Webhook: проверка электронной подписи
Всем привет!
Но как убедиться в том, что данные пришли от доверенного источника? Что никто не пытается его «взломать», например, передав не те данные. Ответ – электронная подпись.
В статье Авторы от SNYK проводят простую демонстрацию:
🍭 Создают небольшой
🍭 Настраивают
Примеры кода и пояснения, а также рекомендации как повысить уровень информационной безопасности при использовании
Всем привет!
Webhook – интеграционный механизм, который повсеместно используется в разработке и DevSecOps. Это удобно, просто и быстро.Но как убедиться в том, что данные пришли от доверенного источника? Что никто не пытается его «взломать», например, передав не те данные. Ответ – электронная подпись.
В статье Авторы от SNYK проводят простую демонстрацию:
🍭 Создают небольшой
webhook-receiver на базе Node.js
🍭 Направляют запрос при помощи Postman. Контроля подписи нет, запрос выполняется🍭 Настраивают
webhook в GitHub
🍭 Изменяют логику работы приложения, добавляя анализ электронной подписи webhook
🍭 Повторяют аналогичный тест. На этот раз выполняется только «разрешенный» запрос, для всех остальных – 401Примеры кода и пояснения, а также рекомендации как повысить уровень информационной безопасности при использовании
webhook можно найти в статье.Snyk
The importance of verifying webhook signatures | Snyk
Webhooks are a callback integration technique for sending and receiving information, such as event notifications, in close to real-time. In this walkthrough, we’ll implement a GitHub webhook in Node.js that detects when users push code to a repository.
👍7❤1
Arbitrary Code Execution в R/O filesystems
Всем привет!
Рекомендацию по использованию
Размышления на эту тему можно найти в статье. Автор рассматривает 3 сценария:
🍭
🍭
В каждом из сценариев Автору удалось добавить файлы в файловую систему и установить reverse shell. При этом контейнеры запускались с
Примеры реализации (команды, код, детализация подходов), а также меры для идентификации подобных сценариев можно найти в самой статье.
Всем привет!
Рекомендацию по использованию
readOnlyRootFileSystem: true можно встретить практически во всех рекомендациях и лучшим ИБ-практиках по защите контейнеров. Но достаточно ли ее для того, чтобы полностью избежать манипуляций с файловой системой контейнера?Размышления на эту тему можно найти в статье. Автор рассматривает 3 сценария:
🍭
Nginx и использование /dev/tcp
🍭 Alpine и использование возможностей «встроенного» busybox (wget)🍭
Alpine и использование dynamic linker/loader librariesВ каждом из сценариев Автору удалось добавить файлы в файловую систему и установить reverse shell. При этом контейнеры запускались с
readOnlyRootFileSystem: true и из-под непривилегированных пользователей.Примеры реализации (команды, код, детализация подходов), а также меры для идентификации подобных сценариев можно найти в самой статье.
Withsecure
Executing Arbitrary Code & Executables in Read-Only FileSystems
In containerized environments, such as Kubernetes clusters, read-only filesystems are viewed as an additional layer of defense, as they allow for better control and management of containerized applications. Immutable containers are consistent and predictable…
👍9❤1
PyLoose: fileless-атака с Python
Всем привет!
Команда Wiz идентифицировала новое вредоносное ПО, которое получило название PyLoose. Оно позволяет запустить crypto miner в оперативной памяти с использованием
Для эксплуатации необходим Jupyter Notebook, возможность запуска Python-скриптов с доступом к системным командам (
Примечательно, что noscript состоит всего из 9(!) строк кода на Python. «Построчный разбор», подробности атаки (включая условия «успешности»), а также способы ее идентификации можно найти в статье от Wiz.
Всем привет!
