Поиск секретов: false positive или false negative?
Всем привет!
Задача поиска секретов – крайне важная задача при обеспечении безопасности разрабатываемого ПО.
Существует множество различных сканеров и подходов, которые позволяют это сделать.
Но эти сканеры не лишены недостатков: они могут генерировать большое количество false positive(дада, например, та-самая-длинная-переменная-на-Java).
Поэтому разработчики средств анализа секретов используют разные методы для получения более релевантных результатов: от объединения подходов (RegEx и энтропия) до анализа используемости и/или валидности секрета.
Однако, это «закручивание гаек» может дать «побочный эффект» - false positive сменятся на false negative и сканер не найдет «обычный секрет».
Что с этим можно сделать? Возможный ответ есть в статье от Semgrep.
В ней Авторы описывают:
🍭 Общие принципы работы средств анализа секретов
🍭 Техники, которые они используют для сокращения false positive
🍭 Результаты эксперимента команды по анализу репозиториев GitHub с целью поиска секретов
🍭 Рекомендации о том, как улучшить показатели работы сканеров
Много наглядных примеров и пояснений, которые позволяют лучше погрузиться в проблематику и возможные способы ее решения.
Кроме этого, в статье описаны трудности, с которыми можно столкнуться при оптимизации правил. Например, отсутствие уникальности в префиксах токенов (
Рекомендуем!
Всем привет!
Задача поиска секретов – крайне важная задача при обеспечении безопасности разрабатываемого ПО.
Существует множество различных сканеров и подходов, которые позволяют это сделать.
Но эти сканеры не лишены недостатков: они могут генерировать большое количество false positive
Поэтому разработчики средств анализа секретов используют разные методы для получения более релевантных результатов: от объединения подходов (RegEx и энтропия) до анализа используемости и/или валидности секрета.
Однако, это «закручивание гаек» может дать «побочный эффект» - false positive сменятся на false negative и сканер не найдет «обычный секрет».
Что с этим можно сделать? Возможный ответ есть в статье от Semgrep.
В ней Авторы описывают:
🍭 Общие принципы работы средств анализа секретов
🍭 Техники, которые они используют для сокращения false positive
🍭 Результаты эксперимента команды по анализу репозиториев GitHub с целью поиска секретов
🍭 Рекомендации о том, как улучшить показатели работы сканеров
Много наглядных примеров и пояснений, которые позволяют лучше погрузиться в проблематику и возможные способы ее решения.
Кроме этого, в статье описаны трудности, с которыми можно столкнуться при оптимизации правил. Например, отсутствие уникальности в префиксах токенов (
sk_live_, sk, gsk_ -весьма похожи, но используются разными сервисами).Рекомендуем!
Semgrep
Secrets Story: The Prefixed Secrets That Tried%20to%2BGet\nAway
Secret scanning tools often miss real leaked API keys and tokens. Learn why word boundaries and keyword rules cause false negatives—and how to improve secrets detection.
👍5
Kubernetes Learning Path!
Всем привет!
По ссылке доступен GitHub-репозиторий, в котором собраны материалы, которые будут полезны при изучении Kubernetes.
Отличительной особенностью ресурса является то, что он не сразу «прыгает» в изучение основных сущностей Kubernetes, а смотрит на вопрос немного шире – начиная с фундаментальных основ.
Например:
🍭 Understanding Distributed System
🍭 Basics of Key Value Store
🍭 Learn YAML
🍭 Understand Service Discovery
🍭 Network Basics и т.д.
После этого Авторы предлагают углубляться в сам Kubernetes – от понимания архитектуры и основных сущностей до создания и эксплуатации своего первого кластера.
Много ссылок на курсы, статьи, материалы по теме, а также voucher для получения скидки при оплате экзаменов (CKA, CKS, CKAD и т.д.)
Возможно, следующим Kubestronaut станете именно вы! ☺️
Всем привет!
По ссылке доступен GitHub-репозиторий, в котором собраны материалы, которые будут полезны при изучении Kubernetes.
Отличительной особенностью ресурса является то, что он не сразу «прыгает» в изучение основных сущностей Kubernetes, а смотрит на вопрос немного шире – начиная с фундаментальных основ.
Например:
🍭 Understanding Distributed System
🍭 Basics of Key Value Store
🍭 Learn YAML
🍭 Understand Service Discovery
🍭 Network Basics и т.д.
