CI/CD Security: что это, зачем, какие есть риски и что делать?
Всем привет!
Нарушение работоспособности CI/CD конвейера или его «логики» (как случайное, так и предумышленное) может привести к не самым приятным последствиям. От срыва сроков release до добавления malware в выпускаемый Продукт.
В статье Авторы подробно (~ 27 минут для прочтения), шаг за шагом, разбирают вопросы, связанные обеспечением информационной безопасности CI/CD-конвейера.
Статья содержит следующие крупные блоки:
🍭 Почему обеспечение ИБ CI/CD-конвейера является крайне важным?
🍭 Что такое безопасности CI/CD: риски, описанные в OWASP Top 10
🍭 Как можно защитить CI/CD?
🍭 Лучшие практики по CI/CD-hardening
🍭 Использование AI/ML в целях CI/CD Security(дада, куда без него, ведь все становится лучше с bluetooth ML 😊)
В статье много полезных отсылок. Например, для OWASP Top 10 предоставляется информация о том, где это было «реализовано».
Части, связанные с защитой, пусть и не дают явных how to, но определяют направление, которое можно реализовать в используемом Вами инструментарии.
Всем привет!
Нарушение работоспособности CI/CD конвейера или его «логики» (как случайное, так и предумышленное) может привести к не самым приятным последствиям. От срыва сроков release до добавления malware в выпускаемый Продукт.
В статье Авторы подробно (~ 27 минут для прочтения), шаг за шагом, разбирают вопросы, связанные обеспечением информационной безопасности CI/CD-конвейера.
Статья содержит следующие крупные блоки:
🍭 Почему обеспечение ИБ CI/CD-конвейера является крайне важным?
🍭 Что такое безопасности CI/CD: риски, описанные в OWASP Top 10
🍭 Как можно защитить CI/CD?
🍭 Лучшие практики по CI/CD-hardening
🍭 Использование AI/ML в целях CI/CD Security
В статье много полезных отсылок. Например, для OWASP Top 10 предоставляется информация о том, где это было «реализовано».
Части, связанные с защитой, пусть и не дают явных how to, но определяют направление, которое можно реализовать в используемом Вами инструментарии.
Spacelift
CI/CD Security: What is It, Risks & 20 Best Practices
Learn why CI/CD Security is the key to faster and more reliable software delivery with tips on how to keep your pipelines secure.
👍5❤1
Kubernetes: Network Observability
Всем привет!
Retina – open source решение от… Microsoft, которое может быть полезно при поиске проблем в работе сети Kubernetes. Например, идентификация проблем в сетевой связности, мониторинг «здоровья» сети.
При помощи нее можно собирать большое количество телеметрии, которое можно помещать в смежные системы (например, Prometheus) и визуализировать (например, Grafana).
В качестве телеметрии используются сущности:
🍭 Metrics. Входящий/Исходящий трафик, потерянные пакеты, TCP/UDP, DNS и т.д.
🍭 Captures. Захват трафика с последующим анализом для выбранных Pods/Nodes
Информацию по установке настройке и интеграции Retina с Prometheus/Grafana и больше информации по возможностям решения можно найти в документации.
Всем привет!
Retina – open source решение от… Microsoft, которое может быть полезно при поиске проблем в работе сети Kubernetes. Например, идентификация проблем в сетевой связности, мониторинг «здоровья» сети.
При помощи нее можно собирать большое количество телеметрии, которое можно помещать в смежные системы (например, Prometheus) и визуализировать (например, Grafana).
В качестве телеметрии используются сущности:
🍭 Metrics. Входящий/Исходящий трафик, потерянные пакеты, TCP/UDP, DNS и т.д.
🍭 Captures. Захват трафика с последующим анализом для выбранных Pods/Nodes
Информацию по установке настройке и интеграции Retina с Prometheus/Grafana и больше информации по возможностям решения можно найти в документации.
GitHub
GitHub - microsoft/retina: eBPF distributed networking observability tool for Kubernetes
eBPF distributed networking observability tool for Kubernetes - microsoft/retina
👍3❤1
Tigera_eBook_Intro_to_Kubernetes_Networking.pdf
4.6 MB
Kubernetes Networking and Security
Всем привет!
