Awesome CI/CD Security
Всем привет!
Еще одна awesome-подборка. На этот раз посвященная обеспечению информационной безопасности конвейеров сборки и доставки.
Материал содержит ссылки на:
🍭 Общая информация: риски CI/CD, ошибки конфигурации, статьи про их эксплуатацию и т.д.
🍭 Обеспечение ИБ GitLab CI, Jenkins, GitHub Actions
🍭 ArgoCD и как его настроить в защищенном исполнении
🍭 Наборы видеоматериалов
🍭 Репозитории с полезными материалами и playground
🍭 Примеры реализованных атак на CI/CD
Надеемся, что Вы подберете что-нибудь для себя для изучения в первые выходные Весны ☺️
Всем привет!
Еще одна awesome-подборка. На этот раз посвященная обеспечению информационной безопасности конвейеров сборки и доставки.
Материал содержит ссылки на:
🍭 Общая информация: риски CI/CD, ошибки конфигурации, статьи про их эксплуатацию и т.д.
🍭 Обеспечение ИБ GitLab CI, Jenkins, GitHub Actions
🍭 ArgoCD и как его настроить в защищенном исполнении
🍭 Наборы видеоматериалов
🍭 Репозитории с полезными материалами и playground
🍭 Примеры реализованных атак на CI/CD
Надеемся, что Вы подберете что-нибудь для себя для изучения в первые выходные Весны ☺️
GitHub
GitHub - myugan/awesome-cicd-security: :books: A curated list of awesome CI CD security resources
:books: A curated list of awesome CI CD security resources - myugan/awesome-cicd-security
👍4
Мы продолжаем радовать Вас интересными событиями!
В этот раз делимся информацией о выступлении наших ребят из команды DevSecOps на DevOpsConf 2024.
🍭Kubernetes и сеть: история одного TelcoCloud
Спикер: Степан Чернов
Когда: 4 марта 12:20 - 13:10
Где: Зал Дели + Калькутта
🍭Kyverno: старт без грабель
Спикер: Антон Гаврилов
Когда: 5 марта 17:00 - 17:50
Где: Зал Пекин
Приходите, будет интересно!
В этот раз делимся информацией о выступлении наших ребят из команды DevSecOps на DevOpsConf 2024.
🍭Kubernetes и сеть: история одного TelcoCloud
Спикер: Степан Чернов
Когда: 4 марта 12:20 - 13:10
Где: Зал Дели + Калькутта
🍭Kyverno: старт без грабель
Спикер: Антон Гаврилов
Когда: 5 марта 17:00 - 17:50
Где: Зал Пекин
Приходите, будет интересно!
devopsconf.io
Конференция для инженеров и всех, кто должен понимать инженеров 2024
🔥11👍1
Управление секретами с Infisical
Всем привет!
Infisical – open source платформа, которая может быть использована для управления секретами. Доступна как облачная версия, так локальная (Docker Compose, Kubernetes).
Система предоставляет следующий функционал:
🍭 Web UI, на котором наглядно отображена информация о секретах
🍭 Интеграционные возможности и управление Infisical, среди которых есть SDK, CLI, API
🍭 Поддержка интеграций с большим количеством систем «из коробки» (Kubernetes, GitLab, Jenkins и многое другое)
🍭 Наличие агента, который может «подставлять» секреты в приложения без модификации кода последних
🍭 Идентификация секретов (файлы, директории, git history) и не только
Для того, чтобы лучше узнать о возможностях системы, способах установки и настройки, рекомендуем ознакомиться с документацией
Всем привет!
Infisical – open source платформа, которая может быть использована для управления секретами. Доступна как облачная версия, так локальная (Docker Compose, Kubernetes).
Система предоставляет следующий функционал:
🍭 Web UI, на котором наглядно отображена информация о секретах
🍭 Интеграционные возможности и управление Infisical, среди которых есть SDK, CLI, API
🍭 Поддержка интеграций с большим количеством систем «из коробки» (Kubernetes, GitLab, Jenkins и многое другое)
🍭 Наличие агента, который может «подставлять» секреты в приложения без модификации кода последних
🍭 Идентификация секретов (файлы, директории, git history) и не только
Для того, чтобы лучше узнать о возможностях системы, способах установки и настройки, рекомендуем ознакомиться с документацией
GitHub
GitHub - Infisical/infisical: Infisical is the open-source platform for secrets, certificates, and privileged access management.
