Nauticus: управление Spaces в Kubernetes
Всем привет!
Все так, ошибки нет 😊 Именно
Он представляет из себя(да-да, в любой непонятной ситуации пишите свой operator 😊) , управляющий CR –
🍭 Уникальный namespace
🍭 ResourceQuotas и LimitRanges
🍭 RoleBinding
🍭 NetworkPolicy и не только
Таким образом задача управления разными namespaces значительно упрощается за счет «преднастройки». Например, при создании
Если интересно прочитать про примеры использования Nauticus, то можно обратиться к этой статье.
Всем привет!
Все так, ошибки нет 😊 Именно
Spaces, а не Namespaces И ими можно управлять при помощи open source утилиты – Nauticus.Он представляет из себя
controller Space.Space включает в себя:🍭 Уникальный namespace
🍭 ResourceQuotas и LimitRanges
🍭 RoleBinding
🍭 NetworkPolicy и не только
Таким образом задача управления разными namespaces значительно упрощается за счет «преднастройки». Например, при создании
Space можно указать enableDefaultStrictMode, что ограничит внешний трафик из других namespaces.Если интересно прочитать про примеры использования Nauticus, то можно обратиться к этой статье.
GitHub
GitHub - edixos/Nauticus: Simplifying Kubernetes cluster management with fully-managed Spaces
Simplifying Kubernetes cluster management with fully-managed Spaces - edixos/Nauticus
Software Licenses in Plain English
Всем привет!
Мы все очень тесно связаны с миром Opensource и Свободного ПО, но большинство не сильно вникает в суть лицензирования.
tl;drLegal - Неплохой способ разобраться в сути лицензий, не имея юридического образования 👨🏻🎓.
📄 Более 140 лицензий, с описанием и полными текстами, для изучения.
🇬🇧 Понятный язык, без специфичных для Английского права понятий.
🔍 Поиск по названию и тегам, описывающих суть лицензии.
А если хотите выбрать лицензию для своего проекта - это один из понятных способов разобраться!🧑🏼💻
Всем привет!
Мы все очень тесно связаны с миром Opensource и Свободного ПО, но большинство не сильно вникает в суть лицензирования.
tl;drLegal - Неплохой способ разобраться в сути лицензий, не имея юридического образования 👨🏻🎓.
📄 Более 140 лицензий, с описанием и полными текстами, для изучения.
🇬🇧 Понятный язык, без специфичных для Английского права понятий.
🔍 Поиск по названию и тегам, описывающих суть лицензии.
А если хотите выбрать лицензию для своего проекта - это один из понятных способов разобраться!🧑🏼💻
Tldrlegal
TLDRLegal - Software Licenses Explained in Plain English
Lookup open source licenses summarized & explained in plain English.
🔥6👍2🐳2
Vim для DevOps
Всем привет!
Многие инженеры пользуюся VSCode для работы. А если сервер доступен только по ssh и файлы хочется редактировать прямо на нем? Или же рабочая станция не самая новая?
Использовать редактор Vim конечно же! Ведь он есть под все современный платформы, даже для WinodwsТакое мы не одобряем 😊 , а конфиг - везде одинковый, что повышает портируемость. И да, в большинстве случаев он уже установлен в вашей системе.
Функциональность Vim можно расширять бесконечно. Существует множество модулей и плагинов, которые не просто дают новые возможности, а превращают его в полноценную IDE.
Вот минимальный набор, который будет полезно иметь:
🍭 NERDTree - Позволяет удобно выбирать файлы для редактирования в боковом меню
🍭 nerdtree-git-plugin - Позволяет просматривать статус файлов и строк с системах контроля версий на основе git.
🍭 coc.vim - Conquer of Completion. Плагин для расширений, на базе Nodejs. Поддерживаются языковые сервера для большинства языков программирования и разметки, но нас интересует Bash, Python, Golang, JSON, YAML, Markdown, ASCIIDoc и даже для Dockerfile!
В случае YAML, так же можно включить поддержку синтаксиса ресурсов kubernetes. В итоге вы получите автодополнение!
🍭 vim-terraform - Позволит управлять Terraform не выходя из редактора
🍭 markdown-preview - Дает возможность предпросмотра для Markdown файлов, что очень удобно для написания документации.Мы же все любим это делать, да?😊
А если вам нужно что-то, что не указано здесь - на сайте VimAwesome собран огромный список плагинов с их описанием и возможностью поиска и сортировки. Ведь Vim - конструктор, который каждый собирает под себя👨🏭
Всем привет!
Многие инженеры пользуюся VSCode для работы. А если сервер доступен только по ssh и файлы хочется редактировать прямо на нем? Или же рабочая станция не самая новая?