В приложении можно скачать электронную книгу от Tigera (авторов Calico), посвященную вопросам устройства и обеспечения ИБ сети в Kubernetes.
На ~ 60 страницах можно найти информацию по разделам:
🍭 Networking (общий), особенности Kubernetes Networking
🍭 Network Policy
🍭 Kubernetes Services / Ingress / Egress
🍭 eBPF и не только
В книге много примеров, пояснений и ссылок на «внешние» материалы по темам разделов.
И без Calico не обошлось (было бы странно 😊) В том числе рассматриваются его возможности, сценарии использования и функционал Enterprise-версии
Всем привет!
В приложении можно скачать электронную книгу от Tigera (авторов Calico), посвященную вопросам устройства и обеспечения ИБ сети в Kubernetes.
На ~ 60 страницах можно найти информацию по разделам:
🍭 Networking (общий), особенности Kubernetes Networking
🍭 Network Policy
🍭 Kubernetes Services / Ingress / Egress
🍭 eBPF и не только
В книге много примеров, пояснений и ссылок на «внешние» материалы по темам разделов.
И без Calico не обошлось (было бы странно 😊) В том числе рассматриваются его возможности, сценарии использования и функционал Enterprise-версии
👍7🔥2
Управление пользователями в Codeowners
Всем привет!
Вопросы отзыва прав доступа у работников, которые больше не являются частью Компании и/или проекта – достаточно частая задача для ИБ-специалистов.
Разработка и управление правами доступа к repo – не исключение. Сегодня хотим рассказать Вам про небольшую утилиту, которая приносит достаточно много пользы.
Cleanowners – GitHub Action, который удаляет пользователей из файла
Утилита работает только с GitHub, но нечто аналогичное можно сделать и для других систем управления версиями.
Как ей пользоваться, что для это нужно и как ее можно настроить – все детально описано в repo проекта.
Всем привет!
Вопросы отзыва прав доступа у работников, которые больше не являются частью Компании и/или проекта – достаточно частая задача для ИБ-специалистов.
Разработка и управление правами доступа к repo – не исключение. Сегодня хотим рассказать Вам про небольшую утилиту, которая приносит достаточно много пользы.
Cleanowners – GitHub Action, который удаляет пользователей из файла
CODEOWNERS, если они более не являются частью организации.Утилита работает только с GitHub, но нечто аналогичное можно сделать и для других систем управления версиями.
Как ей пользоваться, что для это нужно и как ее можно настроить – все детально описано в repo проекта.
GitHub
GitHub - github/cleanowners: A GitHub Action to suggest removal of non-organization members from CODEOWNERS files
A GitHub Action to suggest removal of non-organization members from CODEOWNERS files - github/cleanowners
Разбор Poisoned Pipeline Execution (PPE)
Всем привет!
Компрометация сборочной среды может привести к очень неприятным последствиям. Это не раз «демонстрировалось» - на примерах тех же Solar Winds или Codecov.
Если упростить, то PPE возникает, когда злоумышленник каким-либо способом может «влиять» на конфигурацию конвейера сборки (pipeline).
В статье Автор разбирает следующие примеры
🍭 Direct PPE
🍭 Indirect PPE
🍭 Public PPE
Для каждой «разновидности» атаки Автор приводит примеры, сопровождая их комментариями. «Нового» ничего нет, зато есть еще немного примеров для лучшего понимания происходящего.
Завершают статью советы о том, как можно и нужно избегать подобного, а также ссылки на большое количество различных материалов по теме.
Всем привет!
Компрометация сборочной среды может привести к очень неприятным последствиям. Это не раз «демонстрировалось» - на примерах тех же Solar Winds или Codecov.
Если упростить, то PPE возникает, когда злоумышленник каким-либо способом может «влиять» на конфигурацию конвейера сборки (pipeline).
В статье Автор разбирает следующие примеры
🍭 Direct PPE
🍭 Indirect PPE
🍭 Public PPE
Для каждой «разновидности» атаки Автор приводит примеры, сопровождая их комментариями. «Нового» ничего нет, зато есть еще немного примеров для лучшего понимания происходящего.
