ли это, что ArgoCD лучше не использовать? Скорее это означает что все надо корректно настраивать и обращать внимание на практики по информационной безопасности, разрабатываемые, в том числе и maintener’ами проекта
Intezer
New Attacks on Kubernetes via Misconfigured Argo Workflows
Argo Workflows is an open-source, container-native workflow engine designed to run on K8s clusters.
Всем привет!
Недавно команда Falco выпустила ряд интерактивных лабораторных работ, которые позволят познакомиться с решением поближе.
В настоящее время доступны следующие лабораторные работы:
🍭 Lab 1 - Introduction to Falco
🍭 Lab 2 - Falco forensics in K8s
🍭 Lab 3 - Falcosidekick: Threat Response Engine
🍭 Lab 4 - Falco Custom Rules (пока находится в работе)
Все лабораторные бесплатны и занимают немного времени (15-20 минут). Пример содержания первой лабораторной работы:
"В этой лабораторной работе вы изучите основы Falco и как его использовать для идентификации аномалий в контейнере. Вы будете в ролях как атакующего, так и ИБ-специалиста, что позволит убедиться в том, что Falco идентифицировал попытки проникновения"
Надеемся, что проект получит развитие и количество лабораторных работ будет увеличиваться!
Недавно команда Falco выпустила ряд интерактивных лабораторных работ, которые позволят познакомиться с решением поближе.
В настоящее время доступны следующие лабораторные работы:
🍭 Lab 1 - Introduction to Falco
🍭 Lab 2 - Falco forensics in K8s
🍭 Lab 3 - Falcosidekick: Threat Response Engine
🍭 Lab 4 - Falco Custom Rules (пока находится в работе)
Все лабораторные бесплатны и занимают немного времени (15-20 минут). Пример содержания первой лабораторной работы:
"В этой лабораторной работе вы изучите основы Falco и как его использовать для идентификации аномалий в контейнере. Вы будете в ролях как атакующего, так и ИБ-специалиста, что позволит убедиться в том, что Falco идентифицировал попытки проникновения"
Надеемся, что проект получит развитие и количество лабораторных работ будет увеличиваться!
Falco
Falco Hands-on Labs
Learn and practice with Falco in your Browser
Всем привет!
Вышел новый release Trivy, v0.20.0! Главным новшеством, на наш взгляд, является миграция на новую JSON-схему. Подробнее об изменениях схемы можно почитать тут. Возможно, потребуется адаптация/изменение существующего parser.
Кроме этого обновление содержит большое количество изменений и нововведений. Добавлено/улучшено/изменено (детали описаны в changelog):
🍭 Egg/Wheel/requirements.txt для Python. Для requirements пока что поддерживается только «==»
🍭 Gemspec для Ruby
🍭 Package.json для Node.js
🍭 packages.config для NuGet
🍭 В генерируемый отчет добавлено предоставление информации об используемых лицензиях (Alpine и RHEL-based образов, а также для Python, Ruby и Node.js)
И многое другое, включая bugfixes. Подробнее можно почитать в changelog по приведённой ссылке.
Вышел новый release Trivy, v0.20.0! Главным новшеством, на наш взгляд, является миграция на новую JSON-схему. Подробнее об изменениях схемы можно почитать тут. Возможно, потребуется адаптация/изменение существующего parser.
Кроме этого обновление содержит большое количество изменений и нововведений. Добавлено/улучшено/изменено (детали описаны в changelog):
🍭 Egg/Wheel/requirements.txt для Python. Для requirements пока что поддерживается только «==»
🍭 Gemspec для Ruby
🍭 Package.json для Node.js
🍭 packages.config для NuGet
🍭 В генерируемый отчет добавлено предоставление информации об используемых лицензиях (Alpine и RHEL-based образов, а также для Python, Ruby и Node.js)
И многое другое, включая bugfixes. Подробнее можно почитать в changelog по приведённой ссылке.
GitHub
BREAKING CHANGE: migration to new JSON schema · aquasecurity/trivy · Discussion #1050
Overview We will migrate the JSON schema of scan results to a new schema in v0.20.0. You might need to update your JSON parser. v0.19.0 displays a warning as below when you specify -f json. $ trivy...