Использовать редактор Vim конечно же! Ведь он есть под все современный платформы, даже для Winodws
Функциональность Vim можно расширять бесконечно. Существует множество модулей и плагинов, которые не просто дают новые возможности, а превращают его в полноценную IDE.
Вот минимальный набор, который будет полезно иметь:
🍭 NERDTree - Позволяет удобно выбирать файлы для редактирования в боковом меню
🍭 nerdtree-git-plugin - Позволяет просматривать статус файлов и строк с системах контроля версий на основе git.
🍭 coc.vim - Conquer of Completion. Плагин для расширений, на базе Nodejs. Поддерживаются языковые сервера для большинства языков программирования и разметки, но нас интересует Bash, Python, Golang, JSON, YAML, Markdown, ASCIIDoc и даже для Dockerfile!
В случае YAML, так же можно включить поддержку синтаксиса ресурсов kubernetes. В итоге вы получите автодополнение!
🍭 vim-terraform - Позволит управлять Terraform не выходя из редактора
🍭 markdown-preview - Дает возможность предпросмотра для Markdown файлов, что очень удобно для написания документации.
GitHub
GitHub - preservim/nerdtree: A tree explorer plugin for vim.
A tree explorer plugin for vim. Contribute to preservim/nerdtree development by creating an account on GitHub.
❤3🔥3
Infrastructure as Code: риски и способы защиты
Привет!
По ссылке доступна обзорная статья, посвященная вопросам защиты при использовании Infrastructure as Code подхода к управлению ИТ-инфраструктурой.
Сперва Автор рассматривает наиболее «популярные» риски: Misconfiguration, Unauthorized access, Outdated dependencies, Malicious code injections, Inadequate audit and monitoring, Cloud resources we forgot to turn off.
Далее для каждого из рисков приводится верхнеуровневое описание того, как его можно идентифицировать. В том числе с использованием различных утилит. Например, checkov, tfsec, OPA и т.д.
Статья минималистичная, но дающая общий взгляд на вопросы ИБ Infrastructure as Code и подойдет «для начала».
P.S. В самой статье есть много отсылок на другие интересные материалы по теме.
Привет!
По ссылке доступна обзорная статья, посвященная вопросам защиты при использовании Infrastructure as Code подхода к управлению ИТ-инфраструктурой.
Сперва Автор рассматривает наиболее «популярные» риски: Misconfiguration, Unauthorized access, Outdated dependencies, Malicious code injections, Inadequate audit and monitoring, Cloud resources we forgot to turn off.
Далее для каждого из рисков приводится верхнеуровневое описание того, как его можно идентифицировать. В том числе с использованием различных утилит. Например, checkov, tfsec, OPA и т.д.
Статья минималистичная, но дающая общий взгляд на вопросы ИБ Infrastructure as Code и подойдет «для начала».
P.S. В самой статье есть много отсылок на другие интересные материалы по теме.
👍1
Software Supply Chain Security вместе с GUAC
Всем привет!
В конце мая 2023 года Google выпустила проект GUAC в beta! GUAC – Graph for Understanding Artifact Composition – инструмент, позволяющий анализировать open source на наличие уязвимостей.
Нет, это не еще один «генератор SBOM». Скорее наоборот. GUAC агрегирует информацию из различных источников и соединяет ее «воедино». Это позволяет обогатить информацию из SBOM добавив в нее данные от SLSA, SSF ScoreCard и т.д.
«Под капотом» находится следующий состав сервисов:
🍭 GraphQL Server. Сервис, позволяющий делать запросы к полученной структуре данных
🍭 Collector. Сервис, отвечающий за сбор информации
🍭 Ingestor. Сервис, который занимается разбором структур данных в формат GUAC. Поддерживается разбор SPDX, CycloneDX и SLSA
Assembler. Получает данные от Ingestor и создает записи в БД
Подробнее с GUAC можно познакомиться в документации. Например, можно прочитать про сценарии использования и структуру данных GUAC.
Всем привет!
В конце мая 2023 года Google выпустила проект GUAC в beta! GUAC – Graph for Understanding Artifact Composition – инструмент, позволяющий анализировать open source на наличие уязвимостей.
Нет, это не еще один «генератор SBOM». Скорее наоборот. GUAC агрегирует информацию из различных источников и соединяет ее «воедино». Это позволяет обогатить информацию из SBOM добавив в нее данные от SLSA, SSF ScoreCard и т.д.