Завершают статью советы о том, как можно и нужно избегать подобного, а также ссылки на большое количество различных материалов по теме.
Bishop Fox
Poisoned Pipeline Execution Attacks: A Look at CI-CD Environments
Bishop Fox examines types of poisoned pipeline execution (PPE) attacks, methods to exploit these vulnerabilities, and recommended preventive measures.
🔥2
Управление уязвимостями, советы GitGuardian
Всем привет!
По ссылке можно найти статью (~ 11 минут чтения), в которой Автор из команды GitGuardian описывает собственную практику и советы по созданию процесса управления уязвимостями.
Он выделяет 3 ключевые «области»:
🍭 Identification. Получение данных из различных сканеров
🍭 Observability. Некое подобие «информирования» участников процесса (отдельно для AppSec, отдельно для Dev)
🍭 Management. Устранение ИБ-дефектов, обучения, метрики и т.д.
В конце – немного про участников процесса, роли, их полномочия и распределение обязанностей.
Сперва статья может показаться достаточно «базовой», но в ней очень много интересных мыслей. Включая схему процесса, которую Автор «рисует» вместе с читателями.
Всем привет!
По ссылке можно найти статью (~ 11 минут чтения), в которой Автор из команды GitGuardian описывает собственную практику и советы по созданию процесса управления уязвимостями.
Он выделяет 3 ключевые «области»:
🍭 Identification. Получение данных из различных сканеров
🍭 Observability. Некое подобие «информирования» участников процесса (отдельно для AppSec, отдельно для Dev)
🍭 Management. Устранение ИБ-дефектов, обучения, метрики и т.д.
В конце – немного про участников процесса, роли, их полномочия и распределение обязанностей.
Сперва статья может показаться достаточно «базовой», но в ней очень много интересных мыслей. Включая схему процесса, которую Автор «рисует» вместе с читателями.
GitGuardian Blog - Take Control of Your Secrets Security
Vulnerability Management Lifecycle in DevSecOps
In this new series, CJ May shares his expertise in implementing secure-by-design software processes that empower engineering teams.
The first stage of his DevSecOps program: vulnerability management.
The first stage of his DevSecOps program: vulnerability management.
10 000 bugs за 10 000 дней!
Всем привет!
Сегодня не совсем обычный пост, но хочется этим поделиться 😊 Наверное, каждый (по крайней мере в этом канале) сталкивался с…
Оказывается, что недавно общее количество bugs, которые были исправлены в
Немного подробней про эту новость можно прочесть вот тут. А(если посчитать, то ему 28 лет 😊)
Всем привет!
Сегодня не совсем обычный пост, но хочется этим поделиться 😊 Наверное, каждый (по крайней мере в этом канале) сталкивался с…
cURL!Оказывается, что недавно общее количество bugs, которые были исправлены в
cURL, превысило 10 000! Если не верится, то вот тут можно найти статистику. В ней также указано общее количество CVE и история их изменений.Немного подробней про эту новость можно прочесть вот тут. А
cURL хочется лишь пожелать дальнейшего развития и поддержки от community 😊 😁6🔥3❤1👍1
Kubernetes: the harder way!
Всем привет!
Возможно, Вы слышали или даже «проходили» путь Kubernetes: the hard way, в котором автоматизация процесса создания кластеров сведена к минимуму.
Показалось, что это было слишком просто? Тогда попробуйте Kubernetes: the harder way!
Автор предлагает следующее:
🍭 Preparing environments for a VM Cluster
🍭 Bootstrapping Kubernetes Security
🍭 Installing Kubernetes Control Plane
🍭 Simplifying Network Setup with Cilium и не только
Для каждого раздела приведена детальная инструкция, примеры команд и пояснений того, что происходит.
Подобное «упражнение» позволит лучше понять внутреннее устройство Kubernetes и принципы его работы.
Всем привет!
Возможно, Вы слышали или даже «проходили» путь Kubernetes: the hard way, в котором автоматизация процесса создания кластеров сведена к минимуму.
Показалось, что это было слишком просто? Тогда попробуйте Kubernetes: the harder way!
