Infected GitHub Repo
Всем привет!
По ссылке доступны исследования Apiiro, посвященные безопасности репозиториев, доступных на GitHub.
В основном, рассматривается repository confusion. Похоже на dependency confusion для open source зависимостей. Однако, в отличие от последних, которые обусловлены логикой работы пакетных менеджеров, repository confusion в большей степени реализуются за счет человеческого фактора.
Работает это примерно так (со стороны атакующего):
🍭 Скачиваются популярные repository
🍭 Видоизменяются, например добавлением malware loaders
🍭 Загружаются обратно на GitHub, forking
🍭 «Популяризация» в сети
В итоге команда Apiiro нашла более 100 000 repository, которые содержат вредоносный код.
Примеры, примеры Indicators of Compromise (IoC) для Python и общие рекомендации по противодействию – все это можно найти в статье.
Будьте бдительны при скачивании проектов из GitHub и проверяйте все тщательно
Всем привет!
По ссылке доступны исследования Apiiro, посвященные безопасности репозиториев, доступных на GitHub.
В основном, рассматривается repository confusion. Похоже на dependency confusion для open source зависимостей. Однако, в отличие от последних, которые обусловлены логикой работы пакетных менеджеров, repository confusion в большей степени реализуются за счет человеческого фактора.
Работает это примерно так (со стороны атакующего):
🍭 Скачиваются популярные repository
🍭 Видоизменяются, например добавлением malware loaders
🍭 Загружаются обратно на GitHub, forking
🍭 «Популяризация» в сети
В итоге команда Apiiro нашла более 100 000 repository, которые содержат вредоносный код.
Примеры, примеры Indicators of Compromise (IoC) для Python и общие рекомендации по противодействию – все это можно найти в статье.
Будьте бдительны при скачивании проектов из GitHub и проверяйте все тщательно
Apiiro | Deep Application Security Posture Management (ASPM)
Over 100,000 Infected Repos Found on GitHub
The Apiiro research team has detected a repo confusion campaign that has evolved and expanded, impacting over 100k GitHub repos with malicious code.
❤1
Анализ Audit Log в Kubernetes
Всем привет!
Да, по умолчанию Kubernetes не логирует какую-либо активность в кластере. Однако, можно написать Audit Policy и получать достаточно много данных.
Но что с ними делать? Ведь данные ради данных – подход крайне странный. Примеры ответов на вопрос можно найти в статье.
Авторы разбирают примеры:
🍭 Activity in the K8S Control Plane
🍭 Unauthenticated/Anonymous Kubernetes API Request
🍭 Unauthorized Kubernetes Pod Execution
🍭 Unauthorized Kubernetes Pod Attachment
🍭 Kubernetes Cron Job Created or Modified и не только
Для каждого примера описывается причина – «Почему это важно для нужд ИБ?» и пример лога Audit Policy, который может потребоваться. Также материал можно использовать для создания/адаптации существующих у Вас Audit Policy
Всем привет!
Да, по умолчанию Kubernetes не логирует какую-либо активность в кластере. Однако, можно написать Audit Policy и получать достаточно много данных.
Но что с ними делать? Ведь данные ради данных – подход крайне странный. Примеры ответов на вопрос можно найти в статье.
Авторы разбирают примеры:
🍭 Activity in the K8S Control Plane
🍭 Unauthenticated/Anonymous Kubernetes API Request
🍭 Unauthorized Kubernetes Pod Execution
🍭 Unauthorized Kubernetes Pod Attachment
🍭 Kubernetes Cron Job Created or Modified и не только
Для каждого примера описывается причина – «Почему это важно для нужд ИБ?» и пример лога Audit Policy, который может потребоваться. Также материал можно использовать для создания/адаптации существующих у Вас Audit Policy
Medium
From Logs to Detection: Using Snowflake and Panther to Detect K8s Threats
Diving into the world of Kubernetes security, starting with the the Kubernetes API Audit Log and its crucial role for threat detection
👍1
«Закрепление» через VS Code Extension
Всем привет!
VS Code – весьма популярная IDE, функционал которой можно расширить при помощи различных Extensions.