«Под капотом» находится следующий состав сервисов:
🍭 GraphQL Server. Сервис, позволяющий делать запросы к полученной структуре данных
🍭 Collector. Сервис, отвечающий за сбор информации
🍭 Ingestor. Сервис, который занимается разбором структур данных в формат GUAC. Поддерживается разбор SPDX, CycloneDX и SLSA
Assembler. Получает данные от Ingestor и создает записи в БД
Подробнее с GUAC можно познакомиться в документации. Например, можно прочитать про сценарии использования и структуру данных GUAC.
GUAC
GUAC Docs
The site for everyone’s favorite software supply chain knowledge graph
Bytesafe: proxy для пакетных индексов
Всем привет!
На самом деле не совсем так. Bytesafe – решение, которое комбинирует функции firewall для зависимостей и возможности средства композиционного анализа (SCA).
Оно платное, но у него есть community-версия. Ограничений несколько – отсутствуют dashboard’ы, функционал SCA, а количество пакетных индексов (интеграций) ограничивается числом 10.
Работает следующим образом:
🍭 «Подключается» registry. На текущий момент поддерживается: npm, Maven, Nuget и PyPi
🍭 Настраивается конфигурация registry. Например, чтобы запрос шел на Bytesafe, а не к «оригинальному источнику»
🍭 Настраиваются правила. Например, можно разрешить только определенные пакеты, пакеты без уязвимостей выше определенного уровня, запрет на обновление из downstream registries и т.д.
Поставляется это все в виде контейнеров. Есть
Всем привет!
На самом деле не совсем так. Bytesafe – решение, которое комбинирует функции firewall для зависимостей и возможности средства композиционного анализа (SCA).
Оно платное, но у него есть community-версия. Ограничений несколько – отсутствуют dashboard’ы, функционал SCA, а количество пакетных индексов (интеграций) ограничивается числом 10.
Работает следующим образом:
🍭 «Подключается» registry. На текущий момент поддерживается: npm, Maven, Nuget и PyPi
🍭 Настраивается конфигурация registry. Например, чтобы запрос шел на Bytesafe, а не к «оригинальному источнику»
🍭 Настраиваются правила. Например, можно разрешить только определенные пакеты, пакеты без уязвимостей выше определенного уровня, запрет на обновление из downstream registries и т.д.
Поставляется это все в виде контейнеров. Есть
compose, есть инструкции по установке на k8s. Из-за ограничений это вряд ли подойдет средним и крупным компаниям. Но, быть может, будет интересно хотя бы ознакомиться с функционалом. А если нужны подробности, то можно обратиться к документации.GitHub
GitHub - bitfront-se/bytesafe-ce: Bytesafe Community Edition is a security platform that protects organizations from open source…
Bytesafe Community Edition is a security platform that protects organizations from open source software supply chain attacks. - bitfront-se/bytesafe-ce
Kubesec: анализ рисков ИБ для ресурсов k8s
Всем привет!
Kubesec позволяет анализировать ресурсы k8s на соответствие требованиям лучших практик. Да, может показаться, что это «еще один» Kyverno или Gatekeeper. Только не такой «мощный».
В целом так и есть. Не является Admission Controller’ом, а просто анализирует манифесты. Может быть удобно для локального тестирования, когда хочется быстро проанализировать подготовленную конфигурацию на соответствие основным требованиям по ИБ. Кроме того, можно запустить как http-сервер, к которому можно обращаться за анализом.
На текущий момент Kubesec содержит порядка 20 контролей, среди которых:
🍭 Наличие linux capability
🍭 Отсутствие контроля CPU/RAM
🍭 Наличие
Для некоторых контролей в документации можно найти больше информации или ссылки на полезные ресурсы по теме.
Всем привет!
Kubesec позволяет анализировать ресурсы k8s на соответствие требованиям лучших практик. Да, может показаться, что это «еще один» Kyverno или Gatekeeper. Только не такой «мощный».
В целом так и есть. Не является Admission Controller’ом, а просто анализирует манифесты. Может быть удобно для локального тестирования, когда хочется быстро проанализировать подготовленную конфигурацию на соответствие основным требованиям по ИБ. Кроме того, можно запустить как http-сервер, к которому можно обращаться за анализом.
На текущий момент Kubesec содержит порядка 20 контролей, среди которых:
🍭 Наличие linux capability
SYS_ADMIN
Privileged контейнеры🍭 Отсутствие контроля CPU/RAM
🍭 Наличие
hostPID, IPC, Network и другиеДля некоторых контролей в документации можно найти больше информации или ссылки на полезные ресурсы по теме.
GitHub
GitHub - controlplaneio/kubesec: Security risk analysis for Kubernetes resources
Security risk analysis for Kubernetes resources. Contribute to controlplaneio/kubesec development by creating an account on GitHub.
CI/CD Security
Всем привет!
