CodeQL: From zero to hero, Part 1
Всем привет!
Немного обманчивая статья 😊 В ней, по крайней мере в первой ее части, разбирается не сам CodeQL, а основы статического анализа. Какие способы бывают, чем они отличаются, для чего используются и почему всеми любимого
Статья погружает читателя в тематику постепенно:
🍭 Описание общей задачи поиска уязвимостей в исходном коде
🍭 Идентификация sources и sinks (что это – описано в статье 😊)
🍭 Lexical analysis и зачем он используется
🍭 Syntactic pattern matching, abstract syntax tree и control flow graph
Data flow analysis и taint tracking
Автор отлично описывает разные способы анализа, зачем они нужны, их плюсы и минусы. Материала достаточно много, есть примеры, самое «то» для начала!
Прочитав статью можно сделать еще один вывод. Анализ кода строится на понимании механик и того, что происходит при работе ПО. Слепо полагаться на автоматизацию, которая «сама все найдет» не стоит, она лишь сможет помочь. Да и то, если ей объяснят, что надо делать. Однако, без автоматизации тоже плохо – ведь анализировать код «глазами» задача выполнимая, но крайне ресурсоемкая.
Важно помнить, что результаты, получаемые при таком подходе, скорее всего будут не актуальны. За время, потраченное на такой анализ приложение уже успеет «измениться».
P.S. В завершении статьи можно найти несколько challenges.
Всем привет!
Немного обманчивая статья 😊 В ней, по крайней мере в первой ее части, разбирается не сам CodeQL, а основы статического анализа. Какие способы бывают, чем они отличаются, для чего используются и почему всеми любимого
grep не хватает.Статья погружает читателя в тематику постепенно:
🍭 Описание общей задачи поиска уязвимостей в исходном коде
🍭 Идентификация sources и sinks (что это – описано в статье 😊)
🍭 Lexical analysis и зачем он используется
🍭 Syntactic pattern matching, abstract syntax tree и control flow graph
Data flow analysis и taint tracking
Автор отлично описывает разные способы анализа, зачем они нужны, их плюсы и минусы. Материала достаточно много, есть примеры, самое «то» для начала!
Прочитав статью можно сделать еще один вывод. Анализ кода строится на понимании механик и того, что происходит при работе ПО. Слепо полагаться на автоматизацию, которая «сама все найдет» не стоит, она лишь сможет помочь. Да и то, если ей объяснят, что надо делать. Однако, без автоматизации тоже плохо – ведь анализировать код «глазами» задача выполнимая, но крайне ресурсоемкая.
Важно помнить, что результаты, получаемые при таком подходе, скорее всего будут не актуальны. За время, потраченное на такой анализ приложение уже успеет «измениться».
P.S. В завершении статьи можно найти несколько challenges.
The GitHub Blog
CodeQL zero to hero part 1: The fundamentals of static analysis for vulnerability research
Learn more about static analysis and how to use it for security research!In this blog post series, we will take a closer look at static analysis concepts, present GitHub’s static analysis tool CodeQL, and teach you how to leverage static analysis for security…
Certified GitOps Associate (CGOA)
Всем привет!
KubeCon идет во всю, о самых интересных докладах по ИБ (на наш взгляд) напишем позже. А пока – новая сертификация от CNCF: Certified GitOps Associate (CGOA).
Увы, пока в статусе «coming soon», но уже известно «что внутри»:
🍭 GitOps Terminology (20%)
🍭 GitOps Principles (30%)
🍭 Related Practices (16%)
🍭 GitOps Patterns (20%)
🍭 Tooling (14%)
Тест на 90 минут, который, судя по описанию, подойдет всем DevOps инженерам. Уровень знаний: beginner.
Всем привет!
KubeCon идет во всю, о самых интересных докладах по ИБ (на наш взгляд) напишем позже. А пока – новая сертификация от CNCF: Certified GitOps Associate (CGOA).
Увы, пока в статусе «coming soon», но уже известно «что внутри»:
🍭 GitOps Terminology (20%)
🍭 GitOps Principles (30%)
🍭 Related Practices (16%)
🍭 GitOps Patterns (20%)
🍭 Tooling (14%)
Тест на 90 минут, который, судя по описанию, подойдет всем DevOps инженерам. Уровень знаний: beginner.
Linux Foundation - Education
Certified GitOps Associate (CGOA) | Linux Foundation Education
The Certified GitOps Associate exam allows candidates to demonstrate their understanding of GitOps principles. Get your GitOps certification!
❤4👍1
В продолжение темы конференций… Сейчас в ИБ «сезон» и стало интересно: а какой «мерч» нравится Вам больше всего?
Anonymous Poll
29%
Носки! Их мало не бывает!
55%
Майки! Можно не покупать...
