И еще один глобальный репозиторий на сегодня.
Более 1000 сценариев оболочки DevOps и расширенная среда Bash для быстрого, передового проектирования систем, автоматизации, API и т.д.
Вы найдете:
👉🏻 Сборка активно используется во многих репозиториях GitHub, десятках сборок Docker Hub (Dockerfiles) и более чем 600 сборках CI.
#devops #devsecops #kubernetes #cicd #k8s #linux #docker #sysadmin #automation #Azure #infrastructureascode #cloudcomputing #serverless #terraform #ansible #yaml #sre
@DevOpsKaz
Более 1000 сценариев оболочки DevOps и расширенная среда Bash для быстрого, передового проектирования систем, автоматизации, API и т.д.
Вы найдете:
• Скрипты для многих популярных технологий DevOps • Расширенные настройки для Git, vim, screen, tmux, PostgreSQL, psql и т. д. • Конфигурации CI и сценарии • Конфигурации Kubernetes • Скрипты API • SQL-скрипты👉🏻 Сборка активно используется во многих репозиториях GitHub, десятках сборок Docker Hub (Dockerfiles) и более чем 600 сборках CI.
#devops #devsecops #kubernetes #cicd #k8s #linux #docker #sysadmin #automation #Azure #infrastructureascode #cloudcomputing #serverless #terraform #ansible #yaml #sre
@DevOpsKaz
👍10🔥4⚡1
💥Разыгрываем бесплатную консультацию по DevOps-вопросам с топами нашей компании Core 24/7.
👉 3 победителя смогут задать вопросы техлиду и узнать, почему то или иное решение не работает, как настроить процесс эффективнее и от чего стоит отказаться.
Условия конкурса:
🤝 Делитесь с коллегами и ожидайте нашего звонка
#devops #devsecops #cloud #kubernetes #docker #terraform #giltab
@DevOpsKaz
👉 3 победителя смогут задать вопросы техлиду и узнать, почему то или иное решение не работает, как настроить процесс эффективнее и от чего стоит отказаться.
Условия конкурса:
• Быть подписчиком KazDevOps• Рассказать о своей ситуации вкратце в комментах под этим постом — 1-2 предложения о проблеме, задаче или амбициях, связанных с DevOps• Дождаться розыгрыша — победителей объявим 10 августа: проверим условия выше и рандомом определим 3 человек, которые представляют свой бизнес или работают в компании🤝 Делитесь с коллегами и ожидайте нашего звонка
#devops #devsecops #cloud #kubernetes #docker #terraform #giltab
@DevOpsKaz
👍14🔥6
Кажется, что чем больше кластеров, тем лучше, поскольку Kubernetes предназначен для решения проблем, с которыми мы все сталкиваемся. Это действительно оптимизирует операции, ускоряет доставку, повышает ежедневную скорость развертывания и т. д. Но что может пойти не так?
Несмотря на популярность DevSecOps и разговоры о нем, проблемы безопасности редко решаются правильно. Лучшие практики безопасности Kubernetes за 5 шагов помогут избежать многих проблем.
👉 Об этом и рассказываем в новой статье.
#devops #devsecops #kubernetes
@DevOpsKaz
Несмотря на популярность DevSecOps и разговоры о нем, проблемы безопасности редко решаются правильно. Лучшие практики безопасности Kubernetes за 5 шагов помогут избежать многих проблем.
👉 Об этом и рассказываем в новой статье.
#devops #devsecops #kubernetes
@DevOpsKaz
🔥4👍2
Потенциал атак на цепочки поставок возрос, так как киберпреступники становятся искуснее в использовании зависимостей внутри программных сервисов с открытым исходным кодом.
Но компании действуют недостаточно быстро, чтобы принять адекватные контрмеры. Это подчеркнул Крис Кребс, директор Агентства США по кибербезопасности и инфраструктурной безопасности (CISA).
Команды DevOps вынуждены создавать больше приложений с машинным обучением, чтобы поддерживать новые источники дохода. При этом они жертвуют проверками шлюзов безопасности.