По ссылке доступна большая статья(27 минут, если верить описанию) , посвященная вопросам безопасности CI/CD Security.
Сперва Автор разбирает OWASP Top 10 CI/CD Security Risks, попутно описывая «почему это плохо» и «как это было проэксплуатировано» (примеры есть не везде).
Далее рассматриваются техники защиты – все, начиная от использования сканеров (SCA, SAST и т.д.) до безопасной настройкой самого конвейера и периодического аудита.
В статье много ссылок не только на примеры из жизни, но и на полезные материалы по теме для более глубокого изучения.
Всем привет!
По ссылке доступна большая статья
Сперва Автор разбирает OWASP Top 10 CI/CD Security Risks, попутно описывая «почему это плохо» и «как это было проэксплуатировано» (примеры есть не везде).
Далее рассматриваются техники защиты – все, начиная от использования сканеров (SCA, SAST и т.д.) до безопасной настройкой самого конвейера и периодического аудита.
В статье много ссылок не только на примеры из жизни, но и на полезные материалы по теме для более глубокого изучения.
Spacelift
CI/CD Security: What is It, Risks & 20 Best Practices
Learn why CI/CD Security is the key to faster and more reliable software delivery with tips on how to keep your pipelines secure.
❤5👍4
SaltSecurity-Report-State_of_API_Security.pdf
455.8 KB
State of API Security
Всем привет!
В приложении доступен отчет от Salt Labs, посвященный вопросам информационной безопасности API.
Материал небольшой (~ 22 страницы), но весьма емкий.
Внутри можно найти:
🍭 Наиболее часто встречающиеся атаки на API
🍭 ИБ-проблемы, связанные с API
🍭 Использование средств защиты и их эффективность
🍭 Документирование API и его особенности
В завершение отчета можно найти примеры случаев из жизни (found in the wild), в которых описаны проблемы безопасности API. И, как обычно, на последней странице ссылки на полезные материалы по теме.
Всем привет!
В приложении доступен отчет от Salt Labs, посвященный вопросам информационной безопасности API.
Материал небольшой (~ 22 страницы), но весьма емкий.
Внутри можно найти:
🍭 Наиболее часто встречающиеся атаки на API
🍭 ИБ-проблемы, связанные с API
🍭 Использование средств защиты и их эффективность
🍭 Документирование API и его особенности
В завершение отчета можно найти примеры случаев из жизни (found in the wild), в которых описаны проблемы безопасности API. И, как обычно, на последней странице ссылки на полезные материалы по теме.
👌2
API Security: Awesome
Всем привет!
В продолжение темы вчерашнего поста, предлагаем ознакомиться с API Security Awesome – подборкой материалов с ресурсами по тематике.
Внутри можно найти:
🍭 Книги
🍭 Всевозможные cheatsheets
🍭 Наборы требований/проверок (checklist)
🍭 Заведомо уязвимые приложения с небезопасным API
🍭 Перечень средств автоматизации и многое другое
Подборка включает в себя как бесплатные / open source ресурсы, так и платные материалы. Точно можно подобрать то, что можно начать изучать в ближайшие выходные 😊
Всем привет!
В продолжение темы вчерашнего поста, предлагаем ознакомиться с API Security Awesome – подборкой материалов с ресурсами по тематике.
Внутри можно найти:
🍭 Книги
🍭 Всевозможные cheatsheets
🍭 Наборы требований/проверок (checklist)
🍭 Заведомо уязвимые приложения с небезопасным API
🍭 Перечень средств автоматизации и многое другое
Подборка включает в себя как бесплатные / open source ресурсы, так и платные материалы. Точно можно подобрать то, что можно начать изучать в ближайшие выходные 😊
GitHub
GitHub - arainho/awesome-api-security: A collection of awesome API Security tools and resources. The focus goes to open-source…
A collection of awesome API Security tools and resources. The focus goes to open-source tools and resources that benefit all the community. - arainho/awesome-api-security
21 июня приглашаем вас на вебинар «Создание кластеров в платформе «Штурвал»
Наш партнер, российский разработчик ПО, компания «Лаборатория Числитель» продолжает серию онлайн-обзоров платформы управления контейнерами «Штурвал».
Темы третьего вебинара:
🔹Создание кластера на предварительно развернутых виртуальных машинах
🔹Создание кластера на платформе vSphere
🔹Создание кластера на отечественной платформе виртуализации
Демонстрацию решения проведут:
🔹Александр Краснов, технический директор «Лаборатории Числитель»
🔹Степан Чернов, архитектор «Инфосистемы Джет»
Вебинар будет интересен DevOps-инженерам и DevOps-администраторам.