Автор предлагает следующее:
🍭 Preparing environments for a VM Cluster
🍭 Bootstrapping Kubernetes Security
🍭 Installing Kubernetes Control Plane
🍭 Simplifying Network Setup with Cilium и не только
Для каждого раздела приведена детальная инструкция, примеры команд и пояснений того, что происходит.
Подобное «упражнение» позволит лучше понять внутреннее устройство Kubernetes и принципы его работы.
GitHub
GitHub - ghik/kubernetes-the-harder-way: A guide to setting up a production-like Kubernetes cluster on a local machine
A guide to setting up a production-like Kubernetes cluster on a local machine - ghik/kubernetes-the-harder-way
🔥10👍3
imagePullPolicy что это и как она работает?
Всем привет!
В статье на простых примерах рассказывают и демонстрируют принципы работы разных вариантов
Рассматриваются следующие возможности:
🍭 IfNotPresent
🍭 Always(название может быть обманчиво 😊)
🍭 Never
Для каждой политики приводится схема ее работы, рассматриваются вопросы использования Image Tag и Digest и описываются нюансы использования
Всем привет!
В статье на простых примерах рассказывают и демонстрируют принципы работы разных вариантов
imagePullPolicy.Рассматриваются следующие возможности:
🍭 IfNotPresent
🍭 Always
🍭 Never
Для каждой политики приводится схема ее работы, рассматриваются вопросы использования Image Tag и Digest и описываются нюансы использования
Decisivedevops
Kubernetes Pod Policies — imagePullPolicy - Decisive DevOps
When a pod is launched in Kubernetes, it starts with several policies. In this series, we will understand these policies, starting with imagePullPolicy.
👍2
Attacking Supply Chain
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Devsecopsguides
Attacking Supply Chain
In today's interconnected and rapidly evolving technological landscape, DevOps practices have revolutionized software development and deployment, emphasizing collaboration, automation, and continuous integration/continuous deployment (CI/CD).
👍7❤3
Стань спикером CyberCamp 2024!!!
Всем привет!
Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp!
Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни.
А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками(и даже получить приятные призы 😊) Интересное найдется абсолютно всем!
В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!!
Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами!
P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок!
P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️
Всем привет!
Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp!
Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни.
А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками
В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!!
Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами!
P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок!
P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️
🔥6❤🔥5👍5❤2🥰2
Как подготовиться к собеседованию в Google?
Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍
Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции.
В этой подборке вы найдете вопросы по темам:
🎹 Networking
🎹 Practical Coding / Scripting
🎹 Non-Abstract Systems Design
🎹 Operating Systems
...а так же ответы на них!
Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁
Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!
Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍
Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции.
В этой подборке вы найдете вопросы по темам:
🎹 Networking
🎹 Practical Coding / Scripting
🎹 Non-Abstract Systems Design
🎹 Operating Systems
...а так же ответы на них!
Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁
Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!
👍3🔥2🥰1😨1
AppSecFest 2024 Almaty!
Всем привет!
Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются.
В программе:
🖥 Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, подарки и розыгрыши
Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции.
Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊
PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!
Всем привет!
Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются.
В программе:
🖥 Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, подарки и розыгрыши
Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции.
Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊
PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!
appsecfest.kz
AppSecFest 2025
AppSecFest — это ежегодное событие, где передовые подходы к разработке и защите приложений формируют будущее технологий.
👍5🔥2
Kubenomicon: угрозы безопасности Kubernetes
Всем привет!
Kubenomicon – проект, цель которого составить полную матрицу возможных атак на кластеры Kubernetes с указанием возможных мер по противодействию.
На текущий момент сильно пересекается с аналогичным материалом от Microsoft, но есть и отличия.
Структура материала «привязана» к классическому kill chain:
🍭 Initial access
🍭 Execution
🍭 Persistence
🍭 Privilege escalation и далее до Impact
Для каждой угрозы приводится описание с примерами и пояснениями. Проект относительно молодой, поэтому в разделе «Defending» часто можно увидеть «Pull request needed».
Возможно, вас это заинтересует и этот самый PR напишите как раз вы! А мы, в свою очередь, будем держать вас в курсе по обновлению этого материала.
P.S. Кстати, его можно "распечатать", как pdf книгу для локального доступа ☺️
Всем привет!