JFrog, лидер по безопасности цепочки поставок ПО для DevOps, хорошо знает эти проблемы. Поэтому они выкатили обновление — главный анонс про сканирование моделей на предмет соответствия, обнаружение вредоносных моделей и управление доставкой моделей.
JFrog также представила новую платформу безопасности со сквозной защитой на протяжении всего жизненного цикла разработки (SDLC).
Если до этого вы не нашли причин внедрить JFrog, то новый апдейт может стать знаком — пора. Компания Core 24/7 поможет организовать надёжную сборку и доставку ПО на этой платформе, а также защитить ML-модели.
#devops #devsecops #jfrog
@DevOpsKaz
Но компании действуют недостаточно быстро, чтобы принять адекватные контрмеры. Это подчеркнул Крис Кребс, директор Агентства США по кибербезопасности и инфраструктурной безопасности (CISA).
Команды DevOps вынуждены создавать больше приложений с машинным обучением, чтобы поддерживать новые источники дохода. При этом они жертвуют проверками шлюзов безопасности.
JFrog, лидер по безопасности цепочки поставок ПО для DevOps, хорошо знает эти проблемы. Поэтому они выкатили обновление — главный анонс про сканирование моделей на предмет соответствия, обнаружение вредоносных моделей и управление доставкой моделей.
JFrog также представила новую платформу безопасности со сквозной защитой на протяжении всего жизненного цикла разработки (SDLC).
Если до этого вы не нашли причин внедрить JFrog, то новый апдейт может стать знаком — пора. Компания Core 24/7 поможет организовать надёжную сборку и доставку ПО на этой платформе, а также защитить ML-модели.
#devops #devsecops #jfrog
@DevOpsKaz
👍6⚡1
Red Hat OpenShift в облачную инфраструктуру Oracle Red Hat OpenShift внедрят в облачную инфраструктуру Oracle, чтобы предложить клиентам более широкий выбор при развертывании приложений в Oracle Cloud Infrastructure (OCI).
#devops #opentofu #gitlab #redhat #oci #oracle
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥4⚡2❤2
C выпуском новой функции "пути атаки" ARMO позволяет пользователям Kubernetes легко найти и исправить самые уязвимые места в ваших кластерах, чтобы не допустить к ним злоумышленников.
👉 Рассказываем, какие типы атак бывают и как их блокировать в нашей новой мини-статье.
#devops #kubernetes #devsecops
@DevOpsKaz
👉 Рассказываем, какие типы атак бывают и как их блокировать в нашей новой мини-статье.
#devops #kubernetes #devsecops
@DevOpsKaz
👍4😎1
Начинается конференция о кибербезопасности в Казахстане — Profit Security Day.
👉 Присоединяйтесь к прямому эфиру
Ведущие эксперты по ИБ расскажут, на что обратить внимание в первую очередь, как избежать серьезных потерь от взломов, какие решения использовать.
#devops #devsecops #cyberbez #cybersec
👉 Присоединяйтесь к прямому эфиру
Ведущие эксперты по ИБ расскажут, на что обратить внимание в первую очередь, как избежать серьезных потерь от взломов, какие решения использовать.
#devops #devsecops #cyberbez #cybersec
YouTube
Profit Security Day 2023. Прямой эфир конференции об информационной безопасности в Казахстане
Прямая онлайн-трансляция конференции Profit Security Day 2023, которая прошла 22 ноября 2023 года. Конференция была посвящена информационной безопасности в Казахстане.
