DevSecOps Talks
Рассказываем об актуальном в мире DevSecOps. Канал DevSecOps-команды "Инфосистемы Джет"
إظهار المزيد6 416
المشتركون
-424 ساعات
+197 أيام
+9530 أيام
- المشتركون
- التغطية البريدية
- ER - نسبة المشاركة
جاري تحميل البيانات...
معدل نمو المشترك
جاري تحميل البيانات...
Диаграммы на любой вкус и цвет!
Всем привет!
Многие люди гораздо проще готовы воспринимать информацию, представленную в виде графики, а не текстового описания.
Если вы из таких, то этот легкий пятничный пост точно для вас! На сайте собрано невообразимое количество различных схем.
Например, можно найти:
🍭 Infrastructure as Code
🍭 API Security Cheatsheets
🍭 Объяснение принципов работы аутентификации (Password, Session, Cookie, Token, JWT, SSO, OAuth)
🍭 Good Coding Principles to Improve Code Quality и много чего еще
Помимо самой схемы-диаграммы есть небольшое описание или ссылка на видеоролик, в котором можно найти больше информации
P.S. Всех с пятницей и отличных вам выходных!!! 😊
ByteByteGo Newsletter | Alex Xu | Substack
Explain complex systems with simple terms, from the authors of the best-selling system design book series. Join over 1,000,000 friendly readers. Click to read ByteByteGo Newsletter, a Substack publication.
👍 5🔥 4❤ 3
Top100 Vulnerabilities: Step-By-Step
Всем привет!
В приложении вы найдете файл, в котором рассматриваются наиболее известные уязвимости. Например, SQLi, XSS, SSI, Brute Force и т.д.
Для каждой из них описано:
🍭 Параметры. Фактически – причины, из-за которых уязвимость возникает и ее можно эксплуатировать
🍭 Воспроизведение. Верхнеуровневый алгоритм, который позволит ей «воспользоваться»
Не стоит искать в документе алгоритма в стиле «делай 1,2,3 и реализуешь SQLi» - его там не будет.
Однако, в нем можно найти общие концепты, которые помогут лучше понять происходящее и как от него можно и нужно защищаться.
Top100Vulns.pdf4.20 KB
👍 3🔥 1
VEX Hub: агрегация информации по VEX-отчетам
Всем привет!
Vulnerability Exploitability eXchange (VEX) – удобный формат обмена информацией о том, подвержено ли некоторое ПО уязвимости X или нет. Или при каких условиях. VEX может быть частью SBOM, а может жить «самостоятельной жизнью».
Его задача достаточно проста – обогащение информацией. Процесс управления уязвимостями (Vulnerability Management), вероятно, больше всех прочих нуждается в множестве данных, которые помогут принять решение и расставить приоритеты.
Как иначе понять, за какую из 100 Critical-уязвимостей браться в первую очередь, при условии, что «мощность» команды на устранение в нужный период лишь 40 штук?
Для того, чтобы немного упростить жизнь, команда Aqua Security анонсировала VEX Hub! У него крайне простое назначение – агрегировать VEX-данные от различных производителей и централизованно предоставлять информацию пользователям.
Работает по следующему принципу:
🍭 Maintainer repo создает папку .vex в корне и помещает в нее отчет
🍭 Maintainer делает PR в VEX Hub с просьбой добавить его для сбора информации
🍭 Crawler Aqua собирает данные и агрегирует все в едином repo
🍭 Все!
Больше подробностей можно узнать в repo проекта или в статье от Aqua Security. Да, наполнение пока «не очень», но и проект анонсировали недавно. Интересно будет наблюдать за его развитием 😊
P.S. Кстати, Trivy, начиная с версии v0.54 может работать с VEX для предоставления еще большей информации об уязвимостях.
GitHub - aquasecurity/vexhub
Contribute to aquasecurity/vexhub development by creating an account on GitHub.
👍 2❤ 2⚡ 1
KubeAdmiral: multi-cluster orchestration engine!
Всем привет!
В начале своей деятельности команда ByteDance использовала подход, в котором для каждого бизнес-направления использовались собственные кластеры Kubernetes.
Со временем, ребята поняли, что такой подход имеет ряд существенных ограничений с утилизацией ресурсов и поддержкой отдельно взятых инсталляций.
Это привело к дому, что они начали «копать» в сторону реализации федеративных кластеров. И сперва использовали для этого KubeFed.