Kubenomicon – проект, цель которого составить полную матрицу возможных атак на кластеры Kubernetes с указанием возможных мер по противодействию.
На текущий момент сильно пересекается с аналогичным материалом от Microsoft, но есть и отличия.
Структура материала «привязана» к классическому kill chain:
🍭 Initial access
🍭 Execution
🍭 Persistence
🍭 Privilege escalation и далее до Impact
Для каждой угрозы приводится описание с примерами и пояснениями. Проект относительно молодой, поэтому в разделе «Defending» часто можно увидеть «Pull request needed».
Возможно, вас это заинтересует и этот самый PR напишите как раз вы! А мы, в свою очередь, будем держать вас в курсе по обновлению этого материала.
P.S. Кстати, его можно "распечатать", как pdf книгу для локального доступа ☺️
Telegram
DevSecOps Talks
Microsoft Kubernetes Threat Matrix
Всем привет!
Продолжаем тематику моделирования угроз. Сегодняшний пост будет посвящен проекту Kubernetes Threat Matrix от Microsoft.
Инструмент достаточно известный, но лишнее напоминание не повредит.
Он уже пережил…
Всем привет!
Продолжаем тематику моделирования угроз. Сегодняшний пост будет посвящен проекту Kubernetes Threat Matrix от Microsoft.
Инструмент достаточно известный, но лишнее напоминание не повредит.
Он уже пережил…
❤2
Semgrep Academy!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
❤9🔥1
Моделирование угроз с Gram
Всем привет!
Иногда случается так, что Компании, перепробовав все, что есть на рынке не могут найти подходящее решение для задачи. Не можешь найти? Сделай сам!
Именно так и поступила Klarna (Шведская fintech компания) по отношению к средству для моделирования угроз. Так появился проект Gram, который был отдан в community!
Из возможностей:
🍭 Совместная работа нескольких пользователей
🍭 Возможность указания необходимых ИБ-контролей для нивелирования угроз
🍭 Web UI, в котором можно создавать диаграммы компонентов и их взаимосвязей
🍭 Интеграция с JIRA и SSO (Okta)
Да, это мало чем отличается от условного Draw.io, за исключением того, что в Gram убрали все лишнее и оставили только нужное для моделирования угроз. Возможно, что кому-то из вас это пригодится 😊
С тем, как можно запустить Gram и всеми необходимыми для этого параметрами можно ознакомиться в Quick Start Guide
Всем привет!
Иногда случается так, что Компании, перепробовав все, что есть на рынке не могут найти подходящее решение для задачи. Не можешь найти? Сделай сам!
Именно так и поступила Klarna (Шведская fintech компания) по отношению к средству для моделирования угроз. Так появился проект Gram, который был отдан в community!
Из возможностей:
🍭 Совместная работа нескольких пользователей
🍭 Возможность указания необходимых ИБ-контролей для нивелирования угроз
🍭 Web UI, в котором можно создавать диаграммы компонентов и их взаимосвязей
🍭 Интеграция с JIRA и SSO (Okta)
Да, это мало чем отличается от условного Draw.io, за исключением того, что в Gram убрали все лишнее и оставили только нужное для моделирования угроз. Возможно, что кому-то из вас это пригодится 😊
С тем, как можно запустить Gram и всеми необходимыми для этого параметрами можно ознакомиться в Quick Start Guide
GitHub
GitHub - klarna-incubator/gram: Gram is Klarna's own threat model diagramming tool
Gram is Klarna's own threat model diagramming tool - klarna-incubator/gram
👍8
Oreilly Ebook - Kubernetes Security and Observability.pdf
11.5 MB
Kubernetes Security and Observability
Всем привет!
В приложении можно найти электронную книгу (~ 196 страниц), посвященную вопросам обеспечения ИБ кластер Kubernetes и observability.
Трудно не согласиться с тем, что эти темы очень сильно пересекаются. Ведь как можно контролировать то, «чего не видишь» или «о чем не знаешь»?