Infisical is the open-source platform for secrets, certificates, and privileged access management. - Infisical/infisical
👍4❤1
Компрометация k8s-кластеров AliBaba
Всем привет!
По ссылке можно ознакомиться с захватывающей историей, повествующей о том, как команда WIZ смогла «захватить» Managed Kubernetes Cluster в AliBaba Cloud.
За основу для анализа взяли PostgreSQL: сложная, многофункциональная, относительно проста для code execution.
При проведении первичного анализа ничего интересного не нашлось:
🍭 Это контейнер, повышенных привилегий нет
🍭 Shared namespaces – аналогично, все хорошо настроено
🍭 Shared resources – тоже самое, ни к чему не придраться
Команда не опустила руки, решила проводить дальнейшие исследования. И не зря! Они заметили, что при «включении» опции SSL-encryption, в том числе, вызывалась команда
А дальше – как обычно. Сбор информации, понимание контекста, нет-нет, да и встретится
Всем привет!
По ссылке можно ознакомиться с захватывающей историей, повествующей о том, как команда WIZ смогла «захватить» Managed Kubernetes Cluster в AliBaba Cloud.
За основу для анализа взяли PostgreSQL: сложная, многофункциональная, относительно проста для code execution.
При проведении первичного анализа ничего интересного не нашлось:
🍭 Это контейнер, повышенных привилегий нет
🍭 Shared namespaces – аналогично, все хорошо настроено
🍭 Shared resources – тоже самое, ни к чему не придраться
Команда не опустила руки, решила проводить дальнейшие исследования. И не зря! Они заметили, что при «включении» опции SSL-encryption, в том числе, вызывалась команда
scp (для копирования сертификатов). А если есть scp, то где-то можно найти /.ssh/config… Именно так WIZ получили reverse shell для доступа к ресурсам AliBaba.А дальше – как обычно. Сбор информации, понимание контекста, нет-нет, да и встретится
.dockerconfigjson. И не самый обычный, а от внутреннего Registry. Т.е. команда могла пойти дальше и поместить вредоносные образы, которые бы благополучно распространялись по кластерам Kubernetes.Medium
Hacking Alibaba Cloud’s Kubernetes Cluster?
A couple of days ago CNCF published a video where Hillai Ben-Sasson from WIZ Research presented how they were able to hack Alibaba Cloud’s…
🔥12👍6❤2
Debug контейнеров в Kubernetes
Всем привет!
Debug – штука крайне важная и полезная! Но как ее делать для запущенных контейнеров в кластере Kubernetes? Одно из первых действий, что приходит на ум -
Собирать образ по новой и ждать того «события», когда все сломается и надо искать причину? Наверное, так можно, но это точно не самый оптимальный способ!
Альтернативный метод – использование
В ней Автор разбирает:
🍭 Использование команды (запуск, установка «инструментария»)
🍭 Принципы работы («что под капотом?»)
🍭 Использование volume mounts для debug-контейнеров (потребуется дополнительный скрипт)
Все наглядно – команды, примеры, пояснения. Завершает статью взгляд Автора на решение аналогичной задачи с использованием «Non-Kubernetes native approaches»
Всем привет!
Debug – штука крайне важная и полезная! Но как ее делать для запущенных контейнеров в кластере Kubernetes? Одно из первых действий, что приходит на ум -
exec. Но что, если это distroless образ или необходимые утилиты для полноценного debug отсутствуют?Собирать образ по новой и ждать того «события», когда все сломается и надо искать причину? Наверное, так можно, но это точно не самый оптимальный способ!
Альтернативный метод – использование
kubectl debug. Именно принципам ее работы и использованию посвящена статья.В ней Автор разбирает:
🍭 Использование команды (запуск, установка «инструментария»)
🍭 Принципы работы («что под капотом?»)
🍭 Использование volume mounts для debug-контейнеров (потребуется дополнительный скрипт)
Все наглядно – команды, примеры, пояснения. Завершает статью взгляд Автора на решение аналогичной задачи с использованием «Non-Kubernetes native approaches»
Medium
Debugging Running Pods on Kubernetes
Exploring Kubernetes’s debugging feature, kubectl debug, and extending kubectl debug to support volume mounts
👍5
Поиск секретов… в видео!
Всем привет!
Нет, это не совсем обычный пост про yet another Secret Finding решение, работающее с исходными кодами.