После этого Авторы предлагают углубляться в сам Kubernetes – от понимания архитектуры и основных сущностей до создания и эксплуатации своего первого кластера.
Много ссылок на курсы, статьи, материалы по теме, а также voucher для получения скидки при оплате экзаменов (CKA, CKS, CKAD и т.д.)
Возможно, следующим Kubestronaut станете именно вы! ☺️
GitHub
GitHub - techiescamp/kubernetes-learning-path: A roadmap to learn Kubernetes from scratch (Beginner to Advanced level)
A roadmap to learn Kubernetes from scratch (Beginner to Advanced level) - techiescamp/kubernetes-learning-path
👍3❤1
Ingress -> Gateway
Всем привет!
В марте 2026 закончится развитие и поддержка Ingress NGINX (если вы вдруг пропустили, то мы писали об этом вот тут).
Одним из возможных кандидатов для «переезда» является Gateway API.
Чтобы немного упростить и автоматизировать процесс можно воспользоваться проектом ingress2gateway. Он создан и поддерживается разработчиками Kubernetes.
Если просто, то он делает следующее:
🍭 Использует
🍭 Ищет ресурсы Ingress NGINX в указанном
🍭 Конвертирует найденные ресурсы в спецификацию, «понятную» Gateway API (на текущий момент только
Да, не совсем «полноценный переезд», но может сэкономить некоторое время.
Кстати, ingress2gateway поддерживает не только Ingress NGINX, но и другие провайдеры.
С установкой, запуском и возможными опциями можно ознакомиться в GitHub-репозитории проекта.
А какой Ingress вы выбрали для себя на замену?
Всем привет!
В марте 2026 закончится развитие и поддержка Ingress NGINX (если вы вдруг пропустили, то мы писали об этом вот тут).
Одним из возможных кандидатов для «переезда» является Gateway API.
Чтобы немного упростить и автоматизировать процесс можно воспользоваться проектом ingress2gateway. Он создан и поддерживается разработчиками Kubernetes.
Если просто, то он делает следующее:
🍭 Использует
kubeconfig файл для того, чтобы иметь возможность «общения» с кластером🍭 Ищет ресурсы Ingress NGINX в указанном
namespace🍭 Конвертирует найденные ресурсы в спецификацию, «понятную» Gateway API (на текущий момент только
Gateways и HTTPRoutes)Да, не совсем «полноценный переезд», но может сэкономить некоторое время.
Кстати, ingress2gateway поддерживает не только Ingress NGINX, но и другие провайдеры.
С установкой, запуском и возможными опциями можно ознакомиться в GitHub-репозитории проекта.
А какой Ingress вы выбрали для себя на замену?
GitHub
GitHub - kubernetes-sigs/ingress2gateway: Convert Ingress resources to Gateway API resources
Convert Ingress resources to Gateway API resources - kubernetes-sigs/ingress2gateway
👍4❤1🔥1
Безопасность Supply Chain на примере npm
Всем привет!
В обновленной версии OWASP Supply Chain сразу попала на 3ье место, Shai-Hulud продолжаетуничтожать Атрейдесов и Харконненов атаковать npm – лишь немногие подтверждения того, что вопрос обеспечения цепочки поставки ПО крайне важен.
В статье от SNYK можно найти набор рекомендаций о том, что можно сделать, чтобы повысить уровень безопасности при работе с заимствованными компонентами на примере npm.
Всего доступно 12 рекомендаций:
🍭 Disable post-install scripts
🍭 Install with cooldown
🍭 Harden installs with
🍭 Prevent lockfile injection
🍭 Use deterministic installs и т.д.
Для каждой рекомендации приводится краткое описание зачем это нужно и примеры реализации соответствующих настроек.
Отличное руководство, в котором содержится много полезной информации.
Рекомендуем!
Всем привет!
В обновленной версии OWASP Supply Chain сразу попала на 3ье место, Shai-Hulud продолжает
В статье от SNYK можно найти набор рекомендаций о том, что можно сделать, чтобы повысить уровень безопасности при работе с заимствованными компонентами на примере npm.
Всего доступно 12 рекомендаций:
🍭 Disable post-install scripts
🍭 Install with cooldown
🍭 Harden installs with
npq🍭 Prevent lockfile injection
🍭 Use deterministic installs и т.д.