Но что может пойти не так? Вопрос, который вечно находится в голове у ИБ-специалистов. В статье Авторы наглядно демонстрируют возможные способы «закрепления» (persistence), которые можно реализовать при помощи Extension. Ну а что может быть лучше и наглядней, чем разработка собственного?
Все по пунктам:
🍭 Подготовка – установка и настройка VS Code, NodeJS, Yeoman, Npm Generator Code
🍭 Генерация «болванок» будущего Extension
🍭 Написание логики работы Extension
🍭 Упаковка и «распространение»
Код, скриншоты, пояснения – все, как всегда, на месте! Для наглядности Авторы приводят примеры вызова сообщений при запуске VS Code или при наступлении некоего «события». Дальше все становится «хуже»: запуск команды через CMD, установка соединения с C'n'C сервером, использование Powershell… Вариантов достаточно много!
Поэтому лучше лишний раз внимательно проверять устанавливаемый Extension. А если у Вас все еще есть сомнения, то можно обратиться к материалам Checkpoint, про которые мы писали тут
Всем привет!
VS Code – весьма популярная IDE, функционал которой можно расширить при помощи различных Extensions.
Но что может пойти не так? Вопрос, который вечно находится в голове у ИБ-специалистов. В статье Авторы наглядно демонстрируют возможные способы «закрепления» (persistence), которые можно реализовать при помощи Extension. Ну а что может быть лучше и наглядней, чем разработка собственного?
Все по пунктам:
🍭 Подготовка – установка и настройка VS Code, NodeJS, Yeoman, Npm Generator Code
🍭 Генерация «болванок» будущего Extension
🍭 Написание логики работы Extension
🍭 Упаковка и «распространение»
Код, скриншоты, пояснения – все, как всегда, на месте! Для наглядности Авторы приводят примеры вызова сообщений при запуске VS Code или при наступлении некоего «события». Дальше все становится «хуже»: запуск команды через CMD, установка соединения с C'n'C сервером, использование Powershell… Вариантов достаточно много!
Поэтому лучше лишний раз внимательно проверять устанавливаемый Extension. А если у Вас все еще есть сомнения, то можно обратиться к материалам Checkpoint, про которые мы писали тут
Penetration Testing Lab
Persistence – Visual Studio Code Extensions
It is not uncommon developers or users responsible to write code (i.e. detection engineers using Sigma) to utilize Visual Studio Code as their code editor. The default capability of the product can…
👍5❤1
Troubleshooting Linux серверов
Всем привет!
Ну что, все уже успешно справились с заданиями из нашего недавнего поста?😉 А сегодня мы хотим представить вашему вниманию еще больше задачек и головоломок! SadServers!😢 Отличная подборка сценариев для того, что бы отточить свое мастерство дебага Linux серверов!
Все задачи разделены на три категории:
🎹 Easy,
🎹 Medium
🎹 Hard.
В каждой задаче вам предлагается:
🎹 что-то сделать (Do)
🎹 что-то починить (Fix)
🎹 что-то "сломать" (Hack)
Здесь вы найдете разнообразные сценарии, связанные с различными технологиями такими как: kubernetes, docker, nginx, apache, mysql и многими другими! Уверены, вы с удовольствием проведете время, решая эти задачки!
Всем привет!
Ну что, все уже успешно справились с заданиями из нашего недавнего поста?😉 А сегодня мы хотим представить вашему вниманию еще больше задачек и головоломок! SadServers!😢 Отличная подборка сценариев для того, что бы отточить свое мастерство дебага Linux серверов!
Все задачи разделены на три категории:
🎹 Easy,
🎹 Medium
🎹 Hard.
В каждой задаче вам предлагается:
🎹 что-то сделать (Do)
🎹 что-то починить (Fix)
🎹 что-то "сломать" (Hack)
Здесь вы найдете разнообразные сценарии, связанные с различными технологиями такими как: kubernetes, docker, nginx, apache, mysql и многими другими! Уверены, вы с удовольствием проведете время, решая эти задачки!
👍16❤2🔥2
Анализ binary-файлов от Chainguard
Всем привет!
Chainguard продолжает свой «крестовый поход» по улучшению безопасности образов контейнеров и их содержимого.
Недавно команда поделилась еще одним своим проектом – Bincapz – позволяющим анализировать binary файлы.
