https://snyk.io/snykcon/
Видео с прошедшей конференции SnykCon 2021
Видео с прошедшей конференции SnykCon 2021
Snyk
SnykCon 2023 | Snyk
Join us at SnykCon, the developer security conference, to transform the way your teams build secure applications.
Forwarded from DevOps&SRE Library
Forwarded from IT Библиотека
📚Web Security for Developers: Real Threats, Practical Defense
✍🏻McDonald, Malcolm (2020)
▪️Website security made easy. This book covers the most common ways websites get hacked and how web developers can defend themselves. The world has changed. Today, every time you make a site live, you're opening it up to attack.
Web Security for Developers will teach you how your websites are vulnerable to attack and how to protect them. Each chapter breaks down a major security vulnerability and explores a real-world attack, coupled with plenty of code to show you both the vulnerability and the fix.
You'll learn how to:
• Protect against SQL injection attacks, malicious JavaScript, and cross-site request...
👉🏻Скачать
@itlibrary
✍🏻McDonald, Malcolm (2020)
▪️Website security made easy. This book covers the most common ways websites get hacked and how web developers can defend themselves. The world has changed. Today, every time you make a site live, you're opening it up to attack.
Web Security for Developers will teach you how your websites are vulnerable to attack and how to protect them. Each chapter breaks down a major security vulnerability and explores a real-world attack, coupled with plenty of code to show you both the vulnerability and the fix.
You'll learn how to:
• Protect against SQL injection attacks, malicious JavaScript, and cross-site request...
👉🏻Скачать
@itlibrary
И интересный сайт от данного автора, который рассказывает про различные уязвимости веб приложений, с подробным объяснением как они воспроизводятся и исправляются
https://www.hacksplaining.com/
https://www.hacksplaining.com/
Forwarded from AWS Notes
wss://serverless
Полезные размышления на тему — как можно реализовать websocket-архитектуру на serverless схеме.
https://dev.to/aws-builders/serverless-websockets-on-aws-3nm9
🔹 Использовать одну Лямбду для поддержания коннекта, а другую для обработки сообщений
🔹 Использовать GraphQL подписки сервиса AWS AppSync
🔹 Использовать возможности AWS IoT Core MQTT
#serverless
Полезные размышления на тему — как можно реализовать websocket-архитектуру на serverless схеме.
https://dev.to/aws-builders/serverless-websockets-on-aws-3nm9
🔹 Использовать одну Лямбду для поддержания коннекта, а другую для обработки сообщений
🔹 Использовать GraphQL подписки сервиса AWS AppSync
🔹 Использовать возможности AWS IoT Core MQTT
#serverless
Forwarded from AWS Notes
Добавляем WAF к EKS приложениям:
https://aws.amazon.com/blogs/containers/protecting-your-amazon-eks-web-apps-with-aws-waf/
Для WAFv2 нужно добавить в аннотацию AWS Load Balancer Controller параметр wafv2-acl-arn:
#WAF #EKS
https://aws.amazon.com/blogs/containers/protecting-your-amazon-eks-web-apps-with-aws-waf/
Для WAFv2 нужно добавить в аннотацию AWS Load Balancer Controller параметр wafv2-acl-arn:
annotations: kubernetes.io/ingress.class: alb alb.ingress.kubernetes.io/scheme: internet-facing alb.ingress.kubernetes.io/target-type: ip alb.ingress.kubernetes.io/wafv2-acl-arn: "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/test/a1b2c3d4-5678-90ab-cdef"#WAF #EKS
Amazon
Protecting your Amazon EKS web apps with AWS WAF | Amazon Web Services
Analyze the traffic patterns on any public-facing website or web app, and you’ll notice connection requests from all over the world. Apart from the intended traffic, a typical web application responds to requests from bots, health checks, and various attempts…
Forwarded from AWS Notes
DevOps и business playbook (или company playbook)
Тема DevOps выходит за рамки одного человека и связана с работой команд/проектов и в целом организации процессов в компании. В результате при внедрении DevOps практик/культуры всегда возникают проблемы — а что имеется в виду? А почему нужно это перестать делать, то выбросить, а такое делать именно так — кто сказал, что так правильно? А какие есть варианты, как это может быть реализовано с учётом нашей специфики — в нашей компании, нашего размера и стиля работы?