Команда Wiz идентифицировала новое вредоносное ПО, которое получило название PyLoose. Оно позволяет запустить crypto miner в оперативной памяти с использованием
memfd. Для эксплуатации необходим Jupyter Notebook, возможность запуска Python-скриптов с доступом к системным командам (
os, subprocess). Жертве передается нужный noscript, происходит его запуск и установка XMrig miner.Примечательно, что noscript состоит всего из 9(!) строк кода на Python. «Построчный разбор», подробности атаки (включая условия «успешности»), а также способы ее идентификации можно найти в статье от Wiz.
wiz.io
PyLoose: Python-based fileless malware targets cloud workloads to deliver cryptominer | Wiz Blog
PyLoose is a newly discovered Python-based fileless malware targeting cloud workloads. Get a breakdown of how the attack unfolds and the steps to mitigate it.
👍4🔥3❤2
SNYK_Top_10.pdf
5.5 MB
SNYK Top 10
Всем привет!
В приложении доступен отчет поOWASP Top 10 по 10 наиболее распространенным уязвимостям по версии SNYK для языков: JavaScript, Java, Python, Go, PHP, Ruby, and C#.
Отчет формировался на основании данных, анализируемых специалистами компании и представляет их видение происходящего.
Список получился таким:
🍭 Denial of Service
🍭 Remote Code Execution
🍭 Deserealization of Untrusted Data
🍭 SQL Injection
🍭 Prototype Pollution
🍭 Insecure Temporary File
🍭 Directory/Path Traversal
🍭 Privilege Escalation
🍭 Regular Expression Denial of Service
🍭 NULL Pointer Dereference
Помимо информации об уязвимостях в отчете можно найти ссылки на cheatsheet по языкам и полезные материалы по теме.
Всем привет!
В приложении доступен отчет по
Отчет формировался на основании данных, анализируемых специалистами компании и представляет их видение происходящего.
Список получился таким:
🍭 Denial of Service
🍭 Remote Code Execution
🍭 Deserealization of Untrusted Data
🍭 SQL Injection
🍭 Prototype Pollution
🍭 Insecure Temporary File
🍭 Directory/Path Traversal
🍭 Privilege Escalation
🍭 Regular Expression Denial of Service
🍭 NULL Pointer Dereference
Помимо информации об уязвимостях в отчете можно найти ссылки на cheatsheet по языкам и полезные материалы по теме.
❤5👍3
Labeling в Kubernetes
Всем привет!
Простой пост понедельника, посвященный Labels. Механизм повсеместно используется в Kubernetes. При этом есть как «системные» Labels (нужны для работы Kubernetes), так и «пользовательские» (упрощают понимание контекста).
В статье приведены рекомендации о том, как именно их стоит указывать. За основу взят материал из официальной документации k8s, который рекомендует указывать:
🍭 Name
🍭 Instance
🍭 Version
🍭 Component
🍭 Part-of
🍭 Managed-by
Рассматриваются примеры реализации, в том числе на базе существующих и популярных решений мира контейнеризации. Помимо этого, можно найти рекомендации об использовании Labels в multitenant-инсталляциях.
Всем привет!
Простой пост понедельника, посвященный Labels. Механизм повсеместно используется в Kubernetes. При этом есть как «системные» Labels (нужны для работы Kubernetes), так и «пользовательские» (упрощают понимание контекста).
В статье приведены рекомендации о том, как именно их стоит указывать. За основу взят материал из официальной документации k8s, который рекомендует указывать:
🍭 Name
🍭 Instance
🍭 Version
🍭 Component
🍭 Part-of
🍭 Managed-by
Рассматриваются примеры реализации, в том числе на базе существующих и популярных решений мира контейнеризации. Помимо этого, можно найти рекомендации об использовании Labels в multitenant-инсталляциях.
DEV Community
Labels and annotations in Kubernetes
In Kubernetes, you can use labels to assign key-value pairs to any resources. Labels are ubiquitous...
👍1
Нюансы проверки подписи в Kubernetes
Всем привет!
Подпись образов, их аттестация и последующая проверка при создании ресурсов Kubernetes становится все более и более привычной практикой. Появляются новые механизмы, обрастают функционалом существующие.
Но все ли так просто, неужели нет «подводных камней»? Ответ можно найти в статье от Chainguard, в которой Автор описывает несколько нюансов, связанных с проверкой подписи.