Возможности утилиты:
🍭 Анализирует binary-файлы в независимости от архитектуры (arm64, amd64, riscv, ppc64, sparc64)
🍭 Поддерживает bash, PHP, Perl, Ruby, NodeJS и Python
🍭 Для анализа используется более чем 12 000 YARA-правил. Включая правила, направленный на идентификацию вредоносного ПО
🍭 Предоставляет «отчеты» в различных форматах (MD, JSON, YAML)
Описание того, как установить и использовать Bincapz можно найти в repo проекта. Да, это не 100% панацея, но точно может быть использовано для повышения уровня информационной безопасности используемых образов.
P.S. Недавно минималистичные образы Chainguard были официально добавлены в Dockerhub. Подробнее об этом можно прочесть тут.
Всем привет!
Chainguard продолжает свой «крестовый поход» по улучшению безопасности образов контейнеров и их содержимого.
Недавно команда поделилась еще одним своим проектом – Bincapz – позволяющим анализировать binary файлы.
Возможности утилиты:
🍭 Анализирует binary-файлы в независимости от архитектуры (arm64, amd64, riscv, ppc64, sparc64)
🍭 Поддерживает bash, PHP, Perl, Ruby, NodeJS и Python
🍭 Для анализа используется более чем 12 000 YARA-правил. Включая правила, направленный на идентификацию вредоносного ПО
🍭 Предоставляет «отчеты» в различных форматах (MD, JSON, YAML)
Описание того, как установить и использовать Bincapz можно найти в repo проекта. Да, это не 100% панацея, но точно может быть использовано для повышения уровня информационной безопасности используемых образов.
P.S. Недавно минималистичные образы Chainguard были официально добавлены в Dockerhub. Подробнее об этом можно прочесть тут.
GitHub
GitHub - chainguard-dev/malcontent: #supply #chain #attack #detection
#supply #chain #attack #detection. Contribute to chainguard-dev/malcontent development by creating an account on GitHub.
👍5❤1
Native Sidecar Containers
Всем привет!
В версии Kubernetes 1.28+ была добавлена такая функция, как «Native Sidecar Container». Сперва может быть не очень понятно, зачем это нужно.
Например, могут возникнуть вопросы:
🍭 Что это такое и какие были предпосылки к созданию?
🍭 Чем это отличается от Init Container или от Sidecar-паттерна?
🍭 Как мне «запустить» такой «Native Sidecar Container»?
🍭 Что это мне даст? Какие проблемы я смогу решить?
Ответы на все эти вопросы и не только можно найти в детальном материале от Ivan Velichko. При этом все, что описано в статье можно реализовать непосредственно в playground.
Ivan в который раз радует превосходным материалом. Если вы еще не знакомы с его наработками – крайне рекомендуем это исправить!
Всем привет!
В версии Kubernetes 1.28+ была добавлена такая функция, как «Native Sidecar Container». Сперва может быть не очень понятно, зачем это нужно.
Например, могут возникнуть вопросы:
🍭 Что это такое и какие были предпосылки к созданию?
🍭 Чем это отличается от Init Container или от Sidecar-паттерна?
🍭 Как мне «запустить» такой «Native Sidecar Container»?
🍭 Что это мне даст? Какие проблемы я смогу решить?
Ответы на все эти вопросы и не только можно найти в детальном материале от Ivan Velichko. При этом все, что описано в статье можно реализовать непосредственно в playground.
Ivan в который раз радует превосходным материалом. Если вы еще не знакомы с его наработками – крайне рекомендуем это исправить!
iximiuz Labs
Making Sense Out of Native Sidecar Containers in Kubernetes | iximiuz Labs
Understand the "native" sidecar containers, learn their difference from regular and init containers and discover their advantages in this focused and highly practical tutorial.
👍8❤2
API-Gateway с аутентификацией на базе Nginx
Всем привет!
В статье можно найти пример реализации API-gateway с token-аутентификацией, реализованный с использованием Golang и Nginx.
Автор предлагает создать 3 сущности:
🍭 Auth. Проверяет переданный authorization token
🍭 Expose. Сервис, который «публикует» несколько endpoints
🍭 Nginx. Маршрутизация запросов пользователя между остальными сервисами
Исходные коды, используемые технологии, конфигурация Nginx и комментарии – все можно найти в статье.