В этот раз все немного интереснее – поиск секретов в видеоматериалах! Например, кто-то записывал вебинар или инструкцию об использовании продукта и случайно «засветил» важную информацию. Как ее быстро найти?
Примерно для таких случаев команда GitLab разработала собственное решение(которое выложила в open source) , анализирующая видео с YouTube!
Работает по следующему принципу:
🍭 Разбитие видео на frames
🍭 Использованием Optical Character Recognition (OCR) для каждого frame
🍭 Анализ полученного текста с использованием известных Secret Patterns
Больше деталей, например, о том какие технологии используются «внутри», какова архитектура, как и почему команда GitLab их выбрала, какие из них дают лучший frame rate analysis – обо всем этом можно узнать в статье. Интересно и необычно, рекомендуем!
P.S. Кроме того в статье можно найти информацию об особенностях распознавании секретов в видеоматериалах (пусть и «расшифрованных») в сравнении с анализом исходных кодов
Всем привет!
Нет, это не совсем обычный пост про yet another Secret Finding решение, работающее с исходными кодами.
В этот раз все немного интереснее – поиск секретов в видеоматериалах! Например, кто-то записывал вебинар или инструкцию об использовании продукта и случайно «засветил» важную информацию. Как ее быстро найти?
Примерно для таких случаев команда GitLab разработала собственное решение
Работает по следующему принципу:
🍭 Разбитие видео на frames
🍭 Использованием Optical Character Recognition (OCR) для каждого frame
🍭 Анализ полученного текста с использованием известных Secret Patterns
Больше деталей, например, о том какие технологии используются «внутри», какова архитектура, как и почему команда GitLab их выбрала, какие из них дают лучший frame rate analysis – обо всем этом можно узнать в статье. Интересно и необычно, рекомендуем!
P.S. Кроме того в статье можно найти информацию об особенностях распознавании секретов в видеоматериалах (пусть и «расшифрованных») в сравнении с анализом исходных кодов
❤2👍2🔥1
Милые дамы!!!
Поздравляем вас с самым теплым и приятным праздником весны! С 8-ым марта!
Знайте, что все вы самые красивые, добрые, умные, очаровательные, привлекательные, харизматичные, любимые, веселые, ласковые, заботливые… Этот список можно продолжать очень-очень-...-очень долго! 🌻🌻🌻
Спасибо вам за все, что вы делаете для нас и за то, что мир с вами становится ярче и приятнее! С праздником!☀️ ☀️ ☀️
- Ваша Редакция DevSecOps Talks ☺️
Поздравляем вас с самым теплым и приятным праздником весны! С 8-ым марта!
Знайте, что все вы самые красивые, добрые, умные, очаровательные, привлекательные, харизматичные, любимые, веселые, ласковые, заботливые… Этот список можно продолжать очень-очень-...-очень долго! 🌻🌻🌻
Спасибо вам за все, что вы делаете для нас и за то, что мир с вами становится ярче и приятнее! С праздником!
- Ваша Редакция DevSecOps Talks ☺️
Please open Telegram to view this post
VIEW IN TELEGRAM
❤27🥰8🤬6🎉5👍1
Всем привет!
Недавно на Reddit появилась замечательная подборка видео с различных конференций про Kubernetes! Создатель запустил свою новостную ленту Tech Talks Weekley и собрал отличную коллекцию записей! Так что если любимые сериалы закончились, а новых ещё не завезли, то рекомендуем вам посмотреть ещё
Reddit
From the kubernetes community on Reddit: All Kubernetes conference talks (+500) from 2023 ordered by the number of views
Explore this post and more from the kubernetes community
👍6🔥1🥰1
Присоединяйтесь к серии вебинаров по изучению платформы «Нимбиус»
Разработчик программного обеспечения «Лаборатория Числитель» и компания «Инфосистемы Джет» расскажут об основах работы с автоматизацией и управлением ИТ-инфраструктурой на примере гибридного облака, разберут, как использовать платформу «Нимбиус» для оптимизации бизнес-процессов.
В программе мероприятий:
🔹 Автоматизация процессов — основные этапы
🔹 Встроенный Ansible: особенности и преимущества использования
🔹 Развертывание сервисов на гибридном облаке
🔹 Заказ виртуального сервера в облачном провайдере из единого портала самообслуживания
Вебинары будут полезны инфраструктурным инженерам, разработчикам, ИТ-архитекторам и всем, кто занимается гибридными облаками.