Для каждой рекомендации приводится краткое описание зачем это нужно и примеры реализации соответствующих настроек.
Отличное руководство, в котором содержится много полезной информации.
Рекомендуем!
👍5❤2🤬1
KubeVirt_InfoSec_Audit.pdf
785 KB
ИБ-аудит KubeVirt
Всем привет!
KubeVirt – open-source проект, представляющий из себя «надстройку» над Kubernetes, которая позволяет управлять виртуальными машинами вместе с контейнерами в одном кластере.
И да, даже для open-source проектов проводят внешние аудиты по информационной безопасности.
KubeVirt не стал исключением. Его исследовала команда Quarkslab.
Было найдено:
🍭 1 High-уязвимость (Arbitrary Host File Read and Write)
🍭 7 Medium-уязвимостей (Authentication Bypass in Kubernetes Aggregation Layer, Arbitrary Container File Read и т.д.)
🍭 4 Low-уязвимости (Host devices exposed by KubeVirt are accessible clusterwide, Lack of Common Name (CN) Verification in TLS Certificates)
🍭 3 Info-уязвимости (Crash Triggered by Unoptimized Build, Unhandled Exception Leads to a Crash)
Для эксплуатации большинства уязвимостей требуется выполнение ряда условий: например, повышенные привилегии, доступ на узел кластера и т.д.
Больше подробностей можно найти в прилагаемом файле (~ 108 страниц).
А как вы считаете? Open-source более/менее безопасен, чем коммерческое ПО? Или нет никакой разницы?
Всем привет!
KubeVirt – open-source проект, представляющий из себя «надстройку» над Kubernetes, которая позволяет управлять виртуальными машинами вместе с контейнерами в одном кластере.
И да, даже для open-source проектов проводят внешние аудиты по информационной безопасности.
KubeVirt не стал исключением. Его исследовала команда Quarkslab.
Было найдено:
🍭 1 High-уязвимость (Arbitrary Host File Read and Write)
🍭 7 Medium-уязвимостей (Authentication Bypass in Kubernetes Aggregation Layer, Arbitrary Container File Read и т.д.)
🍭 4 Low-уязвимости (Host devices exposed by KubeVirt are accessible clusterwide, Lack of Common Name (CN) Verification in TLS Certificates)
🍭 3 Info-уязвимости (Crash Triggered by Unoptimized Build, Unhandled Exception Leads to a Crash)
Для эксплуатации большинства уязвимостей требуется выполнение ряда условий: например, повышенные привилегии, доступ на узел кластера и т.д.
Больше подробностей можно найти в прилагаемом файле (~ 108 страниц).
А как вы считаете? Open-source более/менее безопасен, чем коммерческое ПО? Или нет никакой разницы?
👍6
Ingress NGINX -> HAProxy Kubernetes Ingress Controller
Всем привет!
Недавно мы писали об утилите, которая позволит упростить переход с Ingress NGINX на Gateway API. Это не единственный вариант.
Но что, если вы не хотите использовать Gateway API, а хотите остаться на Ingress? В этом случае вам может быть полезен вот этот сайт.
Помимо базовой информации о том, как установить новый Ingress Controller, сайт поможет адаптировать существующие Ingress NGINX-конфигурации на HAProxy-вариант.
Например, за счет «подсказок» о том, как выглядит та или иная аннотация в обоих вариантах и что нужно изменить.
Помимо этого, сервис предоставляет ссылки на документацию, чтобы проще было в ней ориентироваться и сразу получат ответ на интересующий вопрос.
«Вишенкой» является набор руководств (tutorial), в которых собраны подобные инструкции о том, как настроить, например, Route HTTP traffic, Load balance traffic, Terminate SSL/TLS и т.д.
Всем привет!
Недавно мы писали об утилите, которая позволит упростить переход с Ingress NGINX на Gateway API. Это не единственный вариант.
Но что, если вы не хотите использовать Gateway API, а хотите остаться на Ingress? В этом случае вам может быть полезен вот этот сайт.
Помимо базовой информации о том, как установить новый Ingress Controller, сайт поможет адаптировать существующие Ingress NGINX-конфигурации на HAProxy-вариант.
Например, за счет «подсказок» о том, как выглядит та или иная аннотация в обоих вариантах и что нужно изменить.
Помимо этого, сервис предоставляет ссылки на документацию, чтобы проще было в ней ориентироваться и сразу получат ответ на интересующий вопрос.