Партнеры:
PS Cloud Services — Золотой партнер
https://www.ps.kz/soc
info@ps.kz
Check…
Партнеры:
PS Cloud Services — Золотой партнер
https://www.ps.kz/soc
info@ps.kz
Check…
👍4🔥2🏆2
Вы уверены, что на 100% знаете, как обеспечить безопасность цепочки поставок? Автор подборки на GitHub с вами не согласен 😢
➖ Отчёты, стандарты, фреймворки и лучшие практики
➖ Угрозы в цепочке поставок
➖ Управление уязвимостями + база данных
➖ Статьи про атаки и критические дыры
➖ Репозитории и проекты GitHub
➖ Блоги, книги, подкасты
Всё это стоит как минимум места в ваших закладках 😊
Пользуйтесь и делитесь с коллегами 🤝
#devops #devsecops #appsec #supplychain #software
@DevOpsKaz
➖ Отчёты, стандарты, фреймворки и лучшие практики
➖ Угрозы в цепочке поставок
➖ Управление уязвимостями + база данных
➖ Статьи про атаки и критические дыры
➖ Репозитории и проекты GitHub
➖ Блоги, книги, подкасты
Всё это стоит как минимум места в ваших закладках 😊
Пользуйтесь и делитесь с коллегами 🤝
#devops #devsecops #appsec #supplychain #software
@DevOpsKaz
👍3❤2🔥2
Принесли вам подробный обзор различных рабочих процессов конвейера DevSecOps на базе Python.
👉 Читайте в нашей новой статье
Рассмотрели:
➖ рабочий процесс проверки кода
➖ конвейер статического тестирования безопасности приложений (SAST)
➖ конвейер динамического тестирования безопасности приложений (DAST)
➖ рабочий процесс сканирования контейнеров
➖ конвейер безопасности IaC
➖ рабочий процесс управления секретами
Каждый рабочий процесс включает примеры кода на Python и инструменты с открытым исходным кодом для демонстрации их реализации.
Забирайте себе и делитесь с коллегами 🤝
#devops #devsecops
@DevOpsKaz
👉 Читайте в нашей новой статье
Рассмотрели:
➖ рабочий процесс проверки кода
➖ конвейер статического тестирования безопасности приложений (SAST)
➖ конвейер динамического тестирования безопасности приложений (DAST)
➖ рабочий процесс сканирования контейнеров
➖ конвейер безопасности IaC
➖ рабочий процесс управления секретами
Каждый рабочий процесс включает примеры кода на Python и инструменты с открытым исходным кодом для демонстрации их реализации.
Забирайте себе и делитесь с коллегами 🤝
#devops #devsecops
@DevOpsKaz
❤7👍3
Хотя внедрение практик DevOps повышает эффективность и скорость выпуска приложений, оно не лишено недостатков. Если относиться к безопасности как к чему-то второстепенному, то увеличивается риск кибератак и утечки данных.
По прогнозу Gartner, к 2027 году практика DevSecOps будет внедрена в 85% команд по разработке продуктов (по сравнению с 30% в 2022 году). И уже сейчас аналитики рекомендуют подготовиться к этим изменениям.
Внедрение DevSecOps включает три ключевых этапа:
1. Сделать безопасность общей обязанностью с помощью корпоративной программы обучения.
2. Внедрить практики безопасности на раннем этапе разработки (подход Shift-Left), а не только постфактум (Shift-Right).
3. Интегрировать инструменты безопасности в рабочий процесс DevOps, как показано на картинке.
Это выжимка из статьи на Хабре об исследовании Gartner.
#devops #devsecops
@DevOpsKaz
По прогнозу Gartner, к 2027 году практика DevSecOps будет внедрена в 85% команд по разработке продуктов (по сравнению с 30% в 2022 году). И уже сейчас аналитики рекомендуют подготовиться к этим изменениям.
Внедрение DevSecOps включает три ключевых этапа:
1. Сделать безопасность общей обязанностью с помощью корпоративной программы обучения.
2. Внедрить практики безопасности на раннем этапе разработки (подход Shift-Left), а не только постфактум (Shift-Right).
3. Интегрировать инструменты безопасности в рабочий процесс DevOps, как показано на картинке.
Это выжимка из статьи на Хабре об исследовании Gartner.
#devops #devsecops
@DevOpsKaz
⚡3🔥2🏆1
Как измерить уровень зрелости ваших процессов DevSecOps?
👉🏻 В статье наших коллег описаны этапы зрелости DevSecOps, компетенции по уровням, шаги для измерения этой зрелости и ключевые метрики, по которым можно оценивать команды.