И действительно, а где посмотреть на примеры организиции процессов в IT компаниях — то, что выше и более общее, чем написание скриптов? Где взять аргументы в споре, почему неправильно не только деплоить на прод в пятницу вечером, но и вообще, как организовать эффективное взаимодействие при возникшем удалённом режиме работы?
Ответ есть — playbooks. Не которые ansible playbooks (из-за которых их так сложно нагуглить), а business (company) playbooks — открытые публичные описания, как устроены процессы внутри каких-то компаний.
Например, ваша компания перешла на удалённый режим работы и есть проблемы с выстраиванием взаимодействия (а они есть вне всяких сомнений) — обязательно почитайте GitLab playbook:
▫️ https://about.gitlab.com/company/culture/all-remote/
▫️ https://about.gitlab.com/handbook/
В свете успешно вышедшей на IPO организации, работающей на 100% удалённо не один год, у вас будут серьёзные аргументы в предложениях улучшить практики взаимодействия, в том числе пересекающиеся с DevOps.
Другой исключительно детальный и объёмный playbook от Microsoft:
▪️ https://microsoft.github.io/code-with-engineering-playbook/
Отличное чтиво, однозначно рекомендуется ознакомиться, т.к. это и есть набор best practices, что суть DevOps.
В дополнение некоторый список от других известных и не очень компаний:
🔹 https://www.atlassian.com/team-playbook
🔹 https://heap.io/resources
🔹 https://www.timble.net/playbook/
🔹 https://thoughtbot.com/playbook
🔹 https://www.kohactive.com/playbook/
🔹 https://www.fullstacklabs.co/playbook
А у вашей компании есть свой playbook? Используете ли подобные практики для улучшения DevOps в своей компании?
#devops #design
Тема DevOps выходит за рамки одного человека и связана с работой команд/проектов и в целом организации процессов в компании. В результате при внедрении DevOps практик/культуры всегда возникают проблемы — а что имеется в виду? А почему нужно это перестать делать, то выбросить, а такое делать именно так — кто сказал, что так правильно? А какие есть варианты, как это может быть реализовано с учётом нашей специфики — в нашей компании, нашего размера и стиля работы?
И действительно, а где посмотреть на примеры организиции процессов в IT компаниях — то, что выше и более общее, чем написание скриптов? Где взять аргументы в споре, почему неправильно не только деплоить на прод в пятницу вечером, но и вообще, как организовать эффективное взаимодействие при возникшем удалённом режиме работы?
Ответ есть — playbooks. Не которые ansible playbooks (из-за которых их так сложно нагуглить), а business (company) playbooks — открытые публичные описания, как устроены процессы внутри каких-то компаний.
Например, ваша компания перешла на удалённый режим работы и есть проблемы с выстраиванием взаимодействия (а они есть вне всяких сомнений) — обязательно почитайте GitLab playbook:
▫️ https://about.gitlab.com/company/culture/all-remote/
▫️ https://about.gitlab.com/handbook/
В свете успешно вышедшей на IPO организации, работающей на 100% удалённо не один год, у вас будут серьёзные аргументы в предложениях улучшить практики взаимодействия, в том числе пересекающиеся с DevOps.
Другой исключительно детальный и объёмный playbook от Microsoft:
▪️ https://microsoft.github.io/code-with-engineering-playbook/
Отличное чтиво, однозначно рекомендуется ознакомиться, т.к. это и есть набор best practices, что суть DevOps.