Всех с пятницей!
Устали от всех этих деплоев, контейнеров, бесконечных обновлений гитлаба и, прости господи, кубернетиса? Тогда сегодня, специально для вас мы представляем вашему вниманию настоящее возвращение к истокам!
А какие "истоки" могут быть более приятные, чем сборка собственного компьютера из комплектующих, закручивание винтиков со всей любовью и подключение многочисленных шлейфиков? Уж если не это, то что тогда?
Встречайте сегодняшнего гостя: Симулятор сборки ПК!
Забудьте на вечер про девопс, ведь тут есть:
🍬 топовые процессоры
🍬 быстрая память
🍬 жирнейшие диски
🍬 водяное охлаждение
🍬 дорогущая графика
🍬 и огромное количество винтиков
Брось девопс, открой бизнес, собирай компьютеры!
Устали от всех этих деплоев, контейнеров, бесконечных обновлений гитлаба и, прости господи, кубернетиса? Тогда сегодня, специально для вас мы представляем вашему вниманию настоящее возвращение к истокам!
А какие "истоки" могут быть более приятные, чем сборка собственного компьютера из комплектующих, закручивание винтиков со всей любовью и подключение многочисленных шлейфиков? Уж если не это, то что тогда?
Встречайте сегодняшнего гостя: Симулятор сборки ПК!
Забудьте на вечер про девопс, ведь тут есть:
🍬 топовые процессоры
🍬 быстрая память
🍬 жирнейшие диски
🍬 водяное охлаждение
🍬 дорогущая графика
🍬 и огромное количество винтиков
Брось девопс, открой бизнес, собирай компьютеры!
Всем привет!
Все мы понемногу становимся YAML-разработчиками. Отчасти – шутка, отчасти – правда!
Для того, чтобы разобраться что к чему и оптимизировать деятельность по созданию YAML-файлов можно воспользоваться рекомендациями, приведенными в статье:
🍭 В начале пути пишите YAML-файлы «в ручную», без использования «генераторов». Это поможет разобраться в структуре, а также соответствует принципам декларативного подхода описания сущностей
🍭 Используйте «квази-генераторы», с использование kubectl, --dry-run=client и -o yaml > %filename%. Будет некоторая избыточность, но вы уже знаете как и что поправить
🍭 Используйте… средства автоматизации для обработки YAML-файлов! Например, yq (идеологический аналог jq, но только для YAML). Инструмент позволит оптимизировать рутинные действия. Но, как и при работе с любым инструментом сперва необходимо освоить его
🍭 Что делать, если раньше использовали compose и есть потребность «переезда» на K8S manifest? Тут может помочь kompose. Да, скорее всего потребуется доработка результатов, но проблема «чистого листа» будет решена, а время – сэкономлено
🍭 И самый hardcore-вариант! Если вы владеете языками программирования, то можно писать конфигурационные файлы K8S прямо на «родном диалекте» с использованием CDK8S!
Вариантов много, главное – найти максимально удобный для себя. А поиск этого лишнего или, наоборот, недостающего пробела в большом manifest – бесценно ☺️
Все мы понемногу становимся YAML-разработчиками. Отчасти – шутка, отчасти – правда!
Для того, чтобы разобраться что к чему и оптимизировать деятельность по созданию YAML-файлов можно воспользоваться рекомендациями, приведенными в статье:
🍭 В начале пути пишите YAML-файлы «в ручную», без использования «генераторов». Это поможет разобраться в структуре, а также соответствует принципам декларативного подхода описания сущностей
🍭 Используйте «квази-генераторы», с использование kubectl, --dry-run=client и -o yaml > %filename%. Будет некоторая избыточность, но вы уже знаете как и что поправить
🍭 Используйте… средства автоматизации для обработки YAML-файлов! Например, yq (идеологический аналог jq, но только для YAML). Инструмент позволит оптимизировать рутинные действия. Но, как и при работе с любым инструментом сперва необходимо освоить его
🍭 Что делать, если раньше использовали compose и есть потребность «переезда» на K8S manifest? Тут может помочь kompose. Да, скорее всего потребуется доработка результатов, но проблема «чистого листа» будет решена, а время – сэкономлено
🍭 И самый hardcore-вариант! Если вы владеете языками программирования, то можно писать конфигурационные файлы K8S прямо на «родном диалекте» с использованием CDK8S!