✅ Регистрация
Посмотреть первые два вебинара можно здесь:
▶️ «Штурвал». Начало работы
▶️ Первичная настройка платформы «Штурвал». Конфигурация провайдеров
Наш партнер, российский разработчик ПО, компания «Лаборатория Числитель» продолжает серию онлайн-обзоров платформы управления контейнерами «Штурвал».
Темы третьего вебинара:
🔹Создание кластера на предварительно развернутых виртуальных машинах
🔹Создание кластера на платформе vSphere
🔹Создание кластера на отечественной платформе виртуализации
Демонстрацию решения проведут:
🔹Александр Краснов, технический директор «Лаборатории Числитель»
🔹Степан Чернов, архитектор «Инфосистемы Джет»
Вебинар будет интересен DevOps-инженерам и DevOps-администраторам.
✅ Регистрация
Посмотреть первые два вебинара можно здесь:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11🦄3🤡2❤🔥1👍1
Setting_Supply_Chain_Security_in_DevSecOps_ebook_Red_Hat_Developer.pdf
598.8 KB
A developer’s guide to supply chain security
Всем привет!
В приложении материал от Red Hat, посвященный software supply chain security. Авторы старались подойти к вопросу с точки зрения разработчиков. Поэтому в первой части документа много информации о том, «почему это надо делать».
Помимо этого, внутри можно найти рекомендации:
🍭 Управление доверенными образами контейнеров и библиотеками
🍭 Защита registry, контроль размещения в нем компонентов
🍭 Защита исходного кода
🍭 Усиление защиты сборочного конвейера и не только
Материал небольшой (~ 21 страница), но содержит неплохой обзор практик обеспечения безопасности software supply chain и может быть использован совместно с материалами SLSA и CNCF.
Всем привет!
В приложении материал от Red Hat, посвященный software supply chain security. Авторы старались подойти к вопросу с точки зрения разработчиков. Поэтому в первой части документа много информации о том, «почему это надо делать».
Помимо этого, внутри можно найти рекомендации:
🍭 Управление доверенными образами контейнеров и библиотеками
🍭 Защита registry, контроль размещения в нем компонентов
🍭 Защита исходного кода
🍭 Усиление защиты сборочного конвейера и не только
Материал небольшой (~ 21 страница), но содержит неплохой обзор практик обеспечения безопасности software supply chain и может быть использован совместно с материалами SLSA и CNCF.
Parlay: SBOM Enrichment
Всем привет!
Еще один интересный проект от Snyk – Parlay. Его задача заключается в том, что добавить (обогатить) в Software Bill Of Materials (SBOM) как можно больше информации.
Для «обогащения» используются такие ресурсы, как ecosyste.ms, Snyk и OpenSSF Scorecard. Работает крайне просто – даем SBOM «на вход» и «на выходе» получаем расширенную версию.
Например, можно добавить информацию о Supplier, Licenses, ссылки на внешние ресурсы, имеющие отношение к рассматриваемому компоненту.
Если интересует информация от OpenSSF, то на текущий момент Parlay позволяет добавить только саму ссылку, без ее «содержания». С другой стороны, это уже неплохо – при помощи ссылки и Scorecard API можно получить желаемые данные.
Посмотреть проект можно по ссылке на GitHub.
Всем привет!
Еще один интересный проект от Snyk – Parlay. Его задача заключается в том, что добавить (обогатить) в Software Bill Of Materials (SBOM) как можно больше информации.
Для «обогащения» используются такие ресурсы, как ecosyste.ms, Snyk и OpenSSF Scorecard. Работает крайне просто – даем SBOM «на вход» и «на выходе» получаем расширенную версию.
Например, можно добавить информацию о Supplier, Licenses, ссылки на внешние ресурсы, имеющие отношение к рассматриваемому компоненту.
Если интересует информация от OpenSSF, то на текущий момент Parlay позволяет добавить только саму ссылку, без ее «содержания». С другой стороны, это уже неплохо – при помощи ссылки и Scorecard API можно получить желаемые данные.
Посмотреть проект можно по ссылке на GitHub.
Snyk
Introducing parlay, a tool for enriching SBOMs | Snyk
We're excited to introduce parlay, Snyk's new open source tool that enriches SBOMs.
👍2🔥2
PASSWORD STORE
Pass - консольный парольный менеджер, который следует философии Unix и предоставляет возможность хранения паролей в виде обычных файлов, зашифрованных c помощью GPG.
Из плюсов хочется отметить:
🍭 Портируемость - Имеется поддержка большинства современных браузеров, ОС и мобильных платформ. Так же присутствует несколько графических утилит.
🍭 Легковесность - В установленном виде программа занимает чуть более 46 килобайт.