«Вишенкой» является набор руководств (tutorial), в которых собраны подобные инструкции о том, как настроить, например, Route HTTP traffic, Load balance traffic, Terminate SSL/TLS и т.д.
HAProxy Technologies
Ingress NGINX to HAProxy Kubernetes Ingress Migration
Convert Ingress NGINX configs and annotations to HAProxy Kubernetes Ingress Controller with install steps, examples, and a fast start toolkit.
👍5❤1🔥1
Technology Matrix: альтернативный взгляд на CNCF Landscape
Всем привет!
Если вы хотя бы раз видели CNCF Landscape, то, вероятно, у вас возникало несколько мыслей: «Как тут много всего!» и «А как с этим работать?».
Он развивается, обновляется, решений становится больше и… навигация в нем может быть не самой удобной.
Примерно так решил Автор статьи и сделал собственный вариант – Technology Matrix.
Задача – сделать работу с невероятным количеством технологий более удобной, наглядной и понятной.
Автор разбил все на 7 основных «областей»:
🍭 Skip. Пока не интересует
🍭 Watch. Наблюдение за проектом, чтение release notes и т.д.
🍭 Explore. «Тестирование» - базовая установка и настройка, прохождение различных руководств. Без особого погружения
🍭 Learn. «Продвинутая» версия Explore – более глубокое изучение
🍭 Adopt. Использование в «реальной жизни», готово к промышленной эксплуатации
🍭 Advocate. Евангелизм: не просто использование, но и распространение информации о технологии
🍭 Graveyard.Без комментариев
Для некоторых технологий Автор описывает почему он их использует, что именно ему нравится и почему он остановился на этом варианте.
Больше информации про Technology Matrix можно найти по ссылке.
Возможно, если вы любите структурировать информацию, предложенный подход может вас заинтересовать.
Всем привет!
Если вы хотя бы раз видели CNCF Landscape, то, вероятно, у вас возникало несколько мыслей: «Как тут много всего!» и «А как с этим работать?».
Он развивается, обновляется, решений становится больше и… навигация в нем может быть не самой удобной.
Примерно так решил Автор статьи и сделал собственный вариант – Technology Matrix.
Задача – сделать работу с невероятным количеством технологий более удобной, наглядной и понятной.
Автор разбил все на 7 основных «областей»:
🍭 Skip. Пока не интересует
🍭 Watch. Наблюдение за проектом, чтение release notes и т.д.
🍭 Explore. «Тестирование» - базовая установка и настройка, прохождение различных руководств. Без особого погружения
🍭 Learn. «Продвинутая» версия Explore – более глубокое изучение
🍭 Adopt. Использование в «реальной жизни», готово к промышленной эксплуатации
🍭 Advocate. Евангелизм: не просто использование, но и распространение информации о технологии
🍭 Graveyard.
Для некоторых технологий Автор описывает почему он их использует, что именно ему нравится и почему он остановился на этом варианте.
Больше информации про Technology Matrix можно найти по ссылке.
Возможно, если вы любите структурировать информацию, предложенный подход может вас заинтересовать.
rawkode.academy
Technology Matrix
Rawkode's opinionated guide to cloud native and platform engineering technologies.
👍3
Анализ безопасности приложений с Raptor
Всем привет!
Raptor – open-source проект, использующий Claude Code для проверки безопасности разрабатываемого приложения.
И да – это акроним: Recursive Autonomous Penetration Testing and Observation Robot(если кому-то это интересно 😅) .
Он позволяет:
🍭 Сканировать исходный код с Semgrep и CodeQL
🍭 Проводить fuzzing исполняемых файлов с AFL
🍭 Анализировать идентифицированные ИБ-дефекты с применением LLM
🍭 Генерировать exploits для подтверждения возможности эксплуатации ИБ-дефекта
🍭 Предлагать исправления для устранения ИБ-дефектов
🍭 Создавать отчеты в структурированном формате
Есть 2 режима установки – «самостоятельная» и c использованием devcontainer.
Подробнее об этом и о возможностях Raptor можно узнать в GitHub-репозитории проекта.
Всем привет!
Raptor – open-source проект, использующий Claude Code для проверки безопасности разрабатываемого приложения.