Вариантов много, главное – найти максимально удобный для себя. А поиск этого лишнего или, наоборот, недостающего пробела в большом manifest – бесценно ☺️
Medium
How to create Kubernetes YAML files
Developing on Kubernetes
Привет!
Просто и крайне удобный инструмент для идентификации default passwords – Changeme!
В настоящее время поддерживается:
🍭 http/https
🍭 mssql
🍭 mysql
🍭 postgres
🍭 ssh, ssh w/key
🍭 snmp
🍭 mongodb
🍭 ftp
Файлы с идентифицируемыми credentials хранятся отдельно от кода, что упрощает процесс добавления «своих». Пример для MySQL и Postgres (все описано в виде yaml).
Есть небольшая Wiki, где описаны и продемонстрированы примеры использования утилиты с указанием определенных ключей (Basic Scan, Target Specification, Overriding Ports, Proxy, Multiple Ports)
Просто и крайне удобный инструмент для идентификации default passwords – Changeme!
В настоящее время поддерживается:
🍭 http/https
🍭 mssql
🍭 mysql
🍭 postgres
🍭 ssh, ssh w/key
🍭 snmp
🍭 mongodb
🍭 ftp
Файлы с идентифицируемыми credentials хранятся отдельно от кода, что упрощает процесс добавления «своих». Пример для MySQL и Postgres (все описано в виде yaml).
Есть небольшая Wiki, где описаны и продемонстрированы примеры использования утилиты с указанием определенных ключей (Basic Scan, Target Specification, Overriding Ports, Proxy, Multiple Ports)
GitHub
GitHub - ztgrace/changeme: A default credential scanner.
A default credential scanner. Contribute to ztgrace/changeme development by creating an account on GitHub.
Всем привет!
У HashiCorp есть множество крутых обучающих и методических материалов, посвященных их продуктам. Теперь получить к ним доступ стало еще проще, ведь Hashi сделали свой аналог «awesome» и собрали всю информацию о HashiCorp Learning Resources Reference Guide в одной статье!
В перечне материалов есть такие ресурсы, как:
🍭 Официальная документация (Boundary, Consul, Cloud Platform, Nomad, Packer, Sentinel, Terraform, Vagrant, Vault)
🍭 HashiCrop Learn (теория + лабораторные работы)
🍭 YouTube (очень много вебинаров по тому, как использовать решения компании, с примерами)
🍭 Blogs (официальный блог Hashi, блог ребят на Medium)
🍭 HashiConf Hands-on Labs (наборы лабораторных работ)
🍭 Technical Examples (общедоступные наработки команды) и не только!
На наш взгляд сохранить эту закладку – просто must, если вас интересует HashiCorp и их продукция!
У HashiCorp есть множество крутых обучающих и методических материалов, посвященных их продуктам. Теперь получить к ним доступ стало еще проще, ведь Hashi сделали свой аналог «awesome» и собрали всю информацию о HashiCorp Learning Resources Reference Guide в одной статье!
В перечне материалов есть такие ресурсы, как:
🍭 Официальная документация (Boundary, Consul, Cloud Platform, Nomad, Packer, Sentinel, Terraform, Vagrant, Vault)
🍭 HashiCrop Learn (теория + лабораторные работы)
🍭 YouTube (очень много вебинаров по тому, как использовать решения компании, с примерами)
🍭 Blogs (официальный блог Hashi, блог ребят на Medium)
🍭 HashiConf Hands-on Labs (наборы лабораторных работ)
🍭 Technical Examples (общедоступные наработки команды) и не только!
На наш взгляд сохранить эту закладку – просто must, если вас интересует HashiCorp и их продукция!
HashiCorp
HashiCorp Learning Resources Reference Guide
Read this curated list of HashiCorp learning resources to help practitioners and organizations better understand the cloud operating model.
Привет!