В их число входят:
🍭 Resource Type. Важно учитывать, что «местоположение» контейнера в манифесте будет разным, например, для
🍭 Tags and digest. Особенности, связанные с «конвертацией» tag – digest
🍭 Attestations and additional data. Больше данных – больше проверок, что может увеличить время анализа и быть заметно на масштабе
🍭 Key Rotation. Управление ключами, используемыми для подписи образов
Все очень структурированно и доступно описано. Что делать с описанными выше нюансами? У Chainguard есть мнение и на этот счет! В завершении статьи можно найти ссылку на их проект – Chainguard Enforce (увы, не open source).
Всем привет!
Подпись образов, их аттестация и последующая проверка при создании ресурсов Kubernetes становится все более и более привычной практикой. Появляются новые механизмы, обрастают функционалом существующие.
Но все ли так просто, неужели нет «подводных камней»? Ответ можно найти в статье от Chainguard, в которой Автор описывает несколько нюансов, связанных с проверкой подписи.
В их число входят:
🍭 Resource Type. Важно учитывать, что «местоположение» контейнера в манифесте будет разным, например, для
Pod, Deployment или CronJob
🍭 Scale. Потенциальный rate limit для container registries, связанный с большим количеством запросов при проверке подписи, важность использования cache🍭 Tags and digest. Особенности, связанные с «конвертацией» tag – digest
🍭 Attestations and additional data. Больше данных – больше проверок, что может увеличить время анализа и быть заметно на масштабе
🍭 Key Rotation. Управление ключами, используемыми для подписи образов
Все очень структурированно и доступно описано. Что делать с описанными выше нюансами? У Chainguard есть мнение и на этот счет! В завершении статьи можно найти ссылку на их проект – Chainguard Enforce (увы, не open source).
www.chainguard.dev
So you want to check image signatures in Kubernetes…?
Signing containers is one of the best security practices you can adopt today but its not always as easy as it seems. Here are five problems you'll likely encounter when trying to verify signatures at deployment time in Kubernetes. Everything you need to know…
👍2
25 Methods for Pipeline Attacks
Всем привет!
В статье собраны примеры того, как можно что-то «получить» или сделать «плохо» при неправильной конфигурации pipeline.
Например:
🍭 Добавление unauthorized user в качестве approver
🍭 Извлечение секретов и переменных окружения
🍭 Изменение конфигурационных файлов приложения и другие
Для каждого примера приводится описание сценария и примеры команд, как это можно реализовать. В завершении статьи примеры того, как этого можно не допустить.
Всем привет!
В статье собраны примеры того, как можно что-то «получить» или сделать «плохо» при неправильной конфигурации pipeline.
Например:
🍭 Добавление unauthorized user в качестве approver
🍭 Извлечение секретов и переменных окружения
🍭 Изменение конфигурационных файлов приложения и другие
Для каждого примера приводится описание сценария и примеры команд, как это можно реализовать. В завершении статьи примеры того, как этого можно не допустить.
👍3
CodeQL: From zero to hero, Part 2
Всем привет!
Вторая статья серии, посвященной CodeQL (о первой мы писали тут). На этот раз речь пройдет не про общие концепты статического анализа, а непосредственно про сам CodeQL.
Статья содержит информацию:
🍭 Общий принцип работы CodeQL
🍭 «Первое сканирование» с использованием GitHub Actions
🍭 База данных CodeQL: создание, переиспользование
🍭 Написание собственных CodeQL Query: основы, Predicates, Classes и т.д.
В статье очень много примеров, каждый из которых разбирается практически «line-by-line» и отлично помогает разобраться в основах CodeQL. Однозначно рекомендуем к прочтению, как и первую статью серии! ☺️
Всем привет!
Вторая статья серии, посвященной CodeQL (о первой мы писали тут). На этот раз речь пройдет не про общие концепты статического анализа, а непосредственно про сам CodeQL.