Автор приводит упрощенный вариант реализации. Однако, если захочется сделать что-то аналогичное, но «помощнее» - концепт останется точно таким же.
Всем привет!
В статье можно найти пример реализации API-gateway с token-аутентификацией, реализованный с использованием Golang и Nginx.
Автор предлагает создать 3 сущности:
🍭 Auth. Проверяет переданный authorization token
🍭 Expose. Сервис, который «публикует» несколько endpoints
🍭 Nginx. Маршрутизация запросов пользователя между остальными сервисами
Исходные коды, используемые технологии, конфигурация Nginx и комментарии – все можно найти в статье.
Автор приводит упрощенный вариант реализации. Однако, если захочется сделать что-то аналогичное, но «помощнее» - концепт останется точно таким же.
Medium
Make Your Own API Gateway with NGINX and Proper Auth Validation
Microservices are a common trend in our software industry right now. Whenever the topic of “scalability” arises, microservices come to mind…
👍10👎2🔥2
Secure Coding Practices
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Devsecopsguides
Secure Coding Cheatsheets
In today's interconnected digital landscape, security is paramount for developers across various platforms and programming languages.
❤6🔥3👍2
CI/CD Security: что это, зачем, какие есть риски и что делать?
Всем привет!
Нарушение работоспособности CI/CD конвейера или его «логики» (как случайное, так и предумышленное) может привести к не самым приятным последствиям. От срыва сроков release до добавления malware в выпускаемый Продукт.
В статье Авторы подробно (~ 27 минут для прочтения), шаг за шагом, разбирают вопросы, связанные обеспечением информационной безопасности CI/CD-конвейера.
Статья содержит следующие крупные блоки:
🍭 Почему обеспечение ИБ CI/CD-конвейера является крайне важным?
🍭 Что такое безопасности CI/CD: риски, описанные в OWASP Top 10
🍭 Как можно защитить CI/CD?
🍭 Лучшие практики по CI/CD-hardening
🍭 Использование AI/ML в целях CI/CD Security(дада, куда без него, ведь все становится лучше с bluetooth ML 😊)
В статье много полезных отсылок. Например, для OWASP Top 10 предоставляется информация о том, где это было «реализовано».
Части, связанные с защитой, пусть и не дают явных how to, но определяют направление, которое можно реализовать в используемом Вами инструментарии.
Всем привет!
Нарушение работоспособности CI/CD конвейера или его «логики» (как случайное, так и предумышленное) может привести к не самым приятным последствиям. От срыва сроков release до добавления malware в выпускаемый Продукт.
В статье Авторы подробно (~ 27 минут для прочтения), шаг за шагом, разбирают вопросы, связанные обеспечением информационной безопасности CI/CD-конвейера.
Статья содержит следующие крупные блоки:
🍭 Почему обеспечение ИБ CI/CD-конвейера является крайне важным?
🍭 Что такое безопасности CI/CD: риски, описанные в OWASP Top 10
🍭 Как можно защитить CI/CD?
🍭 Лучшие практики по CI/CD-hardening
🍭 Использование AI/ML в целях CI/CD Security
В статье много полезных отсылок. Например, для OWASP Top 10 предоставляется информация о том, где это было «реализовано».
Части, связанные с защитой, пусть и не дают явных how to, но определяют направление, которое можно реализовать в используемом Вами инструментарии.
Spacelift
CI/CD Security: What is It, Risks & 20 Best Practices
Learn why CI/CD Security is the key to faster and more reliable software delivery with tips on how to keep your pipelines secure.
👍5❤1
Kubernetes: Network Observability
Всем привет!
Retina – open source решение от… Microsoft, которое может быть полезно при поиске проблем в работе сети Kubernetes. Например, идентификация проблем в сетевой связности, мониторинг «здоровья» сети.
При помощи нее можно собирать большое количество телеметрии, которое можно помещать в смежные системы (например, Prometheus) и визуализировать (например, Grafana).
В качестве телеметрии используются сущности:
🍭 Metrics. Входящий/Исходящий трафик, потерянные пакеты, TCP/UDP, DNS и т.д.
🍭 Captures. Захват трафика с последующим анализом для выбранных Pods/Nodes
Информацию по установке настройке и интеграции Retina с Prometheus/Grafana и больше информации по возможностям решения можно найти в документации.