Syft – полезная утилита, которая позволяет сгенерировать Software Bill of Materials (SBOM) для образов контейнеров - перечень компонентов, из которых "состоит" ПО и образ.
Реализована поддержка пакетов и библиотек для APK, DEB, RPM, Ruby Bundles, Python Wheel/Egg/requirements.txt, JavaScript NPM/Yarn, Java JAR/EAR/WAR, Jenkins plugins JPI/HPI, Go modules.
Присутствует нативная интеграция с другим продуктом Anchore – Grype (сканер уязвимостей для образов контейнеров).
И, как обычно, поддержка большого количества output форматов: json, text, cyclonedx, spdx, spdx-json, table.
Кстати, недавно (11 октября) прошла конференция, посвященная безопасности Supply Chain – Supply Chain Security Con. Записей докладов пока нет, но можно скачать keynotes для того, чтобы быстро ознакомиться с ключевыми тезисами.
Syft – полезная утилита, которая позволяет сгенерировать Software Bill of Materials (SBOM) для образов контейнеров - перечень компонентов, из которых "состоит" ПО и образ.
Реализована поддержка пакетов и библиотек для APK, DEB, RPM, Ruby Bundles, Python Wheel/Egg/requirements.txt, JavaScript NPM/Yarn, Java JAR/EAR/WAR, Jenkins plugins JPI/HPI, Go modules.
Присутствует нативная интеграция с другим продуктом Anchore – Grype (сканер уязвимостей для образов контейнеров).
И, как обычно, поддержка большого количества output форматов: json, text, cyclonedx, spdx, spdx-json, table.
Кстати, недавно (11 октября) прошла конференция, посвященная безопасности Supply Chain – Supply Chain Security Con. Записей докладов пока нет, но можно скачать keynotes для того, чтобы быстро ознакомиться с ключевыми тезисами.
GitHub
GitHub - anchore/syft: CLI tool and library for generating a Software Bill of Materials from container images and filesystems
CLI tool and library for generating a Software Bill of Materials from container images and filesystems - anchore/syft
Привет!
Aqua Enterprise получила большое обновление.
Главное в версии 6.5 — фича под названием Advanced malware protection. Она добавляет новые функции встроенному антивирусу, такие как:
🍏 Защита в реальном времени для хостов и контейнеров.
🍏 Обнаружение вредоносов в файлах, буфере обмена и реестре Windows.
🍏 Обнаружение и предотвращение file-less атак.
🍏 Новые виджеты для главного дэшборда :)
Помимо этого, обновление содержит:
🍏 Новые фильтры для журналов аудита.
🍏 Поддержку установки в среде k3s.
🍏 Возможность настройки отдельных Enforcers (ранее настраивать можно было только Enforcer groups).
🍏 Поддержку интеграции с GitHub Container Registry.
🍏 Jenkins плагин теперь поддерживает сканирование с использованием Podman.
🍏 Aqua Starboard теперь по умолчанию деплоится вместе с KubeEnforcer-ами.
🍏 Появились новые команды для API и ряд других нововведений.
Апгрейд на версию 6.5 поддерживается для версий 6.2, 6.0 и 5.3.
Aqua Enterprise получила большое обновление.
Главное в версии 6.5 — фича под названием Advanced malware protection. Она добавляет новые функции встроенному антивирусу, такие как:
🍏 Защита в реальном времени для хостов и контейнеров.
🍏 Обнаружение вредоносов в файлах, буфере обмена и реестре Windows.
🍏 Обнаружение и предотвращение file-less атак.
🍏 Новые виджеты для главного дэшборда :)
Помимо этого, обновление содержит:
🍏 Новые фильтры для журналов аудита.
🍏 Поддержку установки в среде k3s.
🍏 Возможность настройки отдельных Enforcers (ранее настраивать можно было только Enforcer groups).
🍏 Поддержку интеграции с GitHub Container Registry.
🍏 Jenkins плагин теперь поддерживает сканирование с использованием Podman.
🍏 Aqua Starboard теперь по умолчанию деплоится вместе с KubeEnforcer-ами.
🍏 Появились новые команды для API и ряд других нововведений.
Апгрейд на версию 6.5 поддерживается для версий 6.2, 6.0 и 5.3.