Зарегистрироваться👇
🔹 Гид по использованию платформы «Нимбиус». Развертывание IaaS и PaaS сервисов по клику
20 марта, 11:00. Регистрация
🔹 Подключение провайдеров. Интеграция с публичным провайдером Selectel: возможности гибридного облака
26 марта, 11:00. Регистрация
Запись первого вебинара «Основы работы с платформой "Нимбиус": ролевая модель и автоматизация» можно посмотреть здесь.
Разработчик программного обеспечения «Лаборатория Числитель» и компания «Инфосистемы Джет» расскажут об основах работы с автоматизацией и управлением ИТ-инфраструктурой на примере гибридного облака, разберут, как использовать платформу «Нимбиус» для оптимизации бизнес-процессов.
В программе мероприятий:
Вебинары будут полезны инфраструктурным инженерам, разработчикам, ИТ-архитекторам и всем, кто занимается гибридными облаками.
Зарегистрироваться
20 марта, 11:00. Регистрация
26 марта, 11:00. Регистрация
Запись первого вебинара «Основы работы с платформой "Нимбиус": ролевая модель и автоматизация» можно посмотреть здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤4👎2🔥2⚡1
Лабораторные от WIZ
Всем привет!
Отличный подарок от команды WIZ – лабораторные работы (в формате CTF) по теме безопасности контейнеров!
Ребята подготовили 5 лабораторных:
🍭 Recon. Ищем internal services из компрометированного pod
🍭 Finding Neighbours. Невидимые sidecars и их секреты
🍭 Data Leakage. Использование устаревшей технологии… в production!
🍭 Bypassing boundaries. С большой силой приходит большая… ну вы знаете 😊
🍭 Lateral Movemement. Мутации не всегда доводят до добра
Ничего устанавливать не надо, все доступно прямо из Вашего браузера. Удачи!
P.S. Единственный недостаток лабораторных –их мало, хочется еще! 😊
Всем привет!
Отличный подарок от команды WIZ – лабораторные работы (в формате CTF) по теме безопасности контейнеров!
Ребята подготовили 5 лабораторных:
🍭 Recon. Ищем internal services из компрометированного pod
🍭 Finding Neighbours. Невидимые sidecars и их секреты
🍭 Data Leakage. Использование устаревшей технологии… в production!
🍭 Bypassing boundaries. С большой силой приходит большая… ну вы знаете 😊
🍭 Lateral Movemement. Мутации не всегда доводят до добра
Ничего устанавливать не надо, все доступно прямо из Вашего браузера. Удачи!
P.S. Единственный недостаток лабораторных –
K8Slanparty
K8s LAN Party
Kubernetes LAN Party - by Wiz
🔥7👍5🥰2
Infected GitHub Repo
Всем привет!
По ссылке доступны исследования Apiiro, посвященные безопасности репозиториев, доступных на GitHub.
В основном, рассматривается repository confusion. Похоже на dependency confusion для open source зависимостей. Однако, в отличие от последних, которые обусловлены логикой работы пакетных менеджеров, repository confusion в большей степени реализуются за счет человеческого фактора.
Работает это примерно так (со стороны атакующего):
🍭 Скачиваются популярные repository
🍭 Видоизменяются, например добавлением malware loaders
🍭 Загружаются обратно на GitHub, forking
🍭 «Популяризация» в сети
В итоге команда Apiiro нашла более 100 000 repository, которые содержат вредоносный код.
Примеры, примеры Indicators of Compromise (IoC) для Python и общие рекомендации по противодействию – все это можно найти в статье.
Будьте бдительны при скачивании проектов из GitHub и проверяйте все тщательно
Всем привет!
По ссылке доступны исследования Apiiro, посвященные безопасности репозиториев, доступных на GitHub.
В основном, рассматривается repository confusion. Похоже на dependency confusion для open source зависимостей. Однако, в отличие от последних, которые обусловлены логикой работы пакетных менеджеров, repository confusion в большей степени реализуются за счет человеческого фактора.
Работает это примерно так (со стороны атакующего):
🍭 Скачиваются популярные repository
🍭 Видоизменяются, например добавлением malware loaders
🍭 Загружаются обратно на GitHub, forking
🍭 «Популяризация» в сети
В итоге команда Apiiro нашла более 100 000 repository, которые содержат вредоносный код.
Примеры, примеры Indicators of Compromise (IoC) для Python и общие рекомендации по противодействию – все это можно найти в статье.