Всем привет!
Retina – open source решение от… Microsoft, которое может быть полезно при поиске проблем в работе сети Kubernetes. Например, идентификация проблем в сетевой связности, мониторинг «здоровья» сети.
При помощи нее можно собирать большое количество телеметрии, которое можно помещать в смежные системы (например, Prometheus) и визуализировать (например, Grafana).
В качестве телеметрии используются сущности:
🍭 Metrics. Входящий/Исходящий трафик, потерянные пакеты, TCP/UDP, DNS и т.д.
🍭 Captures. Захват трафика с последующим анализом для выбранных Pods/Nodes
Информацию по установке настройке и интеграции Retina с Prometheus/Grafana и больше информации по возможностям решения можно найти в документации.
GitHub
GitHub - microsoft/retina: eBPF distributed networking observability tool for Kubernetes
eBPF distributed networking observability tool for Kubernetes - microsoft/retina
👍3❤1
Tigera_eBook_Intro_to_Kubernetes_Networking.pdf
4.6 MB
Kubernetes Networking and Security
Всем привет!
В приложении можно скачать электронную книгу от Tigera (авторов Calico), посвященную вопросам устройства и обеспечения ИБ сети в Kubernetes.
На ~ 60 страницах можно найти информацию по разделам:
🍭 Networking (общий), особенности Kubernetes Networking
🍭 Network Policy
🍭 Kubernetes Services / Ingress / Egress
🍭 eBPF и не только
В книге много примеров, пояснений и ссылок на «внешние» материалы по темам разделов.
И без Calico не обошлось (было бы странно 😊) В том числе рассматриваются его возможности, сценарии использования и функционал Enterprise-версии
Всем привет!
В приложении можно скачать электронную книгу от Tigera (авторов Calico), посвященную вопросам устройства и обеспечения ИБ сети в Kubernetes.
На ~ 60 страницах можно найти информацию по разделам:
🍭 Networking (общий), особенности Kubernetes Networking
🍭 Network Policy
🍭 Kubernetes Services / Ingress / Egress
🍭 eBPF и не только
В книге много примеров, пояснений и ссылок на «внешние» материалы по темам разделов.
И без Calico не обошлось (было бы странно 😊) В том числе рассматриваются его возможности, сценарии использования и функционал Enterprise-версии
👍7🔥2
Управление пользователями в Codeowners
Всем привет!
Вопросы отзыва прав доступа у работников, которые больше не являются частью Компании и/или проекта – достаточно частая задача для ИБ-специалистов.
Разработка и управление правами доступа к repo – не исключение. Сегодня хотим рассказать Вам про небольшую утилиту, которая приносит достаточно много пользы.
Cleanowners – GitHub Action, который удаляет пользователей из файла
Утилита работает только с GitHub, но нечто аналогичное можно сделать и для других систем управления версиями.
Как ей пользоваться, что для это нужно и как ее можно настроить – все детально описано в repo проекта.
Всем привет!
Вопросы отзыва прав доступа у работников, которые больше не являются частью Компании и/или проекта – достаточно частая задача для ИБ-специалистов.
Разработка и управление правами доступа к repo – не исключение. Сегодня хотим рассказать Вам про небольшую утилиту, которая приносит достаточно много пользы.
Cleanowners – GitHub Action, который удаляет пользователей из файла
CODEOWNERS, если они более не являются частью организации.Утилита работает только с GitHub, но нечто аналогичное можно сделать и для других систем управления версиями.
Как ей пользоваться, что для это нужно и как ее можно настроить – все детально описано в repo проекта.
GitHub
GitHub - github/cleanowners: A GitHub Action to suggest removal of non-organization members from CODEOWNERS files
A GitHub Action to suggest removal of non-organization members from CODEOWNERS files - github/cleanowners
Разбор Poisoned Pipeline Execution (PPE)
Всем привет!
Компрометация сборочной среды может привести к очень неприятным последствиям. Это не раз «демонстрировалось» - на примерах тех же Solar Winds или Codecov.
Если упростить, то PPE возникает, когда злоумышленник каким-либо способом может «влиять» на конфигурацию конвейера сборки (pipeline).