Статья содержит информацию:
🍭 Общий принцип работы CodeQL
🍭 «Первое сканирование» с использованием GitHub Actions
🍭 База данных CodeQL: создание, переиспользование
🍭 Написание собственных CodeQL Query: основы, Predicates, Classes и т.д.
В статье очень много примеров, каждый из которых разбирается практически «line-by-line» и отлично помогает разобраться в основах CodeQL. Однозначно рекомендуем к прочтению, как и первую статью серии! ☺️
The GitHub Blog
CodeQL zero to hero part 2: Getting started with CodeQL
Learn the basics of CodeQL and how to use it for security research! In this blog, we will teach you how to leverage GitHub’s static analysis tool CodeQL to write custom CodeQL queries.
👍2
Самая бесполезная docker-команда
Всем привет!
Небольшой пятничный пост, чтобы немного поднять вам настроение. В статье Автор описывает самую бесполезную docker-команду.
Собственно, вот она:
P.S. Хотя, бывают случаи, что это и правда нужно для debug в определенных условиях (например, в Fedora CoreOS). Но и тут есть специализированные инструменты, о которых мы писали ранее
Всем привет!
Небольшой пятничный пост, чтобы немного поднять вам настроение. В статье Автор описывает самую бесполезную docker-команду.
Собственно, вот она:
docker run -tiА почему? А потому что можно! А зачем? Кто его знает 😊
--privileged
--net=host --pid=host --ipc=host
--volume /:/host
busybox
chroot /host
P.S. Хотя, бывают случаи, что это и правда нужно для debug в определенных условиях (например, в Fedora CoreOS). Но и тут есть специализированные инструменты, о которых мы писали ранее
zwischenzugs
The Most Pointless Docker Command Ever
What? This article will show you how you can undo the things Docker does for you in a Docker command. Clearer now? OK, Docker relies on Linux namespaces to isolate effectively copy parts of the sys…
👍6
Semgrep Assistant
Всем привет!
Наверное, каждый задумывался о том, чем ему могут быть полезны нейронные сети. ИБ-специалисты не исключение. Возможно, вы задавались вопросами: «А может ли сеть анализировать результаты на наличие false-positive? Делать triage?» или нечто другое.
Команда Semgrep не исключение. Последние месяцы они проводили тестирование Semgrep Assistant. Его задача – помогать идентифицировать false-positive и писать правила для анализа.
Каков результат? По мнению команды тестирования – с анализом false-positive "полет нормальный" и им вполне можно пользоваться. А вот с написанием правил ситуация иная – он сможет помочь в написании базовых правил, сложные пока ему не даются.
Подробнее про путь Команды и про дальнейшие планы можно прочесть в статье. Есть еще одна хорошая новость! Сейчас Assistant доступен всем желающим (для GitHub) и можно «включить» эту опцию, если захотите попробовать самостоятельно.
Всем привет!
Наверное, каждый задумывался о том, чем ему могут быть полезны нейронные сети. ИБ-специалисты не исключение. Возможно, вы задавались вопросами: «А может ли сеть анализировать результаты на наличие false-positive? Делать triage?» или нечто другое.
Команда Semgrep не исключение. Последние месяцы они проводили тестирование Semgrep Assistant. Его задача – помогать идентифицировать false-positive и писать правила для анализа.
Каков результат? По мнению команды тестирования – с анализом false-positive "полет нормальный" и им вполне можно пользоваться. А вот с написанием правил ситуация иная – он сможет помочь в написании базовых правил, сложные пока ему не даются.
Подробнее про путь Команды и про дальнейшие планы можно прочесть в статье. Есть еще одна хорошая новость! Сейчас Assistant доступен всем желающим (для GitHub) и можно «включить» эту опцию, если захотите попробовать самостоятельно.
🔥5
GitLab: Hardening
Всем привет!
В статье приводится минималистичный перечень рекомендаций, который позволяет повысить уровень безопасности GitLab.