Будьте бдительны при скачивании проектов из GitHub и проверяйте все тщательно
Apiiro | Deep Application Security Posture Management (ASPM)
Over 100,000 Infected Repos Found on GitHub
The Apiiro research team has detected a repo confusion campaign that has evolved and expanded, impacting over 100k GitHub repos with malicious code.
❤1
Анализ Audit Log в Kubernetes
Всем привет!
Да, по умолчанию Kubernetes не логирует какую-либо активность в кластере. Однако, можно написать Audit Policy и получать достаточно много данных.
Но что с ними делать? Ведь данные ради данных – подход крайне странный. Примеры ответов на вопрос можно найти в статье.
Авторы разбирают примеры:
🍭 Activity in the K8S Control Plane
🍭 Unauthenticated/Anonymous Kubernetes API Request
🍭 Unauthorized Kubernetes Pod Execution
🍭 Unauthorized Kubernetes Pod Attachment
🍭 Kubernetes Cron Job Created or Modified и не только
Для каждого примера описывается причина – «Почему это важно для нужд ИБ?» и пример лога Audit Policy, который может потребоваться. Также материал можно использовать для создания/адаптации существующих у Вас Audit Policy
Всем привет!
Да, по умолчанию Kubernetes не логирует какую-либо активность в кластере. Однако, можно написать Audit Policy и получать достаточно много данных.
Но что с ними делать? Ведь данные ради данных – подход крайне странный. Примеры ответов на вопрос можно найти в статье.
Авторы разбирают примеры:
🍭 Activity in the K8S Control Plane
🍭 Unauthenticated/Anonymous Kubernetes API Request
🍭 Unauthorized Kubernetes Pod Execution
🍭 Unauthorized Kubernetes Pod Attachment
🍭 Kubernetes Cron Job Created or Modified и не только
Для каждого примера описывается причина – «Почему это важно для нужд ИБ?» и пример лога Audit Policy, который может потребоваться. Также материал можно использовать для создания/адаптации существующих у Вас Audit Policy
Medium
From Logs to Detection: Using Snowflake and Panther to Detect K8s Threats
Diving into the world of Kubernetes security, starting with the the Kubernetes API Audit Log and its crucial role for threat detection
👍1
«Закрепление» через VS Code Extension
Всем привет!
VS Code – весьма популярная IDE, функционал которой можно расширить при помощи различных Extensions.
Но что может пойти не так? Вопрос, который вечно находится в голове у ИБ-специалистов. В статье Авторы наглядно демонстрируют возможные способы «закрепления» (persistence), которые можно реализовать при помощи Extension. Ну а что может быть лучше и наглядней, чем разработка собственного?
Все по пунктам:
🍭 Подготовка – установка и настройка VS Code, NodeJS, Yeoman, Npm Generator Code
🍭 Генерация «болванок» будущего Extension
🍭 Написание логики работы Extension
🍭 Упаковка и «распространение»
Код, скриншоты, пояснения – все, как всегда, на месте! Для наглядности Авторы приводят примеры вызова сообщений при запуске VS Code или при наступлении некоего «события». Дальше все становится «хуже»: запуск команды через CMD, установка соединения с C'n'C сервером, использование Powershell… Вариантов достаточно много!
Поэтому лучше лишний раз внимательно проверять устанавливаемый Extension. А если у Вас все еще есть сомнения, то можно обратиться к материалам Checkpoint, про которые мы писали тут
Всем привет!
VS Code – весьма популярная IDE, функционал которой можно расширить при помощи различных Extensions.
Но что может пойти не так? Вопрос, который вечно находится в голове у ИБ-специалистов. В статье Авторы наглядно демонстрируют возможные способы «закрепления» (persistence), которые можно реализовать при помощи Extension. Ну а что может быть лучше и наглядней, чем разработка собственного?
Все по пунктам:
🍭 Подготовка – установка и настройка VS Code, NodeJS, Yeoman, Npm Generator Code
🍭 Генерация «болванок» будущего Extension
🍭 Написание логики работы Extension
🍭 Упаковка и «распространение»
Код, скриншоты, пояснения – все, как всегда, на месте! Для наглядности Авторы приводят примеры вызова сообщений при запуске VS Code или при наступлении некоего «события». Дальше все становится «хуже»: запуск команды через CMD, установка соединения с C'n'C сервером, использование Powershell… Вариантов достаточно много!