В дополнение некоторый список от других известных и не очень компаний:
🔹 https://www.atlassian.com/team-playbook
🔹 https://heap.io/resources
🔹 https://www.timble.net/playbook/
🔹 https://thoughtbot.com/playbook
🔹 https://www.kohactive.com/playbook/
🔹 https://www.fullstacklabs.co/playbook
А у вашей компании есть свой playbook? Используете ли подобные практики для улучшения DevOps в своей компании?
#devops #design
The GitLab Handbook
All Remote
GitLab is one of the world's largest all-remote companies
Forwarded from Технологический Болт Генона
Всё забывал написать. Тут GitLab'ы, торчащие наружу, попали под раздачу. Я в апреле сюда писал о том, что надо бы срочно обновлять GitLab и вот теперь уже надо совсем точно их обновлять, потому что всё опубликовано и доступно.
GitLab CE CVE-2021-22205 in the wild
https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild
Чекалки и PoC'и (ТЫСЯЧИ!11!! их)
https://github.com/Al1ex/CVE-2021-22205
https://github.com/mr-r3bot/Gitlab-CVE-2021-22205
https://github.com/r0eXpeR/CVE-2021-22205
https://github.com/RedTeamWing/CVE-2021-22205
За напоминание спасибо @codediggers
GitLab CE CVE-2021-22205 in the wild
https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild
Чекалки и PoC'и (ТЫСЯЧИ!11!! их)
https://github.com/Al1ex/CVE-2021-22205
https://github.com/mr-r3bot/Gitlab-CVE-2021-22205
https://github.com/r0eXpeR/CVE-2021-22205
https://github.com/RedTeamWing/CVE-2021-22205
За напоминание спасибо @codediggers
Forwarded from k8s (in)security (D1g1)
Все чаще сталкиваюсь с вопросом у клиентов: "Как сделать Kubernetes кластер, чтобы он соответствовал PCI DSS?"
Я уже эту тему немного поднимал [1,2,3], но со временем понял, что лучше всего это знают большие компании с большим количеством клиентов, а следовательно, и опытом в этой области. А кто под это подходят? Конечно, облачные провайдеры с
Так вы можете с этим ознакомится в их мануалах и документах:
- "PCI DSS compliance on GKE"
- "Architecting Amazon EKS for PCI DSS Compliance"
- "Introduction of an AKS regulated cluster for PCI-DSS 3.2.1"
P.S. И не забываем также о классном проекте Compliance Operator ;)
Я уже эту тему немного поднимал [1,2,3], но со временем понял, что лучше всего это знают большие компании с большим количеством клиентов, а следовательно, и опытом в этой области. А кто под это подходят? Конечно, облачные провайдеры с
managed Kubernetes! По сути, можно не ломать голову и не придумывать ничего с нуля, а подсмотреть как они к этому подходят и перенять к себе.Так вы можете с этим ознакомится в их мануалах и документах:
- "PCI DSS compliance on GKE"
- "Architecting Amazon EKS for PCI DSS Compliance"
- "Introduction of an AKS regulated cluster for PCI-DSS 3.2.1"
P.S. И не забываем также о классном проекте Compliance Operator ;)
Forwarded from TechSkills - книги по программированию
https://github.blog/2021-11-02-blue-teaming-create-security-advisory-process/
https://github.blog/2021-11-09-three-rules-bug-fixing-better-oss-security/
https://github.blog/2021-11-09-three-rules-bug-fixing-better-oss-security/
The GitHub Blog
Blue-teaming for Exiv2: creating a security advisory process
Part 1 of a series on hardening the security of the Exiv2 project. My goal is to help you harden the security of your own project.
Forwarded from AWS Notes
AWS Architecture Monthly Magazine
Хочется чего-нибудь почитать по AWS, возможно, в пути или где вообще нет интернета? Может быть у вас всегда с собой Kindle или же, как я, предпочитаете бумажный вариант?