В нем указаны:
🍭 Реализовать многофакторную аутентификацию
🍭Настроить дополнительные sign-up checks
🍭Ограничить видимость проектов и групп
🍭 Реализовать hardening SSH
🍭 Настроить ограничения (лимиты) для учетных записей
🍭 Обезопасить секреты в CI
🍭 Настроить защиту веток для CI
«Хм, очевидно же!» - можете подумать вы. Все так! Но самое интересное в завершении статьи. Ссылка на официальную документацию GitLab, где можно найти расширенный перечень рекомендаций по безопасности GitLab и материалы по его hardening.
Всем привет!
В статье приводится минималистичный перечень рекомендаций, который позволяет повысить уровень безопасности GitLab.
В нем указаны:
🍭 Реализовать многофакторную аутентификацию
🍭Настроить дополнительные sign-up checks
🍭Ограничить видимость проектов и групп
🍭 Реализовать hardening SSH
🍭 Настроить ограничения (лимиты) для учетных записей
🍭 Обезопасить секреты в CI
🍭 Настроить защиту веток для CI
«Хм, очевидно же!» - можете подумать вы. Все так! Но самое интересное в завершении статьи. Ссылка на официальную документацию GitLab, где можно найти расширенный перечень рекомендаций по безопасности GitLab и материалы по его hardening.
about.gitlab.com
How to harden your self-managed GitLab instance
Learn seven easy steps to ensure your self-managed GitLab instance is as secure as possible.
❤6👍1
Kraken: P2P Docker Registry
Всем привет!
Герой сегодняшнего поста – Kraken – разработка Uber, которая представляет из себя P2P Docker Registry. Во главу угла поставлена масштабируемость и доступность.
Концептуально представляет из себя набор хостов, которые являются seeder’ами, агенты, которые устанавливаются на узлы кластера и набор дополнительных компонентов, которые управляют работой всей сети.
Может подойди, если у вас в инфраструктуре есть большое количество узлов и потребность в распространении образов. В repo можно найти benchmark, в которого указано время загрузки 3G Docker image на 2600 узлов, при этом загрузка осуществлялась параллельно.
Подробнее прочитать про Kraken и его возможности можно в документации из repo проекта.
Всем привет!
Герой сегодняшнего поста – Kraken – разработка Uber, которая представляет из себя P2P Docker Registry. Во главу угла поставлена масштабируемость и доступность.
Концептуально представляет из себя набор хостов, которые являются seeder’ами, агенты, которые устанавливаются на узлы кластера и набор дополнительных компонентов, которые управляют работой всей сети.
Может подойди, если у вас в инфраструктуре есть большое количество узлов и потребность в распространении образов. В repo можно найти benchmark, в которого указано время загрузки 3G Docker image на 2600 узлов, при этом загрузка осуществлялась параллельно.
Подробнее прочитать про Kraken и его возможности можно в документации из repo проекта.
GitHub
GitHub - uber/kraken: P2P Docker registry capable of distributing TBs of data in seconds
P2P Docker registry capable of distributing TBs of data in seconds - uber/kraken
👍4
#мероприятие
1 августа присоединяйтесь к вебинару «“Штурвал”. Алертинг»
Разработчик программного обеспечения «Лаборатория Числитель» и компания «Инфосистемы Джет» проведут четвертый практический вебинар, посвященный работе с платформой управления контейнерами «Штурвал».
Спикеры разберут, как настроить оповещения при различных условиях:
🔹Не запускается экземпляр развёрнутого приложения (Pod doesn't schedule)
🔹Узел создан/удалён/недоступен
🔹Кластер полностью недоступен
Демонстрацию решения проведут:
🔹Александр Краснов, CTO «Лаборатории Числитель»
🔹Иван Колесников, инженер отдела систем мониторинга «Инфосистемы Джет»
Вебинар будет интересен DevOps-инженерам и DevOps-администраторам.
✅ Регистрация
🟥 Записи прошедших вебинаров доступны на YouTube-канале «Лаборатории Числитель»
1 августа присоединяйтесь к вебинару «“Штурвал”. Алертинг»
Разработчик программного обеспечения «Лаборатория Числитель» и компания «Инфосистемы Джет» проведут четвертый практический вебинар, посвященный работе с платформой управления контейнерами «Штурвал».