22%
Кружки! Такие и правда есть? :)
30%
Наклейки! Не нравятся те, что клеят на ноутбук "по умолчанию"
14%
Фляжки! Они куда-то пропали...
22%
Фляжки (с горючим)! Вот, так уже интереснее!
20%
Головоломки! Чтобы было чем себя занять
14%
Баланс-борды! А он (баланс) существует?
5%
Иное! Пишите в комментариях :)
Атака на k8s RBAC
Всем привет!
В сети можно найти много статей про то, как кто-нибудь нет-нет, да и установит crypto miner в кластер k8s. На этот раз команда Nautilus (Aqua Security) нашла нечто новое – persistence через RBAC misconfiguration(хотя без crypto miner так и не обошлось) .
Атака была зарегистрирована на honey pot кластерах Aqua Security:
🍭 Злоумышленник воспользовался возможностью отправки анонимных запросов к kube-apiserver и создал cluster role, близкую к Cluster Admin
🍭 После этого он «присоединил» ее к
С одной стороны «анонимный доступ к kube-apiserver, серьезно?». С другой – важность аудита ролевой модели k8s. Ведь подобный persistence мог остаться после того, как недостаток с анонимными запросами был устранен. Это лишний раз показывает, что важно смотреть на безопасность k8s не по отдельным аспектам, а в общем.
Всем привет!
В сети можно найти много статей про то, как кто-нибудь нет-нет, да и установит crypto miner в кластер k8s. На этот раз команда Nautilus (Aqua Security) нашла нечто новое – persistence через RBAC misconfiguration
Атака была зарегистрирована на honey pot кластерах Aqua Security:
🍭 Злоумышленник воспользовался возможностью отправки анонимных запросов к kube-apiserver и создал cluster role, близкую к Cluster Admin
🍭 После этого он «присоединил» ее к
ServiceAccount kube-controller, которую создал в namespace kube-system
🍭 В дальнейшем это позволило ему создавать ресурсы по желаниюС одной стороны «анонимный доступ к kube-apiserver, серьезно?». С другой – важность аудита ролевой модели k8s. Ведь подобный persistence мог остаться после того, как недостаток с анонимными запросами был устранен. Это лишний раз показывает, что важно смотреть на безопасность k8s не по отдельным аспектам, а в общем.
Aqua
First-Ever Attack Leveraging Kubernetes RBAC to Backdoor Clusters
For the first time evidence that attackers are exploiting Kubernetes (K8s) Role-Based Access Control (RBAC) in the wild to create backdoors.
👍6
#мероприятие
Российский разработчик ПО, компания «Лаборатория Числитель» запускает серию практических вебинаров, посвященных работе с платформой управления контейнерами «Штурвал»
Вебинары пройдут в формате live-демо, во время которых будут показаны все этапы работы с платформой.
25 апреля в 11:00 откроет серию вебинар «Штурвал». Начало работы».
В программе:
🔹Планирование инсталляции
🔹Развертывание в открытом и закрытом контуре
🔹Настройка зеркала
Демонстрацию проведет Александр Краснов, технический директор «Лаборатории Числитель».
Вебинар будет интересен DevOps-инженерам и DevOps-администраторам
✅ Регистрация
Российский разработчик ПО, компания «Лаборатория Числитель» запускает серию практических вебинаров, посвященных работе с платформой управления контейнерами «Штурвал»
Вебинары пройдут в формате live-демо, во время которых будут показаны все этапы работы с платформой.
25 апреля в 11:00 откроет серию вебинар «Штурвал». Начало работы».
В программе:
🔹Планирование инсталляции
🔹Развертывание в открытом и закрытом контуре
🔹Настройка зеркала
Демонстрацию проведет Александр Краснов, технический директор «Лаборатории Числитель».
Вебинар будет интересен DevOps-инженерам и DevOps-администраторам
✅ Регистрация
Webinar.ru
«Штурвал». Начало работы
Российский разработчик «Лаборатория Числитель» начинает серию практических вебинаров, посвященных работе с платформой управления контейнерами «Штурвал». Вебинары пройдут в формате live-демо, во время которых будут показаны все этапы работы с платформой. …
🔥5👍2😁2❤1👎1🥰1👏1🐳1
PESD: автоматизация создания диаграмм последовательностей
Всем привет!
Бывает, что при анализе web-приложения требуется создать диаграмму последовательностей, иллюстрирующую взаимодействие между участниками процесса: запросы, ответы, типы данных, возвращаемые коды и т.д. Например, для добавления информации в отчет или для того, чтобы самому лучше представлять, что происходит.
Это можно делать «в ручную», но это может быть долго, неудобно, не лишено ошибок. Поэтому ребята из Doyensec сделали Proxy Enriched Sequence Diagram – PESD! Этот небольшой Burp Plugin позволяет автоматизировать процесс создания таких диаграмм.