Есть классное место. Уже несколько месяцев читаю и наслаждаюсь. Ведь это не просто ссылка, которая растворится через какое-то время в вашей ленте. Это можно распечать, засунуть в рюкзак, забыть, а потом получить в лесу, или на даче без связи, истинное удовольствие.
https://aws.amazon.com/architecture/architecture-monthly/
Реально качественные статьи, тематическая подборка по для каждого месяца, лучшие авторы и рекомендации экспертов, подборка видео по теме, решения и описание референсной архитектуры — всё на самом высшем уровне. В
Очень рекомендую. Начиная с мая 2021-го года вёрстка и наполнение радикально изменились — каждый месяц увеличивается объём и качество. В AWS вспомнили про нас, кто любит читать бумагу и электронные книжки. Надеюсь, на выходе можно будет подписаться на регулярное издание и получать по (физической) почте.
На картинке журналы AWS Architecture Monthly, cкачать
▫️
▫️
▫️
▫️
#design
Хочется чего-нибудь почитать по AWS, возможно, в пути или где вообще нет интернета? Может быть у вас всегда с собой Kindle или же, как я, предпочитаете бумажный вариант?
Есть классное место. Уже несколько месяцев читаю и наслаждаюсь. Ведь это не просто ссылка, которая растворится через какое-то время в вашей ленте. Это можно распечать, засунуть в рюкзак, забыть, а потом получить в лесу, или на даче без связи, истинное удовольствие.
https://aws.amazon.com/architecture/architecture-monthly/
Реально качественные статьи, тематическая подборка по для каждого месяца, лучшие авторы и рекомендации экспертов, подборка видео по теме, решения и описание референсной архитектуры — всё на самом высшем уровне. В
pdf версии ссылки кликабельные (в бумажной, к сожалению, нет😀). Очень рекомендую. Начиная с мая 2021-го года вёрстка и наполнение радикально изменились — каждый месяц увеличивается объём и качество. В AWS вспомнили про нас, кто любит читать бумагу и электронные книжки. Надеюсь, на выходе можно будет подписаться на регулярное издание и получать по (физической) почте.
На картинке журналы AWS Architecture Monthly, cкачать
pdf:▫️
November 2021 IoT for the Edge▫️
October 2021 Aerospace▫️
September 2021 Advertising Technology▫️
August 2021 Sustainability#design
13-ти часовой курс подготовки к сертификации по терраформу.
Хотя думаю будет интересен не только для сертификации 🙂
https://youtu.be/V4waklkBC38
Хотя думаю будет интересен не только для сертификации 🙂
https://youtu.be/V4waklkBC38
YouTube
HashiCorp Terraform Associate Certification Course - Pass the Exam!
⚠️⚠️⚠️ Watch the updated video course: https://www.youtube.com/watch?v=SPcwo0Gq9T8
Prepare for the HashiCorp Terraform Associate Certification and pass! The Terraform Associate certification is for Cloud Engineers specializing in operations, IT, or development…
Prepare for the HashiCorp Terraform Associate Certification and pass! The Terraform Associate certification is for Cloud Engineers specializing in operations, IT, or development…
Forwarded from @Leakinfo
Ценообразование на пентест - услуги или «Как не платить за воздух?»
https://telegra.ph/Cenoobrazovanie-na-pentest---uslugi-ili-Kak-ne-platit-za-vozduh-11-18
#pentest #infosec #новости #пентест #услуги #оплата #цены
https://telegra.ph/Cenoobrazovanie-na-pentest---uslugi-ili-Kak-ne-platit-za-vozduh-11-18
#pentest #infosec #новости #пентест #услуги #оплата #цены
Telegraph
Ценообразование на пентест - услуги или «Как не платить за воздух?»
— Вагончик? Вообще не наш профиль... Ради нескольких дней работы и трёх копеек заезжать на объект? Ну его... Напиши пол ляма, чтобы либо сам отстал, либо реальный выхлоп был! — Пол ляма? Что-то совсем жирно... Напишу 400. Проблематика На перенасыщенном, но…