🍭 Простота установки - Вам всего лишь нужно сгенерировать пару ключей используя утилиту GNUPG и инициализировать password store.
🍭 Свобода - исходные коды проекта распространяются под лицензией GNU GPLv2+.
При этом, ваши пароли принадлежат только вам - вы можете хранить их как локально, так и используя GIT репозиторий, который может располагаться прямо у вас дома. Все данные хранятся в зашифрованном виде, так что можно не переживать за их сохранность.
А если ваш GIT репозиторий не смотрит в интернет, в pass реализован механизм, когда каждый добавленный пароль сопровождается коммитом в локальный репозиторий. Это помогает избежать конфликтов при синхронизации портативных устройств, живущих в отрыве от сервера.
Так же, Pass можно использовать для хранения секретов в CI фреймворке Buildbot.
Pass - консольный парольный менеджер, который следует философии Unix и предоставляет возможность хранения паролей в виде обычных файлов, зашифрованных c помощью GPG.
Из плюсов хочется отметить:
🍭 Портируемость - Имеется поддержка большинства современных браузеров, ОС и мобильных платформ. Так же присутствует несколько графических утилит.
🍭 Легковесность - В установленном виде программа занимает чуть более 46 килобайт.
🍭 Простота установки - Вам всего лишь нужно сгенерировать пару ключей используя утилиту GNUPG и инициализировать password store.
🍭 Свобода - исходные коды проекта распространяются под лицензией GNU GPLv2+.
При этом, ваши пароли принадлежат только вам - вы можете хранить их как локально, так и используя GIT репозиторий, который может располагаться прямо у вас дома. Все данные хранятся в зашифрованном виде, так что можно не переживать за их сохранность.
А если ваш GIT репозиторий не смотрит в интернет, в pass реализован механизм, когда каждый добавленный пароль сопровождается коммитом в локальный репозиторий. Это помогает избежать конфликтов при синхронизации портативных устройств, живущих в отрыве от сервера.
Так же, Pass можно использовать для хранения секретов в CI фреймворке Buildbot.
www.passwordstore.org
Pass: The Standard Unix Password Manager
Pass is the standard unix password manager, a lightweight password manager that uses GPG and Git for Linux, BSD, and Mac OS X.
👍4🔥3🥰2
Kubernetes Operator: Step by Step Guide
Всем привет!
В статье приведена детальная пошаговая инструкция о том, как создать собственный Kubernetes Operator с использованием Operator SDK. Задача создаваемого оператора простая – он будет хранить информацию о
Статья начинается с краткого описания того, что такое Operator и зачем он нужен, что он делает и из каких «компонентов» состоит.
Дальше – интересней:
🍭 Перечень необходимых «зависимостей» (начиная от Golang и заканчивая «подопытным» кластером k8s)
🍭 Инициализация проекта с Operator SDK
Создание Custom Controller
🍭 Написание логики ключевого процесса Operator’a – реконсиляции
🍭 Сборка созданного Operator и его тестирование
Статья и правда step by step. Каждый шаг описывается Автором, приводится листинг (частичный) кода, который может быть полезен при самостоятельном воспроизведении материала. А для наглядности есть схема, в которой описан процесс работы Operator’a.
Всем привет!
В статье приведена детальная пошаговая инструкция о том, как создать собственный Kubernetes Operator с использованием Operator SDK. Задача создаваемого оператора простая – он будет хранить информацию о
pod, которые не пересоздавались/обновлялись в течение заданного времени.Статья начинается с краткого описания того, что такое Operator и зачем он нужен, что он делает и из каких «компонентов» состоит.
Дальше – интересней:
🍭 Перечень необходимых «зависимостей» (начиная от Golang и заканчивая «подопытным» кластером k8s)
🍭 Инициализация проекта с Operator SDK
Создание Custom Controller
🍭 Написание логики ключевого процесса Operator’a – реконсиляции
🍭 Сборка созданного Operator и его тестирование
Статья и правда step by step. Каждый шаг описывается Автором, приводится листинг (частичный) кода, который может быть полезен при самостоятельном воспроизведении материала. А для наглядности есть схема, в которой описан процесс работы Operator’a.
Medium
Effortlessly Develop and Deploy Kubernetes Custom Resources with Operator SDK: A Step-by-Step Guide
Introduction
🔥4
Repo Jacking
Всем привет!
В статье описывается принципы работы одной из software supply chain attack – Repo Jacking. Эта атака может привести к значительным последствиям.
При этом реализуется она относительно просто:
🍭 Допустим, что в коде есть зависимость на
🍭 Но! Освободившийся username можно зарегистрировать «еще раз» и создать такой же «project», но уже с нужным вам содержанием.