Есть еще важное слово – «Enriched». Все так, диаграммы получаются с «дополнительными» сведениями. Например, можно посмотреть URL Query Params или иные параметры взаимодействия.
Результаты можно выгружать в различных форматах:
Всем привет!
Бывает, что при анализе web-приложения требуется создать диаграмму последовательностей, иллюстрирующую взаимодействие между участниками процесса: запросы, ответы, типы данных, возвращаемые коды и т.д. Например, для добавления информации в отчет или для того, чтобы самому лучше представлять, что происходит.
Это можно делать «в ручную», но это может быть долго, неудобно, не лишено ошибок. Поэтому ребята из Doyensec сделали Proxy Enriched Sequence Diagram – PESD! Этот небольшой Burp Plugin позволяет автоматизировать процесс создания таких диаграмм.
Есть еще важное слово – «Enriched». Все так, диаграммы получаются с «дополнительными» сведениями. Например, можно посмотреть URL Query Params или иные параметры взаимодействия.
Результаты можно выгружать в различных форматах:
SVG, Markdown (MermaidJS), JSON. Больше подробностей и сам PESD можно найти по ссылке на GitHub Repo.Doyensec
Introducing Proxy Enriched Sequence Diagrams (PESD)
We are releasing an internal tool to speed-up testing and reporting efforts in complex functional flows. We’re excited to announce that PESD Exporter is now available on Github.
⚡1🦄1
KubeArmor: k8s runtime security
Всем привет!
KubeArmor – runtime security решение, которое позволяет контролировать что происходит с контейнером и/или хостом на котором он расположен. В качестве «основного движка» используется
Решение позволяет:
🍭 Реализовать hardening
🍭 Управлять процессами, сетевыми соединениями и контролировать доступ к чувствительным данным
🍭 Генерировать k8s network policy
🍭 Профилировать контейнеры для создания поведенческих моделей
Проект активно развивается (можно посмотреть в Version Releases Blog), есть документация, описывающая ключевые возможности KubeArmor и примеры его использования.
Всем привет!
KubeArmor – runtime security решение, которое позволяет контролировать что происходит с контейнером и/или хостом на котором он расположен. В качестве «основного движка» используется
AppArmor, SELinux и BPF-LSM.Решение позволяет:
🍭 Реализовать hardening
🍭 Управлять процессами, сетевыми соединениями и контролировать доступ к чувствительным данным
🍭 Генерировать k8s network policy
🍭 Профилировать контейнеры для создания поведенческих моделей
Проект активно развивается (можно посмотреть в Version Releases Blog), есть документация, описывающая ключевые возможности KubeArmor и примеры его использования.
GitHub
GitHub - kubearmor/KubeArmor: Runtime Security Enforcement System. Workload hardening/sandboxing and implementing least-permissive…
Runtime Security Enforcement System. Workload hardening/sandboxing and implementing least-permissive policies made easy leveraging LSMs (LSM-BPF, AppArmor). - kubearmor/KubeArmor
❤1👍1
Sveltos: централизация управления кластерами k8s
Всем привет!
Целью проекта Sveltos является упрощение работы с большим количеством кластеров. Концептуально схему можно описать так: есть управляющий кластер, подчиненный кластера и профили кластеров, которые содержат требуемые данные. Обращаясь к кластеру управления можно вносить изменения в подчиненные кластеры.
Sveltos умеет:
🍭 Создать ресурсы в кластерах
🍭 Следить за configuration drift, возвращая все в «исходное состояние» (указанное в кластере управления)
🍭 Создавать ресурсы в
🍭 Направлять alert в случае идентификации проблем с состоянием кластера
🍭 Управлять кластерами на основании
Полное описание функционала и компонентов проекта (какие есть operators, какие CRD и что они делают) можно найти в документации. Отдельно рекомендуем заглянуть в раздел «Blogs and Videos». В нем можно найти много ссылок на материалы по теме.
Всем привет!
Целью проекта Sveltos является упрощение работы с большим количеством кластеров. Концептуально схему можно описать так: есть управляющий кластер, подчиненный кластера и профили кластеров, которые содержат требуемые данные. Обращаясь к кластеру управления можно вносить изменения в подчиненные кластеры.
Sveltos умеет:
🍭 Создать ресурсы в кластерах
🍭 Следить за configuration drift, возвращая все в «исходное состояние» (указанное в кластере управления)
🍭 Создавать ресурсы в
dry-run режиме🍭 Направлять alert в случае идентификации проблем с состоянием кластера
🍭 Управлять кластерами на основании
labels (например, применять что-то на production и не применять на test) и не толькоПолное описание функционала и компонентов проекта (какие есть operators, какие CRD и что они делают) можно найти в документации. Отдельно рекомендуем заглянуть в раздел «Blogs and Videos». В нем можно найти много ссылок на материалы по теме.