Концепт состоит в том, что есть host и member кластеры. Пользователь может создать federated-ресурс на host кластере, после чего он будет создан в member-кластерах.
Однако, и у такого подхода есть недостатки: поддержка ограниченного количества ресурсов для scheduling; возможные проблемы, связанные с rescheduling и не только.
Все описанное выше привело к тому, что был создан KubeAdmiral! Он позволяет централизованно управлять множеством кластеров и не содержит недостатков, которые есть у KubeFed.
Подробнее о нем можно прочесть в статье, repo проекта или в документации.
GitHub - kubewharf/kubeadmiral: Multi-Cluster Kubernetes Orchestration
Multi-Cluster Kubernetes Orchestration. Contribute to kubewharf/kubeadmiral development by creating an account on GitHub.
❤ 6🔥 3👍 2
JET Pilot: UI для Kubernetes
Всем привет!
Если вы из тех, кому нравится выбор, и вы любите смотреть на разные технологии, решающие одну и ту же задачу, но по-разному, то JET Pilot может вас заинтересовать.
Это минималистичный UI для Kubernetes, который позволяет:
🍭 Получать информацию о ресурсах кластера
🍭 Смотреть и редактировать их конфигурацию
🍭 Анализировать логи в real time
🍭 Получать shell-доступ внутрь контейнера
Каких-то явных преимуществ в сравнении с Lens или k9s у него нет. Но у всех свои вкусы )
Например, тот, кто написал этот пост любит k9s и не очень любит использовать Lens 😊
GitHub - unxsist/jet-pilot: JET Pilot is an open-source Kubernetes desktop client that focuses on less clutter, speed and good looks.
JET Pilot is an open-source Kubernetes desktop client that focuses on less clutter, speed and good looks. - unxsist/jet-pilot
🔥 4👍 2⚡ 1
Supply chain атака на PyPi: Revival Hijack
Всем привет!
«Как только пакет удаляется из PyPi, его имя сразу становится доступно для регистрации». Directed by Robert B. Weide.
Наверное, тут уже не «кажется, что что-то может пойти не так», а прямо кричит об этом. Особенно учитывая то, насколько Supply Chain атаки «популярны».
Сценарий крайне простой:
🍭 Пользователь работает с пакетом X версии 1.42
🍭 «Владелец пакета» удаляет его из PyPi
🍭 Злоумышленник регистрирует пакет X версии большей, чем 1.42. Но только уже совсем с иным «содержанием»
🍭 Пользователь обновляет пакет…
И это не typosquotting, где пользователь ошибся. С его точки зрения это вполне легитимная операция.
Команда JFrog, нашедшая указанный недостаток, написала отличную статью, в которой все описано в мельчайших подробностях. От теории до PoC с примерами, скриншотами и всем необходимым для более глубокого погружения.
На этом ребята не остановились и пошли дальше! Они «прикинули» сколько пакетов подвержено этой атаке. Т.е. были недавно удалены. Оказалось, что таких – 22 000! При этом, в среднем в месяц удаляется около 309 пакетов.
Но есть и хорошие новости! Чтобы защитить community, специалисты JFrog создали Security Holding. Он загружает «пакет-заглушку» для наиболее часто скачиваемых пакетов, что были удалены. И понижает версию до 0.0.0.1, что позволяет минимизировать вероятность dependency confusion.
И даже это еще не все… 😊 Крайне рекомендуем к ознакомлению! Читается на одном дыхании!
Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk
JFrog’s security research team continuously monitors open-source software registries, proactively identifying and addressing potential malware and vulnerability threats to foster a secure and reliable ecosystem for open-source software development and deployment. This blog details a PyPI supply chain attack technique the JFrog research team discovered had been recently exploited in the wild. This attack technique …
👍 6🤯 4🔥 2⚡ 1
Разработка, найм и социальная инженерия!
Всем привет!
Допустим, вы – специалист, который ищет работу, так или иначе связанную с разработкой: от полноценного ПО до приятных утилит для автоматизации чего-либо.
И вот однажды получаете сообщение по почте, что ваше резюме интересно работодателю!