Поэтому лучше лишний раз внимательно проверять устанавливаемый Extension. А если у Вас все еще есть сомнения, то можно обратиться к материалам Checkpoint, про которые мы писали тут
Penetration Testing Lab
Persistence – Visual Studio Code Extensions
It is not uncommon developers or users responsible to write code (i.e. detection engineers using Sigma) to utilize Visual Studio Code as their code editor. The default capability of the product can…
👍5❤1
Troubleshooting Linux серверов
Всем привет!
Ну что, все уже успешно справились с заданиями из нашего недавнего поста?😉 А сегодня мы хотим представить вашему вниманию еще больше задачек и головоломок! SadServers!😢 Отличная подборка сценариев для того, что бы отточить свое мастерство дебага Linux серверов!
Все задачи разделены на три категории:
🎹 Easy,
🎹 Medium
🎹 Hard.
В каждой задаче вам предлагается:
🎹 что-то сделать (Do)
🎹 что-то починить (Fix)
🎹 что-то "сломать" (Hack)
Здесь вы найдете разнообразные сценарии, связанные с различными технологиями такими как: kubernetes, docker, nginx, apache, mysql и многими другими! Уверены, вы с удовольствием проведете время, решая эти задачки!
Всем привет!
Ну что, все уже успешно справились с заданиями из нашего недавнего поста?😉 А сегодня мы хотим представить вашему вниманию еще больше задачек и головоломок! SadServers!😢 Отличная подборка сценариев для того, что бы отточить свое мастерство дебага Linux серверов!
Все задачи разделены на три категории:
🎹 Easy,
🎹 Medium
🎹 Hard.
В каждой задаче вам предлагается:
🎹 что-то сделать (Do)
🎹 что-то починить (Fix)
🎹 что-то "сломать" (Hack)
Здесь вы найдете разнообразные сценарии, связанные с различными технологиями такими как: kubernetes, docker, nginx, apache, mysql и многими другими! Уверены, вы с удовольствием проведете время, решая эти задачки!
👍16❤2🔥2
Анализ binary-файлов от Chainguard
Всем привет!
Chainguard продолжает свой «крестовый поход» по улучшению безопасности образов контейнеров и их содержимого.
Недавно команда поделилась еще одним своим проектом – Bincapz – позволяющим анализировать binary файлы.
Возможности утилиты:
🍭 Анализирует binary-файлы в независимости от архитектуры (arm64, amd64, riscv, ppc64, sparc64)
🍭 Поддерживает bash, PHP, Perl, Ruby, NodeJS и Python
🍭 Для анализа используется более чем 12 000 YARA-правил. Включая правила, направленный на идентификацию вредоносного ПО
🍭 Предоставляет «отчеты» в различных форматах (MD, JSON, YAML)
Описание того, как установить и использовать Bincapz можно найти в repo проекта. Да, это не 100% панацея, но точно может быть использовано для повышения уровня информационной безопасности используемых образов.
P.S. Недавно минималистичные образы Chainguard были официально добавлены в Dockerhub. Подробнее об этом можно прочесть тут.
Всем привет!
Chainguard продолжает свой «крестовый поход» по улучшению безопасности образов контейнеров и их содержимого.
Недавно команда поделилась еще одним своим проектом – Bincapz – позволяющим анализировать binary файлы.
Возможности утилиты:
🍭 Анализирует binary-файлы в независимости от архитектуры (arm64, amd64, riscv, ppc64, sparc64)
🍭 Поддерживает bash, PHP, Perl, Ruby, NodeJS и Python
🍭 Для анализа используется более чем 12 000 YARA-правил. Включая правила, направленный на идентификацию вредоносного ПО
🍭 Предоставляет «отчеты» в различных форматах (MD, JSON, YAML)
Описание того, как установить и использовать Bincapz можно найти в repo проекта. Да, это не 100% панацея, но точно может быть использовано для повышения уровня информационной безопасности используемых образов.
P.S. Недавно минималистичные образы Chainguard были официально добавлены в Dockerhub. Подробнее об этом можно прочесть тут.
GitHub
GitHub - chainguard-dev/malcontent: #supply #chain #attack #detection
#supply #chain #attack #detection. Contribute to chainguard-dev/malcontent development by creating an account on GitHub.
👍5❤1
Native Sidecar Containers
Всем привет!
В версии Kubernetes 1.28+ была добавлена такая функция, как «Native Sidecar Container». Сперва может быть не очень понятно, зачем это нужно.