GitHub
projectsveltos
Manage Kubernetes add-ons. Support ClusterAPI,Helm,Kustomize.Drift detection.Cluster classification based on run-time state.Event-driven framework.Multi-tenancy - projectsveltos
🔥2❤1
Как быстро обновляются Secrets и ConfigMaps в k8s?
Всем привет!
Все началось с простого опроса, в котором большинство ( ~ 41%) выбрало ответ «почти мгновенно», однако это не совсем так.
В статье Автор разбирает внутренние механизмы, отвечающие за процесс обновления
У Kubelet есть параметр
🍭
🍭
🍭
Получается, что у Kubelet есть вся необходимая информация, однако обновления (мгновенного) не происходит. Оказалось, что у Kubernetes отсутствуют механизмы, запускающие реконсиляцию при обновлении ресурса (в нашем случае это Secret и ConfigMap).
На деле обновление происходит при вызове
🍭 В случае изменения
🍭 Периодически: где-то раз в минуту
Именно по этой причине, по умолчанию,
Всем привет!
Все началось с простого опроса, в котором большинство ( ~ 41%) выбрало ответ «почти мгновенно», однако это не совсем так.
В статье Автор разбирает внутренние механизмы, отвечающие за процесс обновления
Secrets и ConfigMaps в Pod. У Kubelet есть параметр
configMapAndSecretChangeDetectionStrategy, который может принимать 3 значения:🍭
Get: получение объектов от API server🍭
Cache: использованием TTL Cache🍭
Watch (Default): наблюдение за интересующим объектомПолучается, что у Kubelet есть вся необходимая информация, однако обновления (мгновенного) не происходит. Оказалось, что у Kubernetes отсутствуют механизмы, запускающие реконсиляцию при обновлении ресурса (в нашем случае это Secret и ConfigMap).
На деле обновление происходит при вызове
syncPod функции:🍭 В случае изменения
Pod (Pod event update, изменение параметров Pod) – что происходит не часто🍭 Периодически: где-то раз в минуту
Именно по этой причине, по умолчанию,
Secret и ConfigMap не синхронизируются мгновенно. Если хочется проверить, то есть repo с PoC. Если интересно как можно это ускорить – ответ есть в статье.Ahmet Alp Balkan
Why Kubernetes secrets take so long to update?
I’ve recently done a Twitter poll and only 20% of the participants accurately predicted that it takes Kubernetes 60-90 seconds to propagate changes to Secrets and ConfigMaps on the mounted volumes. So I want to take you on a journey in the...
👍4
Open source threat modelling tools
Всем привет!
По ссылке доступен минималистичный обзор open source решений, которые могут быть использованы для автоматизации/упрощения/визуализации процесса моделирования угроз.
Рассматриваются такие инструменты, как:
🍭 Cairis
🍭 OWASP pytm
🍭 OWASP Threat Dragon
🍭 Threagile
🍭 ThreatSpec
🍭 Microsoft Threat Modeling Tool
🍭 Threats Manager Suite
Для каждого их них есть небольшой описание и ссылки на сайты/repo. В завершении статьи (раздел References) можно найти дополнительные материалы по теме.
Всем привет!
По ссылке доступен минималистичный обзор open source решений, которые могут быть использованы для автоматизации/упрощения/визуализации процесса моделирования угроз.
Рассматриваются такие инструменты, как:
🍭 Cairis
🍭 OWASP pytm
🍭 OWASP Threat Dragon
🍭 Threagile
🍭 ThreatSpec
🍭 Microsoft Threat Modeling Tool
🍭 Threats Manager Suite
Для каждого их них есть небольшой описание и ссылки на сайты/repo. В завершении статьи (раздел References) можно найти дополнительные материалы по теме.
holisticsecurity.io
First things first: Threat Modelling using Free and Open Source Tools
On 2014 RSA Conference (archive not available), Eric Olson of Cyveillance said a good and real simil about Threat Modelling: “It is a lot like teenage sex: Everyone is talking about it,
everyone thinks everyone else is doing it, and most of the few people…
everyone thinks everyone else is doing it, and most of the few people…
Open-appsec: Web-protection и API Security
Всем привет!
Open-appsec – open source продукт, разрабатываемый командой Checkpoint. Представляет из себя add-on, который можно установить на Kubernetes Ingress Controller, Nginx и Kong API Gateway.
Обладает следующим функционалом:
🍭 API Security
🍭 Bot prevention
🍭 Intrusion Prevention (IPS Engine с поддержкой Snort 3.0 Signatures, аналитика от Checkpoint)
🍭 Защита от OWASP Top-10 и не только
Если верить документации, то решение использует машинное обучение для создания «позитивных» моделей, позволяющих повышать качество работы.