🚀 Проверьте свою команду и процессы в 2023 году, чтобы разработать план на будущее и укрепить безопасность всей цепочки. В статье даже таблички для вас подготовили — остается только заполнить 😉
Напомним ключевые аспекты интеграции DevSecOps:
➖ Сотрудничество: устранение разрозненности между командами безопасности и DevOps.
➖ Shift-Left Security: интеграция безопасности на ранних этапах процесса разработки.
➖ Непрерывная обратная связь и улучшение: циклы обратной связи для постоянного совершенствования безопасности.
➖ Автоматизация задач безопасности для повышения эффективности и уменьшения человеческих ошибок.
➖ Регулярные и надежные выпуски.
➖ Комплексный подход к безопасности: учет на каждом этапе SDLC.
#devops #devsecops
@DevOpsKaz
👉🏻 В статье наших коллег описаны этапы зрелости DevSecOps, компетенции по уровням, шаги для измерения этой зрелости и ключевые метрики, по которым можно оценивать команды.
🚀 Проверьте свою команду и процессы в 2023 году, чтобы разработать план на будущее и укрепить безопасность всей цепочки. В статье даже таблички для вас подготовили — остается только заполнить 😉
Напомним ключевые аспекты интеграции DevSecOps:
➖ Сотрудничество: устранение разрозненности между командами безопасности и DevOps.
➖ Shift-Left Security: интеграция безопасности на ранних этапах процесса разработки.
➖ Непрерывная обратная связь и улучшение: циклы обратной связи для постоянного совершенствования безопасности.
➖ Автоматизация задач безопасности для повышения эффективности и уменьшения человеческих ошибок.
➖ Регулярные и надежные выпуски.
➖ Комплексный подход к безопасности: учет на каждом этапе SDLC.
#devops #devsecops
@DevOpsKaz
🔥6⚡2❤2
Силовое поле для экосистемы Kubernetes. Постоянно отслеживает подозрительную активность и потенциальные угрозы в кластерах, выявляет сложные угрозы и реагирует на них до того, как они нанесут ущерб.
Помощник для занятых команд DevOps, которые хотят защитить свои среды Kubernetes, не жертвуя временем. Shift Security Left, автоматическое исправление уязвимостей и непрерывный мониторинг.
Швейцарский нож безопасности Kubernetes. Сканирует образы контейнеров и ресурсы, выявляет небезопасные конфигурации, проверяет на соответствие безопасности.
Рентген мира контейнеров, помогает увидеть уязвимости до того, как они станут проблемами. Сканирует образы контейнеров, анализирует состав ПО. Легко подключается к вашему конвейеру CI/CD.
Cканирует шаблоны IaC на предмет неправильных конфигураций и проблем безопасности, проверяет на соответствие безопасности, поддерживает несколько облаков.
#devops #devsecops #kubernetes #k8s
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥4👍3
👉 В статье вы узнаете про:
Пользуйтесь и делитесь с коллегами 🤝
#devsecops #devops #api #apisecurity
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3⚡2❤2👾2
Почему защитой Kubernetes должно заниматься целое подразделение?
Так называется доклад Артема Мерец на конференции БеКон 2024, которая пройдет в июне в Москве (если будет запись доклада, обязательно поделимся). Спикер раскроет важную тему про выделенный отдел для защиты безопасности и регулировки нагрузки в кластерах.
Но уже сейчас можно дать короткое заключение. Часто в компаниях, где фокус у каждого специалиста размыт на разноплановые задачи, ресурсов на безопасность попросту не хватает. А эта задача требует постоянного внимания к деталям и умения смотреть на ситуацию в комплексе. И команда на аутсорсе даст намного больше выхлопа, чем один специалист в штате, причем за те же деньги.
Выходит, что при недостатке ресурсов лучше делегировать безопасность кластеров специализированной команде.
#k8s #kubernetes #devops #devsecops
@DevOpsKaz
Так называется доклад Артема Мерец на конференции БеКон 2024, которая пройдет в июне в Москве (если будет запись доклада, обязательно поделимся). Спикер раскроет важную тему про выделенный отдел для защиты безопасности и регулировки нагрузки в кластерах.