Спикеры разберут, как настроить оповещения при различных условиях:
🔹Не запускается экземпляр развёрнутого приложения (Pod doesn't schedule)
🔹Узел создан/удалён/недоступен
🔹Кластер полностью недоступен
Демонстрацию решения проведут:
🔹Александр Краснов, CTO «Лаборатории Числитель»
🔹Иван Колесников, инженер отдела систем мониторинга «Инфосистемы Джет»
Вебинар будет интересен DevOps-инженерам и DevOps-администраторам.
✅ Регистрация
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥4🤮2🥰1
Snyk_State_Of_OSS.pdf
55 MB
State of Open Source Security
Всем привет!
В приложении можно найти легкое пятничное чтиво. Отчет, посвященный open source от Snyk.
Внутри можно найти:
🍭 Статистику по сканирования приложений
🍭 Данные об использовании средств защиты цепочки поставки ПО
🍭 Способы проверки open source компонентов
🍭 Сведения о том, как часто Компании сталкиваются с проблемами при использовании open source и не только
Отчет небольшой (~ 19 страниц), много инфографики и выводов.
Всем привет!
В приложении можно найти легкое пятничное чтиво. Отчет, посвященный open source от Snyk.
Внутри можно найти:
🍭 Статистику по сканирования приложений
🍭 Данные об использовании средств защиты цепочки поставки ПО
🍭 Способы проверки open source компонентов
🍭 Сведения о том, как часто Компании сталкиваются с проблемами при использовании open source и не только
Отчет небольшой (~ 19 страниц), много инфографики и выводов.
👍2
Устройство сети Kubernetes
Всем привет!
Весьма объемная статья (~ 36 минут), в которой очень детально описано устройство сети Kubernetes. Начиная с простого создания
А что может быть лучше для таких целей, чем самим побыть в роли Kubernetes и реализовать то, что он реализует самостоятельно (ну почти)? Ни-че-го!
Автор реализует следующие шаги:
🍭 Создание сетевых пространств имен
И, что самое классное – все команды есть в статье! А также много-много-много схем, которые позволяют улучшить понимание того, что происходит.
Всем привет!
Весьма объемная статья (~ 36 минут), в которой очень детально описано устройство сети Kubernetes. Начиная с простого создания
pod sandbox, создания правил маршрутизации при помощи kube-proxy и разрешения имен с использованием CoreDNS, Автор все глубже погружает читателя в то, что происходит «под капотом».А что может быть лучше для таких целей, чем самим побыть в роли Kubernetes и реализовать то, что он реализует самостоятельно (ну почти)? Ни-че-го!
Автор реализует следующие шаги:
🍭 Создание сетевых пространств имен
Client и Server
🍭 Настройка сетевой связности между этими пространствами имен с использованием bridge
🍭 Реализация аналогичных активностей, но теперь Client и Server находятся на разных хостах. Использованием eth0
🍭 После этого Автор возвращается к сущностям Kubernetes и объясняет устройство сети уже с их использованиемИ, что самое классное – все команды есть в статье! А также много-много-много схем, которые позволяют улучшить понимание того, что происходит.
George Aristy
Understanding Kubernetes’ Cluster Networking
Kubernetes is a system for automating deployment, scaling, and management of containerized applications. Networking is a central part of Kubernetes, and in this article we will explore how Kubernetes configures the cluster to handle east-west traffic. We’ll…
🔥6❤1
Testing Handbook
Всем привет!
Команда Trail Of Bits(если кто не знает, то именно эта контора делала один из аудитов ИБ Kubernetes, в 2019) анонсировала Testing Handbook!
Со слов Авторов, это «shortest path for developers and security professionals to derive maximum value from the static and dynamic analysis tools». Материал создан на основе опыта Trail Of Bits, полученного при анализе проектов.