Функционала и возможностей достаточно много, поэтому рекомендуем ознакомиться с документацией и роликами, которые демонстрируют работу open-appsec.
Всем привет!
Open-appsec – open source продукт, разрабатываемый командой Checkpoint. Представляет из себя add-on, который можно установить на Kubernetes Ingress Controller, Nginx и Kong API Gateway.
Обладает следующим функционалом:
🍭 API Security
🍭 Bot prevention
🍭 Intrusion Prevention (IPS Engine с поддержкой Snort 3.0 Signatures, аналитика от Checkpoint)
🍭 Защита от OWASP Top-10 и не только
Если верить документации, то решение использует машинное обучение для создания «позитивных» моделей, позволяющих повышать качество работы.
Функционала и возможностей достаточно много, поэтому рекомендуем ознакомиться с документацией и роликами, которые демонстрируют работу open-appsec.
GitHub
GitHub - openappsec/openappsec: open-appsec is a machine learning security engine that preemptively and automatically prevents…
open-appsec is a machine learning security engine that preemptively and automatically prevents threats against Web Application & APIs. This repo include the main code and logic. - openappse...
👍3
Service Mesh Comparison
Всем привет!
На сайте можно найти небольшое сравнение Service Mesh технологий. Рассматриваются все «основные» участники: Nginx, Istio, Kuma, Cilium, LinkerD и т.д.
В качестве критериев представлены:
🍭 Auto Proxy Injection
🍭 gRPC
🍭 Prometheus Integration
🍭 Tracing Integration
🍭 SPIFFE и не только
Кстати, на самом сайте можно найти интересную timeline-диаграмму, в которой отображены даты появления участников «на рынке».
Всем привет!
На сайте можно найти небольшое сравнение Service Mesh технологий. Рассматриваются все «основные» участники: Nginx, Istio, Kuma, Cilium, LinkerD и т.д.
В качестве критериев представлены:
🍭 Auto Proxy Injection
🍭 gRPC
🍭 Prometheus Integration
🍭 Tracing Integration
🍭 SPIFFE и не только
Кстати, на самом сайте можно найти интересную timeline-диаграмму, в которой отображены даты появления участников «на рынке».
layer5.io
Service Mesh Landscape
Compare service meshes like Istio, Linkerd, App Mesh, Maesh, Kuma, Network Service Mesh, Consul, Kuma, Citrix and VMware Tanzu Service Mesh. What is the best service mesh? What's the difference between Istio and Envoy?
👍2
DevSecOps в Chime
Всем привет!
По ссылке ребята из компании Chime делятся своим подходом к построению практик безопасной разработки и не только.
Соотношение разработчиков к ИБ было ~ 60/1, в результате чего надо было как-то оптимизировать затраты и выстроить рабочий процесс.
Если ничего не подходит – сделай свое! Так поступили ИБ-специалисты Chime и написали собственное приложение – Monocle.
При помощи него можно:
🍭 Получать сводную информацию о состоянии ИБ команды – что реализовано, степень соответствия требованиям
🍭 Оповещать команды в случае, если их «рейтинг» упал ниже порогового значения. При этом приложение позволяет указать, что именно надо поправить
🍭 «Сквозной рейтинг» всех команд – элемент геймификации
🍭 Получать сводную информацию о проекте команды и не только
Само приложение не является open source, однако в статье много скриншотов для того, чтобы можно было получить представление о нем. Возможно, Вам понравится такой подход и Вы повторите его у себя.
Всем привет!
По ссылке ребята из компании Chime делятся своим подходом к построению практик безопасной разработки и не только.
Соотношение разработчиков к ИБ было ~ 60/1, в результате чего надо было как-то оптимизировать затраты и выстроить рабочий процесс.
Если ничего не подходит – сделай свое! Так поступили ИБ-специалисты Chime и написали собственное приложение – Monocle.
При помощи него можно:
🍭 Получать сводную информацию о состоянии ИБ команды – что реализовано, степень соответствия требованиям
🍭 Оповещать команды в случае, если их «рейтинг» упал ниже порогового значения. При этом приложение позволяет указать, что именно надо поправить
🍭 «Сквозной рейтинг» всех команд – элемент геймификации
🍭 Получать сводную информацию о проекте команды и не только
Само приложение не является open source, однако в статье много скриншотов для того, чтобы можно было получить представление о нем. Возможно, Вам понравится такой подход и Вы повторите его у себя.
Medium
Monocle: How Chime creates a proactive security & engineering culture (Part 1)
Hear from David Trejo, a member of Chime’s Security Engineering Team, how he and the team created a proactive security culture at Chime
👍1
Анализ PR на соответствие ИБ-требованиям
Всем привет!