Talk is cheap. Show me the code! (c) Linus TorvaldsИ что может быть лучше, чем пройти небольшое тестовое задание? Например, вас попросят добавить некий новый функционал в тестовый проект или потребуется устранить некий недостаток. Конечно, после изменения кодовой базы, надо проверить, что все работает. «Рекрутер» попросит запустить приложение и сделать screenshot, который подтвердит, что все в порядке. И вроде бы все хорошо, но есть нюанс… Он заключается в том, что это может быть достаточно хорошо реализованная социальная инженерия. И нет, это не домыслы, это реальный случай, который нашла команда из ReversingLabs. Подробнее про него можно прочесть в статье – там описан «полный цикл». Да, есть множество способов решать задачки по программированию – от online-площадок, до полностью самостоятельного написания кода «у себя». Но социальная инженерия «бьет» по самым больным местам. Вдруг вы получили письмо от компании, в которой всегда хотели работать? И вот уже открыть архив не кажется странным. Будьте бдительны ) И не забывайте о том, что самое слабое звено в любой системе защиты – это мы с вами 😊
Fake recruiter coding tests target devs with malicious Python packages
RL found the VMConnect campaign continuing with malicious actors posing as recruiters, using packages and the names of financial firms to lure developers.
👍 10
Как работает kubectl port-forward?
Всем привет!
Если вы когда-нибудь задумывались о том, что именно происходит в случае реализации команды
kubectl port-forward и искали ответ, то он есть в статье!
Автор подробно описывает, что происходит:
🍭 Инициализация: kubectl port-forward
🍭 AuthN/Z, реализуемый на стороне kube-apiserver
🍭 Получение информации о pod
🍭 Установка сессии
🍭 Настройка iptables
🍭 Взаимодействие с pod через port-forward
Все это оформлено в виде наглядной sequence-диаграммы. Ссылку на нее можно найти в статье.
Кстати, Автор делал это не из праздного интереса, а для разработки собственной утилиты – kftray. Сам он описывает ее так: «kubectl port-forward on steroids!».
Если кратко, то она позволяет не терять соединение, даже в случае «смерти» pod, поддерживает разные протоколы, записывает логи и не только. Подробности – в repo проекта!Kubectl Port-forward Flow Explained
Introduction Recently, I joined a discussion about how the kubectl port-forward command works, which caught my attention because I have an app that improves some aspects of the native kubectl port-forward. I made a public Mermaid chart to show the co...
👍 8⚡ 1🔥 1
Где лучше всего (не) хранить секреты?
Всем привет!
Есть очень популярная и правильная рекомендация – не хранить секреты в исходном коде, конфигурационных файлах и т.д. Но настолько ли все плохо и действительно ли их быстро «уведут»?
Чтобы проверить эту гипотезу Автор статьи решил провести эксперимент. Он создал несколько canary tokens – специальные «метки», которые сообщат, если кто-то попробует ими воспользоваться.
После чего Автор разместил их на разных ресурсах:
🍭 Публичные репозитории: GitHub, GitLab, BitBucket, DockerHub
🍭 «Собственные» ресурсы: FTP-сервер, Блог
🍭 SaaS-сервисы: Pastebin, JSFiddle
🍭 Пакетные менеджеры: NPM, PuPi
🍭 Облачные хранилища: AWS S3, GCP Google Cloud Storage
В результате эксперимента была собрана очень интересная аналитика, которую Автор детально описал в статье.
Какое ваше мнение? Откуда быстрее всего «забрали» секреты? Пишите в комментариях!
P.S. А если очень не терпится, то увы! ) статья очень интересная и мы настойчиво рекомендуем ее прочесть 😊
What’s the worst place to leave your secrets? – Research into what happens to AWS credentials that are left in public places - Cybenari
👍 10🔥 2⚡ 1
Burp Suite: Deep Dive!
Всем привет!
Вы наверняка слышали про Burp Suite. Его часто используют при тестировании на проникновении или анализе защищенности ПО.
Если хотели узнать про него больше, но не знали с чего начать, то сегодняшний пост может вам подойти!
По ссылке доступе набор видео-уроков, включающих в себя рассказ про:
🍭 Basics (целых 5 видео 😊)
🍭 Advanced Scoping
🍭 Sitemap и Scanner
🍭 Repeater и не только
Всего доступно 21 видео, в среднем по 15-17 минут каждое. Помимо этого, если интересна тематика безопасности web-приложений, то однозначно стоит посмотреть в сторону Web Security Academy.
Burp Suite - Deep Dive
Share your videos with friends, family, and the world
👍 11🔥 3❤ 2
اختر خطة مختلفة
تسمح خطتك الحالية بتحليلات لما لا يزيد عن 5 قنوات. للحصول على المزيد، يُرجى اختيار خطة مختلفة.