Даже в классических книгах по ИБ все начинается со старой доброй инвентаризации, которую тоже можно назвать частью observability 😊
Внутри вас ждет следующее:
🍭 Security and Observability Strategy
Infrastructure Security
🍭 Workload Deployments Control, Runtime Security
🍭 Observability and Security
🍭 Network Policy и многое другое
Если вас интересует ответ на вопрос «Как?», то книга его не даст. С другой стороны, если ваши вопросы это «Что?» и «Зачем?», то материал может быть очень интересным и полезным, т.к. покрывает много областей ИБ Kubernetes в достаточно структурированном виде
Всем привет!
В приложении можно найти электронную книгу (~ 196 страниц), посвященную вопросам обеспечения ИБ кластер Kubernetes и observability.
Трудно не согласиться с тем, что эти темы очень сильно пересекаются. Ведь как можно контролировать то, «чего не видишь» или «о чем не знаешь»?
Даже в классических книгах по ИБ все начинается со старой доброй инвентаризации, которую тоже можно назвать частью observability 😊
Внутри вас ждет следующее:
🍭 Security and Observability Strategy
Infrastructure Security
🍭 Workload Deployments Control, Runtime Security
🍭 Observability and Security
🍭 Network Policy и многое другое
Если вас интересует ответ на вопрос «Как?», то книга его не даст. С другой стороны, если ваши вопросы это «Что?» и «Зачем?», то материал может быть очень интересным и полезным, т.к. покрывает много областей ИБ Kubernetes в достаточно структурированном виде
🔥10👍3
Kubernetes… это просто Linux!
Всем привет!
Согласны ли вы с таким утверждением? Предлагаем вам легкое пятничное чтиво с интересной мыслью, в котором приводятся аргументы «За» эту точку зрения.
В начале изучения Kubernetes Автор думал, что это мощная технология, созданная практически «с нуля», при этом обладая большим количество функций.
Но, чем дальше он «углублялся», тем больше понимал:
🍭 Использование
🍭 Изоляция практически всего с использованием Linux
🍭 Фильтрация трафика с использованием
🍭 Использование возможностей Linux для хранения данных и многое другое
Все это привело Автора к мысли, что Kubernetes – не что иное, как «супер-обертка» над и без того сильной функциональностью Linux. Да, слегка утрированно, но что-то интересное в этой мысли есть. А что вы думаете по этому поводу?
Всем привет!
Согласны ли вы с таким утверждением? Предлагаем вам легкое пятничное чтиво с интересной мыслью, в котором приводятся аргументы «За» эту точку зрения.
В начале изучения Kubernetes Автор думал, что это мощная технология, созданная практически «с нуля», при этом обладая большим количество функций.
Но, чем дальше он «углублялся», тем больше понимал:
🍭 Использование
cgroups для управления ресурсами🍭 Изоляция практически всего с использованием Linux
namespaces🍭 Фильтрация трафика с использованием
iptables🍭 Использование возможностей Linux для хранения данных и многое другое
Все это привело Автора к мысли, что Kubernetes – не что иное, как «супер-обертка» над и без того сильной функциональностью Linux. Да, слегка утрированно, но что-то интересное в этой мысли есть. А что вы думаете по этому поводу?
Medium
Kubernetes is just Linux
I started working with Kubernetes a couple of years ago. In the beginning this software looks as a huge technology made from scratch and is…
👍12🔥1
Использование Nuclei для поиска уязвимостей
Всем привет!
В статье команда Orca делится своим опытом использования Nuclei для поиска уязвимостей с использованием templates.
Рассматриваются сценарии:
🍭 Уязвимость в web-приложении. Неавторизованные запросы и получение метаданных сервиса
🍭 Уязвимость в CI/CD. Эксплуатация CVE-2024-2791: обход аутентификации в TeamCity
После небольшого описания того, что из себя представляет Nuclei и как он работает, Команда разбирает каждый вышеописанный сценарий.
Описывается логика атаки/уязвимости, принципы ее работы, используемый шаблон Nuclei (и то, где и как их можно делать/искать). Много комментариев и пояснений, может быть полезно для тех, кто еще не работал с Nuclei, но уже интересуется 😊
Всем привет!
В статье команда Orca делится своим опытом использования Nuclei для поиска уязвимостей с использованием templates.