В этом случае зависимость, указанная в коде, будет ссылаться не на исходный проект, а на созданный потенциальным злоумышленником.
Помимо описания самой атаки в статье можно найти информацию об условиях, когда она может быть реализована, а также результаты анализа GitHub Repo, потенциально уязвимых к Repo Jacking.
Кстати, подход к идентификации уязвимых Repo доступно описан в статье и весьма интересен -от сбора данных, до поиска unregistered user names!
Что делать и как быть? Все это можно найти внутри 😊(не использовать прямые ссылки, делать version pinning и использовать lock files, скачивать зависимости и использовать их локально (vendoring)).
P.S. Сама статья от 2020 года. Если интересно что изменилось с тех пор – можно обратиться к этому материалу от 2023.
Всем привет!
В статье описывается принципы работы одной из software supply chain attack – Repo Jacking. Эта атака может привести к значительным последствиям.
При этом реализуется она относительно просто:
🍭 Допустим, что в коде есть зависимость на
https://github.com/username/project
🍭 Представим, что username был изменен владельцем. Пока что все нормально🍭 Но! Освободившийся username можно зарегистрировать «еще раз» и создать такой же «project», но уже с нужным вам содержанием.
В этом случае зависимость, указанная в коде, будет ссылаться не на исходный проект, а на созданный потенциальным злоумышленником.
Помимо описания самой атаки в статье можно найти информацию об условиях, когда она может быть реализована, а также результаты анализа GitHub Repo, потенциально уязвимых к Repo Jacking.
Кстати, подход к идентификации уязвимых Repo доступно описан в статье и весьма интересен -от сбора данных, до поиска unregistered user names!
Что делать и как быть? Все это можно найти внутри 😊
Securityinnovation
Repo Jacking: Exploiting the Dependency Supply Chain
Three scenarios enable GitHub repositories to be hijacked. Linking directly to them may result in malicious code injection; don’t do it.
👍1
Callisto: binary analysis
Всем привет!
Callisto – небольшая утилита, которая позволяет искать уязвимости в binary-файлах. Скорее всего качество анализа будет невысоким, но сам подход достаточно интересный.
В своей работе Автор объединил следующее:
🍭 Декомпиляция binary файла с использованием
Всем привет!
Callisto – небольшая утилита, которая позволяет искать уязвимости в binary-файлах. Скорее всего качество анализа будет невысоким, но сам подход достаточно интересный.
В своей работе Автор объединил следующее:
🍭 Декомпиляция binary файла с использованием
Ghidra
🍭 Анализ полученных результатов – Semgrep
🍭 Валидация результатов при помощи GPT-3.5-Turbo
Пример того, как работает Callisto можно найти в repo проекта. Так же там присутствует информация о необходимых prerequisites для запуска утилиты и ключах, которые можно использовать.GitHub
GitHub - JetP1ane/Callisto: Callisto - An Intelligent Binary Vulnerability Analysis Tool
Callisto - An Intelligent Binary Vulnerability Analysis Tool - JetP1ane/Callisto
👍2❤1🔥1
Jsluice: анализ JavaScript файлов
Всем привет!
Jsluice существует в двух вариантах – один из них представляет собой CLI, а второй – Golang Package. На случай, если вам вдруг захочется интегрировать ее возможности себе в проект 😊
Утилита позволяет анализировать JavaScript файлы и находить в них:
🍭 URLs и paths
🍭 Секреты (по умолчанию только AWS, GCP, GitHub Keys и Firebase configurations, но можно расширять собственными patterns)
🍭 Syntax tree и не только
В repo дается отличное описание с примерами как и зачем можно использовать jsluice. А если хочется использовать Golang Package-версию, то есть детальное описание в документации пакета.
Всем привет!
Jsluice существует в двух вариантах – один из них представляет собой CLI, а второй – Golang Package. На случай, если вам вдруг захочется интегрировать ее возможности себе в проект 😊
Утилита позволяет анализировать JavaScript файлы и находить в них:
🍭 URLs и paths
🍭 Секреты (по умолчанию только AWS, GCP, GitHub Keys и Firebase configurations, но можно расширять собственными patterns)
🍭 Syntax tree и не только
В repo дается отличное описание с примерами как и зачем можно использовать jsluice. А если хочется использовать Golang Package-версию, то есть детальное описание в документации пакета.
GitHub
jsluice/cmd/jsluice at main · BishopFox/jsluice
Extract URLs, paths, secrets, and other interesting bits from JavaScript - BishopFox/jsluice
Validating Admission Policies
Всем привет!