Пока что доступна только первая глава, посвященная Semgrep. В ней можно найти:
🍭 Установка и первые шаги
🍭 Advanced usage
🍭 Интеграция в CI
🍭 Ссылки на дополнительные ресурсы
Надеемся, что ребята не забросят этот проект и Handbook будет только наполняться информацией. А мы, в свою очередь, будем держать вас в курсе ☺️
Всем привет!
Команда Trail Of Bits
Со слов Авторов, это «shortest path for developers and security professionals to derive maximum value from the static and dynamic analysis tools». Материал создан на основе опыта Trail Of Bits, полученного при анализе проектов.
Пока что доступна только первая глава, посвященная Semgrep. В ней можно найти:
🍭 Установка и первые шаги
🍭 Advanced usage
🍭 Интеграция в CI
🍭 Ссылки на дополнительные ресурсы
Надеемся, что ребята не забросят этот проект и Handbook будет только наполняться информацией. А мы, в свою очередь, будем держать вас в курсе ☺️
Testing Handbook
Introduction
The automated testing handbook is a resource that guides developers and security professionals in configuring, optimizing, and automating many of the static and dynamic analysis tools we use at Trail of Bits.
🔥6❤1👍1😱1
Supply Chain Security для Golang
Всем привет!
По ссылкам доступен набор статей от Google, посвященный безопасности supply chain при использовании Golang.
В них рассматривается:
🍭 Управление уязвимостями в Golang. Использование OSV и
🍭 Существующие атаки на зависимости и что Golang может предложить. Например,
🍭 Shift Left(куда без него 😊) . VS Code Extensions и FUZZ тестирование
В статьях много интересных ссылок на дополнительные источники информации. А все упомянутые проекты – open source, можно брать и смотреть!
Всем привет!
По ссылкам доступен набор статей от Google, посвященный безопасности supply chain при использовании Golang.
В них рассматривается:
🍭 Управление уязвимостями в Golang. Использование OSV и
govulncheck, который не только идентифицирует уязвимости в используемых компонентах, но и показывает «что реально используется»🍭 Существующие атаки на зависимости и что Golang может предложить. Например,
Go Checksum Database, в которой содержится информация о SHA-256 hash для всех публично доступных Golang модулей, что позволяет контролировать целостность🍭 Shift Left
В статьях много интересных ссылок на дополнительные источники информации. А все упомянутые проекты – open source, можно брать и смотреть!
Google Online Security Blog
Supply chain security for Go, Part 1: Vulnerability management
Posted by Julie Qiu, Go Security & Reliability and Oliver Chang, Google Open Source Security Team High profile open source vulnerabilitie...
👍1
StateOfKubernetesSecurityReport_RH.pdf
532 KB
State of Kubernetes Security Report
Всем привет!
В приложении доступен отчет от Red Hat, посвященный безопасности Kubernetes. Все «стандартно» для такого рода материалов.
Внутри можно найти:
🍭 Наиболее «распространенные» инциденты ИБ
🍭 Основные опасения при использовании контейнеров(ну хоть тут ИБ «победила» 😊)
🍭 Распределение ответственности за безопасность k8s
🍭 Самые «популярные» типы misconfigurations
🍭 Какие open source инструменты чаще всего используются и не только
Отчет небольшой (~16 страниц), ничего лишнего – только данные и выводы.
Всем привет!
В приложении доступен отчет от Red Hat, посвященный безопасности Kubernetes. Все «стандартно» для такого рода материалов.
Внутри можно найти:
🍭 Наиболее «распространенные» инциденты ИБ
🍭 Основные опасения при использовании контейнеров
🍭 Самые «популярные» типы misconfigurations
🍭 Какие open source инструменты чаще всего используются и не только
Отчет небольшой (~16 страниц), ничего лишнего – только данные и выводы.
👍4
Митап «Контейнерная оркестрация на отечественном»
17 августа на техническом митапе разберемся в российских платформах контейнерной оркестрации. Расскажем, с какими отечественными платформами на основе k8s не страшно идти в продуктив, как они устроены, и покажем, как они выглядят вживую.
🔹 Как эффективно запустить современное приложение в продуктивном окружении?
🔹 Какое платформенное решение нужно разработчикам сегодня?