Например, могут возникнуть вопросы:
🍭 Что это такое и какие были предпосылки к созданию?
🍭 Чем это отличается от Init Container или от Sidecar-паттерна?
🍭 Как мне «запустить» такой «Native Sidecar Container»?
🍭 Что это мне даст? Какие проблемы я смогу решить?
Ответы на все эти вопросы и не только можно найти в детальном материале от Ivan Velichko. При этом все, что описано в статье можно реализовать непосредственно в playground.
Ivan в который раз радует превосходным материалом. Если вы еще не знакомы с его наработками – крайне рекомендуем это исправить!
Всем привет!
В версии Kubernetes 1.28+ была добавлена такая функция, как «Native Sidecar Container». Сперва может быть не очень понятно, зачем это нужно.
Например, могут возникнуть вопросы:
🍭 Что это такое и какие были предпосылки к созданию?
🍭 Чем это отличается от Init Container или от Sidecar-паттерна?
🍭 Как мне «запустить» такой «Native Sidecar Container»?
🍭 Что это мне даст? Какие проблемы я смогу решить?
Ответы на все эти вопросы и не только можно найти в детальном материале от Ivan Velichko. При этом все, что описано в статье можно реализовать непосредственно в playground.
Ivan в который раз радует превосходным материалом. Если вы еще не знакомы с его наработками – крайне рекомендуем это исправить!
iximiuz Labs
Making Sense Out of Native Sidecar Containers in Kubernetes | iximiuz Labs
Understand the "native" sidecar containers, learn their difference from regular and init containers and discover their advantages in this focused and highly practical tutorial.
👍8❤2
API-Gateway с аутентификацией на базе Nginx
Всем привет!
В статье можно найти пример реализации API-gateway с token-аутентификацией, реализованный с использованием Golang и Nginx.
Автор предлагает создать 3 сущности:
🍭 Auth. Проверяет переданный authorization token
🍭 Expose. Сервис, который «публикует» несколько endpoints
🍭 Nginx. Маршрутизация запросов пользователя между остальными сервисами
Исходные коды, используемые технологии, конфигурация Nginx и комментарии – все можно найти в статье.
Автор приводит упрощенный вариант реализации. Однако, если захочется сделать что-то аналогичное, но «помощнее» - концепт останется точно таким же.
Всем привет!
В статье можно найти пример реализации API-gateway с token-аутентификацией, реализованный с использованием Golang и Nginx.
Автор предлагает создать 3 сущности:
🍭 Auth. Проверяет переданный authorization token
🍭 Expose. Сервис, который «публикует» несколько endpoints
🍭 Nginx. Маршрутизация запросов пользователя между остальными сервисами
Исходные коды, используемые технологии, конфигурация Nginx и комментарии – все можно найти в статье.
Автор приводит упрощенный вариант реализации. Однако, если захочется сделать что-то аналогичное, но «помощнее» - концепт останется точно таким же.
Medium
Make Your Own API Gateway with NGINX and Proper Auth Validation
Microservices are a common trend in our software industry right now. Whenever the topic of “scalability” arises, microservices come to mind…
👍10👎2🔥2
Secure Coding Practices
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Devsecopsguides
Secure Coding Cheatsheets
In today's interconnected digital landscape, security is paramount for developers across various platforms and programming languages.
❤6🔥3👍2
CI/CD Security: что это, зачем, какие есть риски и что делать?
Всем привет!
Нарушение работоспособности CI/CD конвейера или его «логики» (как случайное, так и предумышленное) может привести к не самым приятным последствиям. От срыва сроков release до добавления malware в выпускаемый Продукт.
В статье Авторы подробно (~ 27 минут для прочтения), шаг за шагом, разбирают вопросы, связанные обеспечением информационной безопасности CI/CD-конвейера.
Статья содержит следующие крупные блоки:
🍭 Почему обеспечение ИБ CI/CD-конвейера является крайне важным?
🍭 Что такое безопасности CI/CD: риски, описанные в OWASP Top 10
🍭 Как можно защитить CI/CD?
🍭 Лучшие практики по CI/CD-hardening
🍭 Использование AI/ML в целях CI/CD Security(дада, куда без него, ведь все становится лучше с bluetooth ML 😊)
В статье много полезных отсылок. Например, для OWASP Top 10 предоставляется информация о том, где это было «реализовано».