Привет!
Отрицательный опыт – тоже опыт! Есть интересные подборки с anti-pattern, в которых описано как делать НЕ стоит и почему это так.
В статье приведены 10 anti-pattern для Kubernetes deployment:
🍭 Размещать конфигурацию внутри образа контейнера
🍭 НЕ использовать Helm или иные templating-решения
🍭 Deploy в определенном порядке (приложения не должны «падать», если их зависимости еще «не готовы»)
🍭 Deploy без указания Lim/Req для CPU и RAM
🍭 Использование образов с тэгом «latest» в продуктивных средах
🍭 Deploy обновлений через «убийство» pod (что влечет image pull, более корректный путь – через модификацию конфигурации, что приведет к обновлению с сохранением управления версионности)
🍭 Использование продуктивных и тестовых сущностей в одном кластере
🍭 НЕ использовать blue/green и/или canary deployment для обновления критичных приложений (rolling updates не всегда достаточны)
🍭 Отсутствие метрик для анализа успешности deployment
🍭 Cloud vendor lock-in: «привязка» к облачным услугам (корректный путь – создание сущностей таким образом, чтобы их можно было легко «переносить» между различными средами)
Почему тот или иной anti-pattern попал в перечень неплохо расписано в самой статье и с примерами (оценка Medium на время чтения статьи ~ 22 минуты)
P.S. Всех с пятницей! Отличных выходных!
Отрицательный опыт – тоже опыт! Есть интересные подборки с anti-pattern, в которых описано как делать НЕ стоит и почему это так.
В статье приведены 10 anti-pattern для Kubernetes deployment:
🍭 Размещать конфигурацию внутри образа контейнера
🍭 НЕ использовать Helm или иные templating-решения
🍭 Deploy в определенном порядке (приложения не должны «падать», если их зависимости еще «не готовы»)
🍭 Deploy без указания Lim/Req для CPU и RAM
🍭 Использование образов с тэгом «latest» в продуктивных средах
🍭 Deploy обновлений через «убийство» pod (что влечет image pull, более корректный путь – через модификацию конфигурации, что приведет к обновлению с сохранением управления версионности)
🍭 Использование продуктивных и тестовых сущностей в одном кластере
🍭 НЕ использовать blue/green и/или canary deployment для обновления критичных приложений (rolling updates не всегда достаточны)
🍭 Отсутствие метрик для анализа успешности deployment
🍭 Cloud vendor lock-in: «привязка» к облачным услугам (корректный путь – создание сущностей таким образом, чтобы их можно было легко «переносить» между различными средами)
Почему тот или иной anti-pattern попал в перечень неплохо расписано в самой статье и с примерами (оценка Medium на время чтения статьи ~ 22 минуты)
P.S. Всех с пятницей! Отличных выходных!
Medium
10 Anti-Patterns for Kubernetes Deployments
Common practices in Kubernetes deployments that have better solutions
Всем привет!
Veracode сделал общедоступными часть своих интерактивных курсов по обучению безопасной разработке!
Доступно несколько базовых направлений:
🍭 Base Terminal
🍭 Juice Shop
🍭 Python AppSec
🍭 React
Если Вас интересует интерактивное обучение, то можно обратить внимание на проекты Kontra (о котором мы писали тут) и Codebashing от Checkmarx (если платная и бесплатная версия).
Также ребята сделали удобное сравнение между платной и бесплатной версией своего продукта (доступно по ссылке). Согласно сравнительной табличке Community Edition является Forever Free 😊
Veracode сделал общедоступными часть своих интерактивных курсов по обучению безопасной разработке!
Доступно несколько базовых направлений:
🍭 Base Terminal
🍭 Juice Shop
🍭 Python AppSec
🍭 React
Если Вас интересует интерактивное обучение, то можно обратить внимание на проекты Kontra (о котором мы писали тут) и Codebashing от Checkmarx (если платная и бесплатная версия).
Также ребята сделали удобное сравнение между платной и бесплатной версией своего продукта (доступно по ссылке). Согласно сравнительной табличке Community Edition является Forever Free 😊
Veracode
Security Labs | Veracode
Application Security for the AI Era | Veracode