В repo собраны политики, используемые утилитой Kubescape. Получился неплохой baseline набор, который можно использовать. Да, многие из них встречаются в различных статьях и материалах, но это не делает их менее правильными или нужными для использования.
Например, внутри есть политики про:
🍭 Управление ресурсами CPU/RAM
🍭 Наличие SSH-сервера внутри контейнера
🍭 Небезопасные Linux-capabilities
🍭 Naked Pods (Pod, не имеющие «обертки» в виде ReplicaSet, Deployment, Job и т.д.) и другие
Очень понравилось описание каждой политики. В нем содержится указание причины, из-за которой политику целесообразно применять; подверженные ресурсы; уровень значимости политики; параметры конфигурации (при наличии) и описание того, что именно делает политика.
Всем привет!
В repo собраны политики, используемые утилитой Kubescape. Получился неплохой baseline набор, который можно использовать. Да, многие из них встречаются в различных статьях и материалах, но это не делает их менее правильными или нужными для использования.
Например, внутри есть политики про:
🍭 Управление ресурсами CPU/RAM
🍭 Наличие SSH-сервера внутри контейнера
🍭 Небезопасные Linux-capabilities
🍭 Naked Pods (Pod, не имеющие «обертки» в виде ReplicaSet, Deployment, Job и т.д.) и другие
Очень понравилось описание каждой политики. В нем содержится указание причины, из-за которой политику целесообразно применять; подверженные ресурсы; уровень значимости политики; параметры конфигурации (при наличии) и описание того, что именно делает политика.
GitHub
GitHub - kubescape/cel-admission-library: This projects contains pre-made policies for Kubernetes Validating Admission Policies.…
This projects contains pre-made policies for Kubernetes Validating Admission Policies. This policy library is based on Kubescape controls, see here a comlete list https://hub.armosec.io/docs/contro...
🔥2
Рождение pod’a: что «внутри»?
Всем привет!
Еще одна статья из серии «что происходит под капотом?». Рассматривается процесс создания
Расписываются следующие шаги
🍭 Написание манифеста, использование
🍭 AuthN и AuthZ при обращении к
🍭 Scheduling (Node Selection, Filtering, Scoring, Final Selection, Binding and Assignment, Node Allocation)
🍭 Взаимодействие
Материал очень хорошо структурирован и позволит чуть больше понять «внутренности» и то, зачем как и когда используются разные технологии и компоненты Kubernetes.
Всем привет!
Еще одна статья из серии «что происходит под капотом?». Рассматривается процесс создания
pod’a и вся та «магия», что осуществляется с помощью Kubernetes.Расписываются следующие шаги
🍭 Написание манифеста, использование
kubectl и client-side validation🍭 AuthN и AuthZ при обращении к
kube-apiserver. Когда «подключается» Admission Control🍭 Scheduling (Node Selection, Filtering, Scoring, Final Selection, Binding and Assignment, Node Allocation)
🍭 Взаимодействие
Kubelet, CRI и CNI для старта контейнераМатериал очень хорошо структурирован и позволит чуть больше понять «внутренности» и то, зачем как и когда используются разные технологии и компоненты Kubernetes.
Deepsecrets: поиск секретов
Всем привет!
Много инструментов для поиска секретов не бывает! Поэтому предлагаем еще один – Deepsecrets. Особенно приятно, что этот инструмент от команды Avito!
Зачем нужен еще один сканер? Ответ можно найти в repo – вместо классического regex-подхода Deepsecrets использует семантический анализ, более эффективное использование энтропии и не только. Но все равно regex «внутри» есть 😊
Устанавливается быстро, запускается просто и немного конфигурируется. Можно сразу посмотреть на результаты и сравнить с аналогами.
Если хочется ознакомиться с историей создания инструмента, то можно прочесть отличную статью, описывающую проблематику поиска секретов от все той же команды Avito.
Всем привет!
Много инструментов для поиска секретов не бывает! Поэтому предлагаем еще один – Deepsecrets. Особенно приятно, что этот инструмент от команды Avito!
Зачем нужен еще один сканер? Ответ можно найти в repo – вместо классического regex-подхода Deepsecrets использует семантический анализ, более эффективное использование энтропии и не только. Но все равно regex «внутри» есть 😊
Устанавливается быстро, запускается просто и немного конфигурируется. Можно сразу посмотреть на результаты и сравнить с аналогами.
Если хочется ознакомиться с историей создания инструмента, то можно прочесть отличную статью, описывающую проблематику поиска секретов от все той же команды Avito.
GitHub
GitHub - avito-tech/deepsecrets: Secrets scanner that understands code
Secrets scanner that understands code. Contribute to avito-tech/deepsecrets development by creating an account on GitHub.
🔥4