В статье Автор разбирает следующие примеры
🍭 Direct PPE
🍭 Indirect PPE
🍭 Public PPE
Для каждой «разновидности» атаки Автор приводит примеры, сопровождая их комментариями. «Нового» ничего нет, зато есть еще немного примеров для лучшего понимания происходящего.
Завершают статью советы о том, как можно и нужно избегать подобного, а также ссылки на большое количество различных материалов по теме.
Всем привет!
Компрометация сборочной среды может привести к очень неприятным последствиям. Это не раз «демонстрировалось» - на примерах тех же Solar Winds или Codecov.
Если упростить, то PPE возникает, когда злоумышленник каким-либо способом может «влиять» на конфигурацию конвейера сборки (pipeline).
В статье Автор разбирает следующие примеры
🍭 Direct PPE
🍭 Indirect PPE
🍭 Public PPE
Для каждой «разновидности» атаки Автор приводит примеры, сопровождая их комментариями. «Нового» ничего нет, зато есть еще немного примеров для лучшего понимания происходящего.
Завершают статью советы о том, как можно и нужно избегать подобного, а также ссылки на большое количество различных материалов по теме.
Bishop Fox
Poisoned Pipeline Execution Attacks: A Look at CI-CD Environments
Bishop Fox examines types of poisoned pipeline execution (PPE) attacks, methods to exploit these vulnerabilities, and recommended preventive measures.
🔥2
Управление уязвимостями, советы GitGuardian
Всем привет!
По ссылке можно найти статью (~ 11 минут чтения), в которой Автор из команды GitGuardian описывает собственную практику и советы по созданию процесса управления уязвимостями.
Он выделяет 3 ключевые «области»:
🍭 Identification. Получение данных из различных сканеров
🍭 Observability. Некое подобие «информирования» участников процесса (отдельно для AppSec, отдельно для Dev)
🍭 Management. Устранение ИБ-дефектов, обучения, метрики и т.д.
В конце – немного про участников процесса, роли, их полномочия и распределение обязанностей.
Сперва статья может показаться достаточно «базовой», но в ней очень много интересных мыслей. Включая схему процесса, которую Автор «рисует» вместе с читателями.
Всем привет!
По ссылке можно найти статью (~ 11 минут чтения), в которой Автор из команды GitGuardian описывает собственную практику и советы по созданию процесса управления уязвимостями.
Он выделяет 3 ключевые «области»:
🍭 Identification. Получение данных из различных сканеров
🍭 Observability. Некое подобие «информирования» участников процесса (отдельно для AppSec, отдельно для Dev)
🍭 Management. Устранение ИБ-дефектов, обучения, метрики и т.д.
В конце – немного про участников процесса, роли, их полномочия и распределение обязанностей.
Сперва статья может показаться достаточно «базовой», но в ней очень много интересных мыслей. Включая схему процесса, которую Автор «рисует» вместе с читателями.
GitGuardian Blog - Take Control of Your Secrets Security
Vulnerability Management Lifecycle in DevSecOps
In this new series, CJ May shares his expertise in implementing secure-by-design software processes that empower engineering teams.
The first stage of his DevSecOps program: vulnerability management.
The first stage of his DevSecOps program: vulnerability management.
10 000 bugs за 10 000 дней!
Всем привет!
Сегодня не совсем обычный пост, но хочется этим поделиться 😊 Наверное, каждый (по крайней мере в этом канале) сталкивался с…
Оказывается, что недавно общее количество bugs, которые были исправлены в
Немного подробней про эту новость можно прочесть вот тут. А(если посчитать, то ему 28 лет 😊)
Всем привет!
Сегодня не совсем обычный пост, но хочется этим поделиться 😊 Наверное, каждый (по крайней мере в этом канале) сталкивался с…
cURL!Оказывается, что недавно общее количество bugs, которые были исправлены в
cURL, превысило 10 000! Если не верится, то вот тут можно найти статистику. В ней также указано общее количество CVE и история их изменений.Немного подробней про эту новость можно прочесть вот тут. А
cURL хочется лишь пожелать дальнейшего развития и поддержки от community 😊 😁6🔥3❤1👍1
Kubernetes: the harder way!
Всем привет!