И да – это акроним: Recursive Autonomous Penetration Testing and Observation Robot
Он позволяет:
🍭 Сканировать исходный код с Semgrep и CodeQL
🍭 Проводить fuzzing исполняемых файлов с AFL
🍭 Анализировать идентифицированные ИБ-дефекты с применением LLM
🍭 Генерировать exploits для подтверждения возможности эксплуатации ИБ-дефекта
🍭 Предлагать исправления для устранения ИБ-дефектов
🍭 Создавать отчеты в структурированном формате
Есть 2 режима установки – «самостоятельная» и c использованием devcontainer.
Подробнее об этом и о возможностях Raptor можно узнать в GitHub-репозитории проекта.
GitHub
GitHub - gadievron/raptor: Raptor turns Claude Code into a general-purpose AI offensive/defensive security agent. By using Claude.md…
Raptor turns Claude Code into a general-purpose AI offensive/defensive security agent. By using Claude.md and creating rules, sub-agents, and skills, and orchestrating security tool usage, we confi...
👀1
Kubeterm: GUI для Kubernetes
Всем привет!
Начинаем рабочую неделю с чего-то простого, а именно – Kubeterm. Да, это еще один графический web-интерфейс для Kubernetes.
С его помощью можно:
🍭 Аутентифицироваться в кластере Kubernetes
🍭 Просматривать общую информацию о кластере
🍭 Получать данные о созданных ресурсах
🍭 Управлять ресурсами: создавать, редактировать удалять и т.д. В том числе с использованием Helm
🍭 Искать причины возникших проблем (troubleshooting) через ephemeral-контейнеры
🍭 Реализовывать port-forward и не только
Устанавливается и настраивается быстро, можно сразу использовать. С «внешним видом» можно ознакомиться по ссылке на GitHub-репозиторий.
P.S. Можно установить даже на iOs и Android 😅
Всем привет!
Начинаем рабочую неделю с чего-то простого, а именно – Kubeterm. Да, это еще один графический web-интерфейс для Kubernetes.
С его помощью можно:
🍭 Аутентифицироваться в кластере Kubernetes
🍭 Просматривать общую информацию о кластере
🍭 Получать данные о созданных ресурсах
🍭 Управлять ресурсами: создавать, редактировать удалять и т.д. В том числе с использованием Helm
🍭 Искать причины возникших проблем (troubleshooting) через ephemeral-контейнеры
🍭 Реализовывать port-forward и не только
Устанавливается и настраивается быстро, можно сразу использовать. С «внешним видом» можно ознакомиться по ссылке на GitHub-репозиторий.
P.S. Можно установить даже на iOs и Android 😅
GitHub
GitHub - kbterm/kubeterm: Graphical management tool for kubernetes
Graphical management tool for kubernetes. Contribute to kbterm/kubeterm development by creating an account on GitHub.
SecureCodeChallenges
Всем привет!
По ссылке доступен репозиторий, в котором находится небольшое уязвимое приложение.
Ваша цель – провести его Security Review. Найти все ИБ-дефекты, объяснить насколько они критичны, предложить рекомендации и реализовать «защищенную версию».
«Доступен» следующий набор ИБ-дефектов:
🍭 SQL Injection
🍭 Stored XSS
🍭 Insecure Query Building
🍭 Missing Validation and Sanitization
🍭 Poor Handling of User Input
🍭 Lack of Output Encoding
Приложение создано с использованием Node.js, React, SQLite, Simple REST API. Соответственно, для установки и запуска потребуется Node.js.
Дальше все просто – скачиваем репозиторий, устанавливаем зависимости, запускаем приложение, получаем к нему доступ по порту 3000 и исследуем.
Всем привет!
По ссылке доступен репозиторий, в котором находится небольшое уязвимое приложение.
Ваша цель – провести его Security Review. Найти все ИБ-дефекты, объяснить насколько они критичны, предложить рекомендации и реализовать «защищенную версию».
«Доступен» следующий набор ИБ-дефектов:
🍭 SQL Injection
🍭 Stored XSS
🍭 Insecure Query Building
🍭 Missing Validation and Sanitization
🍭 Poor Handling of User Input
🍭 Lack of Output Encoding
Приложение создано с использованием Node.js, React, SQLite, Simple REST API. Соответственно, для установки и запуска потребуется Node.js.
Дальше все просто – скачиваем репозиторий, устанавливаем зависимости, запускаем приложение, получаем к нему доступ по порту 3000 и исследуем.