Продолжение истории Chime! В статье они делятся опытом анализа pull request’ов при помощи их разработки – Monocle!
Команда определила следующие требования:
🍭 PR должен иметь хотя бы 1 review
🍭 PR не должен содержать dependency confusion
🍭 Repo должны содержать только те базовые образы, что были одобрены ИБ
🍭 «Новый код» не должен содержать уязвимостей уровня Critical и High
Все это было реализовано в Monocle и удобно отображается в GitHub при слиянии веток. Для каждой проверки, что не была пройдена предоставляется описание «почему это плохо и так лучше не делать». В статье есть видео, в котором демонстрируется работа описанного выше подхода.
Если интересно, что внутри и как это работает(дада, там OPA) – в статье есть общая архитектура и описание ключевых принципов. Рекомендуем к прочтению!
Всем привет!
Продолжение истории Chime! В статье они делятся опытом анализа pull request’ов при помощи их разработки – Monocle!
Команда определила следующие требования:
🍭 PR должен иметь хотя бы 1 review
🍭 PR не должен содержать dependency confusion
🍭 Repo должны содержать только те базовые образы, что были одобрены ИБ
🍭 «Новый код» не должен содержать уязвимостей уровня Critical и High
Все это было реализовано в Monocle и удобно отображается в GitHub при слиянии веток. Для каждой проверки, что не была пройдена предоставляется описание «почему это плохо и так лучше не делать». В статье есть видео, в котором демонстрируется работа описанного выше подхода.
Если интересно, что внутри и как это работает
Medium
Mitigating Risky Pull Requests with Monocle Risk Advisor (Part 2)
Hear from David Trejo, a member of Chime’s Security Engineering Team, about how he and his team de-risked pull requests with Monocle.
Мини-лабораторные по анализу кода от GitHub
Всем привет!
По ссылке доступно 5 небольших лабораторных работ по анализу кода от команды GitHub.
Материал включает в себя:
🍭 Level-1: Black Friday
🍭 Level-2: Matrix
🍭 Level-3: Social Network
🍭 Level-4: Data Bank
🍭 Level-5: Locanda
Все лабораторные представляют из себя небольшие
Можно попробовать как в
Всем привет!
По ссылке доступно 5 небольших лабораторных работ по анализу кода от команды GitHub.
Материал включает в себя:
🍭 Level-1: Black Friday
🍭 Level-2: Matrix
🍭 Level-3: Social Network
🍭 Level-4: Data Bank
🍭 Level-5: Locanda
Все лабораторные представляют из себя небольшие
python-проекты. Чтобы «пройти» испытание, необходимо получить «passed» от hack.py (уязвимости больше нет) и test.py (при этом код все еще работает). Сложность возрастает от Level-1 до Level-5.Можно попробовать как в
Codespaces (при этом время использование будет тратиться) или установить локально.GitHub
GitHub - skills/secure-code-game: A GitHub Security Lab initiative, providing an in-repo learning experience, where learners secure…
A GitHub Security Lab initiative, providing an in-repo learning experience, where learners secure intentionally vulnerable code. - skills/secure-code-game
👍6
Gartner_CNAPP.pdf
996.9 KB
Gartner Market Guide for Cloud Native Application Protection Platform
Всем привет!
В приложении можно скачать отчет Gartner, посвященный безопасности Cloud Native приложений. Пусть название Вас не смущает: помимо анализа рынка в отчете много полезной теоретической информации.
Например:
🍭 Общий взгляд на Risk Surface Area
🍭 «Дополнительные» задачи, которые появляются в Cloud Native для разработчиков
🍭 Описание функционала Cloud Native Application Protection Platform
🍭 Основные вызовы, с которыми можно столкнуться и не только
В целом получился неплохой материал, который может быть полезен, если вы погружаетесь в этот прекрасный мир.
Всем привет!
В приложении можно скачать отчет Gartner, посвященный безопасности Cloud Native приложений. Пусть название Вас не смущает: помимо анализа рынка в отчете много полезной теоретической информации.
Например:
🍭 Общий взгляд на Risk Surface Area
🍭 «Дополнительные» задачи, которые появляются в Cloud Native для разработчиков
🍭 Описание функционала Cloud Native Application Protection Platform
🍭 Основные вызовы, с которыми можно столкнуться и не только
В целом получился неплохой материал, который может быть полезен, если вы погружаетесь в этот прекрасный мир.
👍2👾1
GitGuardian_Secrets.pdf
2 MB
State of Secrets in AppSec
Всем привет!
Команда GitGuardian опросила 507 представителей отрасли для того, чтобы собрать информацию о вопросах ИБ, связанных с управлением секретами. В результате получился прилагаемый отчет.