Возможно, Вы слышали или даже «проходили» путь Kubernetes: the hard way, в котором автоматизация процесса создания кластеров сведена к минимуму.
Показалось, что это было слишком просто? Тогда попробуйте Kubernetes: the harder way!
Автор предлагает следующее:
🍭 Preparing environments for a VM Cluster
🍭 Bootstrapping Kubernetes Security
🍭 Installing Kubernetes Control Plane
🍭 Simplifying Network Setup with Cilium и не только
Для каждого раздела приведена детальная инструкция, примеры команд и пояснений того, что происходит.
Подобное «упражнение» позволит лучше понять внутреннее устройство Kubernetes и принципы его работы.
Всем привет!
Возможно, Вы слышали или даже «проходили» путь Kubernetes: the hard way, в котором автоматизация процесса создания кластеров сведена к минимуму.
Показалось, что это было слишком просто? Тогда попробуйте Kubernetes: the harder way!
Автор предлагает следующее:
🍭 Preparing environments for a VM Cluster
🍭 Bootstrapping Kubernetes Security
🍭 Installing Kubernetes Control Plane
🍭 Simplifying Network Setup with Cilium и не только
Для каждого раздела приведена детальная инструкция, примеры команд и пояснений того, что происходит.
Подобное «упражнение» позволит лучше понять внутреннее устройство Kubernetes и принципы его работы.
GitHub
GitHub - ghik/kubernetes-the-harder-way: A guide to setting up a production-like Kubernetes cluster on a local machine
A guide to setting up a production-like Kubernetes cluster on a local machine - ghik/kubernetes-the-harder-way
🔥10👍3
imagePullPolicy что это и как она работает?
Всем привет!
В статье на простых примерах рассказывают и демонстрируют принципы работы разных вариантов
Рассматриваются следующие возможности:
🍭 IfNotPresent
🍭 Always(название может быть обманчиво 😊)
🍭 Never
Для каждой политики приводится схема ее работы, рассматриваются вопросы использования Image Tag и Digest и описываются нюансы использования
Всем привет!
В статье на простых примерах рассказывают и демонстрируют принципы работы разных вариантов
imagePullPolicy.Рассматриваются следующие возможности:
🍭 IfNotPresent
🍭 Always
🍭 Never
Для каждой политики приводится схема ее работы, рассматриваются вопросы использования Image Tag и Digest и описываются нюансы использования
Decisivedevops
Kubernetes Pod Policies — imagePullPolicy - Decisive DevOps
When a pod is launched in Kubernetes, it starts with several policies. In this series, we will understand these policies, starting with imagePullPolicy.
👍2
Attacking Supply Chain
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Devsecopsguides
Attacking Supply Chain
In today's interconnected and rapidly evolving technological landscape, DevOps practices have revolutionized software development and deployment, emphasizing collaboration, automation, and continuous integration/continuous deployment (CI/CD).
👍7❤3
Стань спикером CyberCamp 2024!!!
Всем привет!
Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp!
Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни.
А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками(и даже получить приятные призы 😊) Интересное найдется абсолютно всем!
В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!!
Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами!
P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок!
P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️
Всем привет!
Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp!
Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни.
А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками
В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!!
Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами!
P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок!
P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️
🔥6❤🔥5👍5❤2🥰2
Как подготовиться к собеседованию в Google?
Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍
Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции.
В этой подборке вы найдете вопросы по темам:
🎹 Networking
🎹 Practical Coding / Scripting
🎹 Non-Abstract Systems Design
🎹 Operating Systems
...а так же ответы на них!
Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁
Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!
Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍
Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции.
В этой подборке вы найдете вопросы по темам:
🎹 Networking
🎹 Practical Coding / Scripting
🎹 Non-Abstract Systems Design
🎹 Operating Systems
...а так же ответы на них!
Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁
Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!
👍3🔥2🥰1😨1
AppSecFest 2024 Almaty!
Всем привет!
Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются.
В программе:
🖥 Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, подарки и розыгрыши
Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции.
Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊
PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!
Всем привет!
Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются.
В программе:
🖥 Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, подарки и розыгрыши
Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции.
Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊
PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!
appsecfest.kz
AppSecFest 2025
AppSecFest — это ежегодное событие, где передовые подходы к разработке и защите приложений формируют будущее технологий.
👍5🔥2