Рассматриваются сценарии:
🍭 Уязвимость в web-приложении. Неавторизованные запросы и получение метаданных сервиса
🍭 Уязвимость в CI/CD. Эксплуатация CVE-2024-2791: обход аутентификации в TeamCity
После небольшого описания того, что из себя представляет Nuclei и как он работает, Команда разбирает каждый вышеописанный сценарий.
Описывается логика атаки/уязвимости, принципы ее работы, используемый шаблон Nuclei (и то, где и как их можно делать/искать). Много комментариев и пояснений, может быть полезно для тех, кто еще не работал с Nuclei, но уже интересуется 😊
Orca Security
Leveraging Nuclei Templates to Identify Risks and Threats in Critical Cloud Applications
Are your cloud apps & APIs vulnerable? Learn how Nuclei templates can help with automated vulnerability detection to fortify your cloud security.
👍3❤2
SCALIBR: анализ open source от Google
Всем привет!
SCALIBR – расширяемый сканер файловой системы, который используется для извлечения данных об используемых пакетах (например, языков программирования) и дальнейшим анализом на уязвимости.
На текущий момент поддерживаются:
🍭 .NET (packages.lock.kson)
🍭 C++ (Conan packages)
🍭 Golang (Go binaries, go.mod)
🍭 JavaScript (package.json, lockfiles) и не только
С полным перечнем можно ознакомиться по ссылке. Из важного – скорее всего SCALIBR изменится, т.к. в настоящее время Google (Авторы утилиты) производит его слияние с другим проектом – OSV-Scanner (о котором мы писали тут).
Больше информации про запуск, сценарии использования, предоставляемые результаты – можно найти в repo проекта.
Всем привет!
SCALIBR – расширяемый сканер файловой системы, который используется для извлечения данных об используемых пакетах (например, языков программирования) и дальнейшим анализом на уязвимости.
На текущий момент поддерживаются:
🍭 .NET (packages.lock.kson)
🍭 C++ (Conan packages)
🍭 Golang (Go binaries, go.mod)
🍭 JavaScript (package.json, lockfiles) и не только
С полным перечнем можно ознакомиться по ссылке. Из важного – скорее всего SCALIBR изменится, т.к. в настоящее время Google (Авторы утилиты) производит его слияние с другим проектом – OSV-Scanner (о котором мы писали тут).
Больше информации про запуск, сценарии использования, предоставляемые результаты – можно найти в repo проекта.
GitHub
GitHub - google/osv-scalibr: OSV-SCALIBR: A library for Software Composition Analysis
OSV-SCALIBR: A library for Software Composition Analysis - google/osv-scalibr
👍1
Poutine! Анализ конфигурации CI
Всем привет!
Команда BoostSecurity выложила в открытый доступ инструмент по анализу конфигураций CI – Poutine.
На текущий момент реализовано 10 проверок, в основном для GitHub и 1 для GitLab(в качестве основы проверок, конечно же, OPA 😊).
Ознакомиться с ними можно по ссылке. Для каждой проверки описывается как надо делать, как делать не надо и приводятся ссылки на полезные материалы.
Помимо этого, Poutine позволяет собрать информацию о build time dependencies. Например, информацию о GitHub Actions, GitLab Pipeline Imports, Docker-контейнерах.
Больше информации о проекте можно найти в статье или в описании repo. Надеемся, что количество проверок, поддерживаемых Poutine, будет только увеличиваться!
Всем привет!
Команда BoostSecurity выложила в открытый доступ инструмент по анализу конфигураций CI – Poutine.
На текущий момент реализовано 10 проверок, в основном для GitHub и 1 для GitLab
Ознакомиться с ними можно по ссылке. Для каждой проверки описывается как надо делать, как делать не надо и приводятся ссылки на полезные материалы.
Помимо этого, Poutine позволяет собрать информацию о build time dependencies. Например, информацию о GitHub Actions, GitLab Pipeline Imports, Docker-контейнерах.
Больше информации о проекте можно найти в статье или в описании repo. Надеемся, что количество проверок, поддерживаемых Poutine, будет только увеличиваться!
GitHub
GitHub - boostsecurityio/poutine: boostsecurityio/poutine
boostsecurityio/poutine. Contribute to boostsecurityio/poutine development by creating an account on GitHub.
👍4