Внутри можно найти:
🍭 Статистику об управлении секретами (сколько % находили hardcode, кто озадачился вопросами управления секретами, используемые практики и т.д.)
🍭 Самооценка уровней зрелости Компаний по вопросам управления секретами
🍭 Подходы к идентификации секретов в репозиториях исходного кода и не только
Получился простой, наглядный и информативный отчет, рекомендуем!
Всем привет!
Команда GitGuardian опросила 507 представителей отрасли для того, чтобы собрать информацию о вопросах ИБ, связанных с управлением секретами. В результате получился прилагаемый отчет.
Внутри можно найти:
🍭 Статистику об управлении секретами (сколько % находили hardcode, кто озадачился вопросами управления секретами, используемые практики и т.д.)
🍭 Самооценка уровней зрелости Компаний по вопросам управления секретами
🍭 Подходы к идентификации секретов в репозиториях исходного кода и не только
Получился простой, наглядный и информативный отчет, рекомендуем!
❤1👍1
PhD: Development!!!
Всем привет!
Завтра из каждого электронного самоката, powerbank’a, умных часов, IoT-устройств и даже из утюгов будут писать про Positive Hack Days!
Что ж! Мы не будем исключением и еще раз напишем про программу track’a “Development” на 19 мая.
Итак, нас ожидает:
🍭 09:40–10:00 Владимир Кочетков –🤩 14:00–15:00 Алина Новопольцева –
И приходите на наш стенд, очень-очень-очень будем рады пообщаться лично! Увидимся!👋 👋 👋
Всем привет!
Завтра из каждого электронного самоката, powerbank’a, умных часов, IoT-устройств и даже из утюгов будут писать про Positive Hack Days!
Что ж! Мы не будем исключением и еще раз напишем про программу track’a “Development” на 19 мая.
Итак, нас ожидает:
🍭 09:40–10:00 Владимир Кочетков –
Открытие трека. Вступительное слово организаторов
🍭 10:00–11:00 Дмитрий Скляров – Я реверсер, я так вижу!
🍭 11:00–12:00 Владимир Кочетков / Сергей Подкорытов – Язык запросов к коду... не нужен?
🍭 12:00–13:00 Георгий Александрия – Как разработчики анализатора исходного кода с одной экспонентой боролись
🍭 13:00–14:00 Дмитрий Шмойлов – Безопасность цепи поставок
DAF: путь самурая в безопасной разработке
🍭 15:00–16:00 Виктор Бобыльков / Дмитрий Евдокимов – SCAзка о SCAнерах
🍭 16:00–17:00 Ксения Змичеровская / Илья Шаров – Казнить нельзя помиловать: уязвимости из-за ошибок в бизнес-логике
🍭 17:00–18:00 Алексей Хорошилов – Опыт тестирования и верификации ядра Linux
🍭 18:00–19:00 Сергей Задорожный – Руководство бравого докер-секьюрити мастера
Отдельно приглашаем Вас на доклад нашей Алины, который пройдет с 14:00 до 15:00 в Конструкторском Бюро! Первое выступление на столь крупном мероприятии, да еще и сразу в Парке Горького! Ей будет приятна Ваша поддержка! 🥰🥰🥰И приходите на наш стенд, очень-очень-очень будем рады пообщаться лично! Увидимся!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍1
Managed Kubernetes Auditing Toolkit
Всем привет!
Еще один отличный материал от DataDog – Managed Kubernetes Auditing Toolkit (MKAT). Он позволяет идентифицировать ИБ-дефекты в облачных инсталляциях Kubernetes. На текущий момент поддерживается только AWS. Поддержка GCP GKE есть в roadmap.
При помощи него можно:
🍭 Идентифицировать взаимосвязь между k8s SA и AWS IAM Roles
🍭 Искать hardcoded учетные данные AWS в ресурсах k8s (Pods, CM, Secrets)
🍭 Идентифицировать возможность доступа pod’ов к AWS Instance Metadata Service
Кроме этого, MKAT позволяет визуализировать взаимосвязь сущностей через
Всем привет!
Еще один отличный материал от DataDog – Managed Kubernetes Auditing Toolkit (MKAT). Он позволяет идентифицировать ИБ-дефекты в облачных инсталляциях Kubernetes. На текущий момент поддерживается только AWS. Поддержка GCP GKE есть в roadmap.