Но уже сейчас можно дать короткое заключение. Часто в компаниях, где фокус у каждого специалиста размыт на разноплановые задачи, ресурсов на безопасность попросту не хватает. А эта задача требует постоянного внимания к деталям и умения смотреть на ситуацию в комплексе. И команда на аутсорсе даст намного больше выхлопа, чем один специалист в штате, причем за те же деньги.
Выходит, что при недостатке ресурсов лучше делегировать безопасность кластеров специализированной команде.
Наша компания Core 24/7 внедряет и поддерживает Kubernetes в режиме 24/7 для МСБ, стартапов и крупного бизнеса. Мы автоматизируем развертывание, масштабирование и управление вашими приложениями — всё в лучших практиках DevSecOps. Обращайтесь за консультацией, а результат и конфиденциальность данных мы гарантируем.
#k8s #kubernetes #devops #devsecops
@DevOpsKaz
👍6⚡3🔥2👾2
На платформе TryHackMe нашли раздел K8s Best Security Practices — он помогает изучить важные аспекты безопасности в Kubernetes-кластерах и научиться защищать свои приложения и данные. Здесь есть учебные материалы, лабораторные и практические задания.
📌 На все про все уйдет около 1 часа.
Раздел покрывает темы:
—
Service Accounts—
RBAC—
API запросы—
Сканирование образов, SecurityContext и т.д#devsecops #kubernetes
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥15👍9😎2
Content Security Policy (CSP) для предотвращения XSS-атак, HTTP Strict Transport Security (HSTS) для принудительного использования HTTPS, и другие заголовки на реальных проектах.
👉 Руководство построено по структуре:
— Политики
— Сценарий атаки
— Защита на Apache
— Защита на Nginx
Гайд поможет улучшить защиту веб-приложений и разобраться во взаимодействии заголовков с другими компонентами безопасности.
Пользуйтесь и делитесь с коллегами
#devsecops #http
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥6❤2😎2
В продолжение поста про заголовки безопасности HTTP, рассказываем про безопасность платежей. Уязвимости в платежных системах могут проявляться по-разному:
👉 Руководство построено по структуре:
— Сценарий атаки
— Пример несоответствующего кода
— Поток атаки в несоответствующем коде
— Пример совместимого кода
Зная эти сценарии и используя примеры, вы сможете обезопасить платежные данные и узлы своих клиентов. Пользуйтесь и делитесь с коллегами
#devsecops
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥4😎3
👉 Сохраняйте в закладки советы по настройке безопасной инфраструктуры на базе Kubernetes.
Содержание гайда:
— DNS
— Node
— Pod
— Etcd
— Kube-proxy
— Role-Based Access Control
— Стороннее ПО
— Облака
— Автоматизация эксплуатации
Эта
wiki-страница поможет защитить ваши кластеры и их компоненты уже на самых ранних этапах развертывания.#k8s #kubernetes #devsecops
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍3🔥3😎2
👉 Нашли для вас интересную шпаргалку, которая поможет усилить безопасность Kubernetes — в ней советы по 4 основным разделам:
— Безопасность компонентов Kubernetes
— Network Security
— Безопасность pods и других объектов
— Kubernetes credentials и data security
Также в нашем блоге вы можете прочесть статью «Лучшие практики безопасности Kubernetes за 5 шагов» , чтобы уж точно не пропустить никакую деталь.
#kubernetes #k8s #k8ssec #devsecops
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3😎3⚡2
Forwarded from Похек
Abusing GitLab Runners
#gitlab #devsecops
Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.
➡️ Research
➡️ Github PoC
Использование:
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#gitlab #devsecops
Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.
Использование:
usage: hijack-runner.py [-h] [--target TARGET] [--register REGISTER] [--attack ATTACK] [--tag TAG]
[--clone]
Abuse GitLab Runners
optional arguments:
-h, --help show this help message and exit
--target TARGET The GitLab instance to target
--register REGISTER Register a token
--attack ATTACK Use Runner token to steal data
--tag TAG Taglist separated with commas
--clone Will clone the repo locally
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥4❤2⚡2