Части, связанные с защитой, пусть и не дают явных how to, но определяют направление, которое можно реализовать в используемом Вами инструментарии.
Всем привет!
Нарушение работоспособности CI/CD конвейера или его «логики» (как случайное, так и предумышленное) может привести к не самым приятным последствиям. От срыва сроков release до добавления malware в выпускаемый Продукт.
В статье Авторы подробно (~ 27 минут для прочтения), шаг за шагом, разбирают вопросы, связанные обеспечением информационной безопасности CI/CD-конвейера.
Статья содержит следующие крупные блоки:
🍭 Почему обеспечение ИБ CI/CD-конвейера является крайне важным?
🍭 Что такое безопасности CI/CD: риски, описанные в OWASP Top 10
🍭 Как можно защитить CI/CD?
🍭 Лучшие практики по CI/CD-hardening
🍭 Использование AI/ML в целях CI/CD Security
В статье много полезных отсылок. Например, для OWASP Top 10 предоставляется информация о том, где это было «реализовано».
Части, связанные с защитой, пусть и не дают явных how to, но определяют направление, которое можно реализовать в используемом Вами инструментарии.
Spacelift
CI/CD Security: What is It, Risks & 20 Best Practices
Learn why CI/CD Security is the key to faster and more reliable software delivery with tips on how to keep your pipelines secure.
👍5❤1
Kubernetes: Network Observability
Всем привет!
Retina – open source решение от… Microsoft, которое может быть полезно при поиске проблем в работе сети Kubernetes. Например, идентификация проблем в сетевой связности, мониторинг «здоровья» сети.
При помощи нее можно собирать большое количество телеметрии, которое можно помещать в смежные системы (например, Prometheus) и визуализировать (например, Grafana).
В качестве телеметрии используются сущности:
🍭 Metrics. Входящий/Исходящий трафик, потерянные пакеты, TCP/UDP, DNS и т.д.
🍭 Captures. Захват трафика с последующим анализом для выбранных Pods/Nodes
Информацию по установке настройке и интеграции Retina с Prometheus/Grafana и больше информации по возможностям решения можно найти в документации.
Всем привет!
Retina – open source решение от… Microsoft, которое может быть полезно при поиске проблем в работе сети Kubernetes. Например, идентификация проблем в сетевой связности, мониторинг «здоровья» сети.
При помощи нее можно собирать большое количество телеметрии, которое можно помещать в смежные системы (например, Prometheus) и визуализировать (например, Grafana).
В качестве телеметрии используются сущности:
🍭 Metrics. Входящий/Исходящий трафик, потерянные пакеты, TCP/UDP, DNS и т.д.
🍭 Captures. Захват трафика с последующим анализом для выбранных Pods/Nodes
Информацию по установке настройке и интеграции Retina с Prometheus/Grafana и больше информации по возможностям решения можно найти в документации.
GitHub
GitHub - microsoft/retina: eBPF distributed networking observability tool for Kubernetes
eBPF distributed networking observability tool for Kubernetes - microsoft/retina
👍3❤1
Tigera_eBook_Intro_to_Kubernetes_Networking.pdf
4.6 MB
Kubernetes Networking and Security
Всем привет!
В приложении можно скачать электронную книгу от Tigera (авторов Calico), посвященную вопросам устройства и обеспечения ИБ сети в Kubernetes.
На ~ 60 страницах можно найти информацию по разделам:
🍭 Networking (общий), особенности Kubernetes Networking
🍭 Network Policy
🍭 Kubernetes Services / Ingress / Egress
🍭 eBPF и не только
В книге много примеров, пояснений и ссылок на «внешние» материалы по темам разделов.
И без Calico не обошлось (было бы странно 😊) В том числе рассматриваются его возможности, сценарии использования и функционал Enterprise-версии
Всем привет!
В приложении можно скачать электронную книгу от Tigera (авторов Calico), посвященную вопросам устройства и обеспечения ИБ сети в Kubernetes.
На ~ 60 страницах можно найти информацию по разделам:
🍭 Networking (общий), особенности Kubernetes Networking
🍭 Network Policy
🍭 Kubernetes Services / Ingress / Egress
🍭 eBPF и не только
В книге много примеров, пояснений и ссылок на «внешние» материалы по темам разделов.
И без Calico не обошлось (было бы странно 😊) В том числе рассматриваются его возможности, сценарии использования и функционал Enterprise-версии
👍7🔥2