🔹 Какие российские платформы контейнерной оркестрации выбирать Enterprise-компаниям?
Что в программе?
🔹 Обзор рынка платформ контейнерной оркестрации: тренды в построении платформ для разработчиков, рынок отечественных решений и что у них «под капотом», наш short list — что действительно стоит рассматривать и почему
🔹 Live-demo решений «Штурвал» и Deckhouse
🔹 Выступление независимого эксперта «Как превратить инфраструктуру в супергероя «captain k8s»
Для кого митап?
🔹 Системные архитекторы
🔹 Инженеры DevOps
🔹 ИТ-специалисты, интересующиеся темой DevSecOps
⏰ Когда?
17 августа, 17:30
📍Где?
Offline в офисе «Инфосистемы Джет» или online
✅ Регистрация
17 августа на техническом митапе разберемся в российских платформах контейнерной оркестрации. Расскажем, с какими отечественными платформами на основе k8s не страшно идти в продуктив, как они устроены, и покажем, как они выглядят вживую.
Что в программе?
Для кого митап?
⏰ Когда?
17 августа, 17:30
📍Где?
Offline в офисе «Инфосистемы Джет» или online
✅ Регистрация
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤🔥4🥰3👍2😁2
OSC&R: техники и тактики атак на software supply chain
Всем привет!
На сайте можно ознакомиться с «братом меньшим» матрицы MITRE – OSC&R (Open Software Supply Chain Attack Reference).
Материал содержит набор тактик и техник, которые могут быть использованы для совершения атак на цепочку поставок ПО. Сгруппирован, как и «старший брат», по шагам kill-chain.
Кроме этого, материал структурирован по разделам:
🍭 Container Security
🍭 Open Source Security
🍭 SCM Posture
🍭 Code Security и т.д.
Для каждой тактики есть кратко описание и меры, которыми можно воспользоваться для противодействия.
Всем привет!
На сайте можно ознакомиться с «братом меньшим» матрицы MITRE – OSC&R (Open Software Supply Chain Attack Reference).
Материал содержит набор тактик и техник, которые могут быть использованы для совершения атак на цепочку поставок ПО. Сгруппирован, как и «старший брат», по шагам kill-chain.
Кроме этого, материал структурирован по разделам:
🍭 Container Security
🍭 Open Source Security
🍭 SCM Posture
🍭 Code Security и т.д.
Для каждой тактики есть кратко описание и меры, которыми можно воспользоваться для противодействия.
pbom.dev
Home - pbom.dev
👍3
Headlamp: yet another Kubernetes UI
Всем привет!
Если вам хочется попробовать еще один Web UI для Kubernetes, отличный, например, от Lens или k9s, то можно попробовать Headlamp.
Продукт разрабатывался командой Kinvolk, которая стала частью Microsoft. HeadLamp легковесен, прост в установке и использовании. И, конечно же, open source.
При помощи него можно:
🍭 Получать сводную информацию о кластере / кластерах
🍭 Реализовывать R/W-операции на основании предоставленных прав
🍭 Устанавливать в кластер или локально
🍭 Обладает системой «расширений» за счет plugins
Подробнее про него можно узнать в статье или в документации.
Всем привет!
Если вам хочется попробовать еще один Web UI для Kubernetes, отличный, например, от Lens или k9s, то можно попробовать Headlamp.
Продукт разрабатывался командой Kinvolk, которая стала частью Microsoft. HeadLamp легковесен, прост в установке и использовании. И, конечно же, open source.
При помощи него можно:
🍭 Получать сводную информацию о кластере / кластерах
🍭 Реализовывать R/W-операции на основании предоставленных прав
🍭 Устанавливать в кластер или локально
🍭 Обладает системой «расширений» за счет plugins
Подробнее про него можно узнать в статье или в документации.
GitHub
GitHub - kubernetes-sigs/headlamp: A Kubernetes web UI that is fully-featured, user-friendly and extensible
A Kubernetes web UI that is fully-featured, user-friendly and extensible - kubernetes-sigs/headlamp