При помощи него можно:
🍭 Идентифицировать взаимосвязь между k8s SA и AWS IAM Roles
🍭 Искать hardcoded учетные данные AWS в ресурсах k8s (Pods, CM, Secrets)
🍭 Идентифицировать возможность доступа pod’ов к AWS Instance Metadata Service
Кроме этого, MKAT позволяет визуализировать взаимосвязь сущностей через
--output dot. В repo есть ссылки на другие решения по анализу конфигураций и описание их отличия от MKAT.GitHub
GitHub - DataDog/managed-kubernetes-auditing-toolkit: All-in-one auditing toolkit for identifying common security issues in managed…
All-in-one auditing toolkit for identifying common security issues in managed Kubernetes environments. Currently supports Amazon EKS. - DataDog/managed-kubernetes-auditing-toolkit
❤2
Копирование Secrets в Kubernetes
Всем привет!
Казалось бы, зачем «изобретать еще один велосипед» при управлении секретами в k8s? Есть же HashiCorp Vault с его sidecar/operator, SealedSecrets, External Secrets и не только. Однако, бывают такие случаи 😊
В статье описывается «путь» Lonto. Началось все с того, что командам нужен был сертификат не только для домена вида
Посмотрев то, что было на рынке было принято решение делать свое. Причины того, почему не подошли существующие решения можно найти в статье.
В соответствии с потребностями определили следующие требования:
🍭 Поддержка регулярных выражений для указания namespaces, куда должны быть скопированы секреты
🍭 Наблюдение за создаваемыми namespaces для добавления в них секреты (если такое требуется)
🍭 При удалении CR все порожденные им Secrets должны так же удаляться
🍭 Controller должен быть расширяемым. Например, для интеграции с HashiCorp Vault
Результатом работы стал SecretMirror, который доступен на GitHub. И если у вас аналогичные задачи, то может быть именно он сможет вам помочь. Описание архитектуры, логики работы и примеры использования (в том числе работа с HashiCorp Vault) можно найти в статье.
Всем привет!
Казалось бы, зачем «изобретать еще один велосипед» при управлении секретами в k8s? Есть же HashiCorp Vault с его sidecar/operator, SealedSecrets, External Secrets и не только. Однако, бывают такие случаи 😊
В статье описывается «путь» Lonto. Началось все с того, что командам нужен был сертификат не только для домена вида
*.dev.example.com, но и для его sub-domains. Самым очевидным решением стало копирование секретов. Очевидным, но трудно поддерживаемым на большом объеме, особенно в условиях динамического предоставления сервисов (namespace’ов k8s) разработчикам. Второй задачей стала синхронизация секретов во всех кластерха и namespace’ах.Посмотрев то, что было на рынке было принято решение делать свое. Причины того, почему не подошли существующие решения можно найти в статье.
В соответствии с потребностями определили следующие требования:
🍭 Поддержка регулярных выражений для указания namespaces, куда должны быть скопированы секреты
🍭 Наблюдение за создаваемыми namespaces для добавления в них секреты (если такое требуется)
🍭 При удалении CR все порожденные им Secrets должны так же удаляться
🍭 Controller должен быть расширяемым. Например, для интеграции с HashiCorp Vault
Результатом работы стал SecretMirror, который доступен на GitHub. И если у вас аналогичные задачи, то может быть именно он сможет вам помочь. Описание архитектуры, логики работы и примеры использования (в том числе работа с HashiCorp Vault) можно найти в статье.
Medium
Why We Developed Own Kubernetes Controller to Copy Secrets
A journey of developing a custom Kubernetes controller that solves a problem of copying secrets within and outside of the cluster
❤1
Вебинар «Первичная настройка платформы "Штурвал". Конфигурация провайдеров»
24 мая компании «Лаборатория Числитель» и «Инфосистемы Джет» приглашают вас присоединиться к второму практическому вебинару, посвященному работе с платформой управления контейнерами «Штурвал».
В программе:
▪️Конфигурация провайдера oVirt
▪️Конфигурация провайдера vSphere
▪️Подготовка шаблонов узлов
Демонстрацию решения проведут:
▪️Александр Краснов, технический директор «Лаборатории Числитель»
▪️Дмитрий Горохов, директор департамента виртуализации и контейнеризации «Инфосистемы Джет»
Вебинар будет интересен DevOps-инженерам и DevOps-администраторам.
✅ Регистрация
24 мая компании «Лаборатория Числитель» и «Инфосистемы Джет» приглашают вас присоединиться к второму практическому вебинару, посвященному работе с платформой управления контейнерами «Штурвал».
В программе:
▪️Конфигурация провайдера oVirt
▪️Конфигурация провайдера vSphere
▪️Подготовка шаблонов узлов
Демонстрацию решения проведут:
▪️Александр Краснов, технический директор «Лаборатории Числитель»
▪️Дмитрий Горохов, директор департамента виртуализации и контейнеризации «Инфосистемы Джет»
Вебинар будет интересен DevOps-инженерам и DevOps-администраторам.
✅ Регистрация
🔥8🦄2❤🔥1👎1