GitHub
GitHub - MbankoKevin/SecureCodeChallenges: This repository is for intentionally vulnerable codes. i use this repo to practice secure…
This repository is for intentionally vulnerable codes. i use this repo to practice secure code reviews and better improve my skills as an Appsec Engineer. - MbankoKevin/SecureCodeChallenges
OWASP-AI-Testing-Guide-v1.pdf
6.2 MB
OWASP AI Testing Guide
Всем привет!
Мы не часто пишем про AI, но мимо такого пройти просто невозможно! В ноябре OWASP выпустили AI Testing Guide.
Документ получился очень массивный – около 250 страниц. Скачать его можно в приложении.
Материал «разбит» на 4 основные части:
🍭 Introduction
🍭 Threat Modeling AI Systems
🍭 OWASP AI Testing Guide Framework
🍭 Appendices and References
Самое «мясо» как раз находится в разделе «OWASP AI Testing Guide Framework».
В нем Авторы рассказывают о том, как и что можно проверить в соответствии с OWASP Top 10 для AI.
Описываются цели тестирования, сама суть атаки, примеры, способы минимизации рисков и средства автоматизации, которые могут быть полезны.
Однозначно рекомендуем!
P.S. А как вы смотрите на то, чтобы помимо DevSecOps мы бы еще писали про безопасность ML в этом канале? Если интересно – ставьте 🔥 под постом!
Всем привет!
Мы не часто пишем про AI, но мимо такого пройти просто невозможно! В ноябре OWASP выпустили AI Testing Guide.
Документ получился очень массивный – около 250 страниц. Скачать его можно в приложении.
Материал «разбит» на 4 основные части:
🍭 Introduction
🍭 Threat Modeling AI Systems
🍭 OWASP AI Testing Guide Framework
🍭 Appendices and References
Самое «мясо» как раз находится в разделе «OWASP AI Testing Guide Framework».
В нем Авторы рассказывают о том, как и что можно проверить в соответствии с OWASP Top 10 для AI.
Описываются цели тестирования, сама суть атаки, примеры, способы минимизации рисков и средства автоматизации, которые могут быть полезны.
Однозначно рекомендуем!
P.S. А как вы смотрите на то, чтобы помимо DevSecOps мы бы еще писали про безопасность ML в этом канале? Если интересно – ставьте 🔥 под постом!
🔥43👎4👍1🥱1🥴1
MCP Breach-to-Fix Labs
Всем привет!
По ссылке доступен набор из 9 лабораторных работ, посвященных вопросам безопасности при работе с MCP.
Все сценарии проверены Автором и не являются теоретическими. Они помогут лучше понять «что может пойти не так» при работе с MCP и как сделать лучше.
Доступны такие лабораторные, как:
🍭 Hidden Instructions in Tool Responses
🍭 Log Poisoning Incident Response
🍭 Classic SQL Injection (Stored Prompt)
🍭 Git Command Injection
🍭 Tool Description Poisoning и не только
У каждого сценария есть 2 «режима»: уязвимый и безопасный (hardened-вариант, который остановит атаку).
Запуск – как обычно, через Docker – инструкции можно найти в GitHub-репозитории.
Больше информации о проекте можно найти в статье.
Всем привет!
По ссылке доступен набор из 9 лабораторных работ, посвященных вопросам безопасности при работе с MCP.
Все сценарии проверены Автором и не являются теоретическими. Они помогут лучше понять «что может пойти не так» при работе с MCP и как сделать лучше.
Доступны такие лабораторные, как:
🍭 Hidden Instructions in Tool Responses
🍭 Log Poisoning Incident Response
🍭 Classic SQL Injection (Stored Prompt)
🍭 Git Command Injection
🍭 Tool Description Poisoning и не только
У каждого сценария есть 2 «режима»: уязвимый и безопасный (hardened-вариант, который остановит атаку).
Запуск – как обычно, через Docker – инструкции можно найти в GitHub-репозитории.
Больше информации о проекте можно найти в статье.
GitHub
GitHub - PawelKozy/mcp-breach-to-fix-labs: Hands-on MCP security lab: 10 real incidents reproduced with vulnerable/secure MCP servers…
Hands-on MCP security lab: 10 real incidents reproduced with vulnerable/secure MCP servers, pytest regressions, and Claude/Cursor battle-tested exploit walkthroughs - PawelKozy/mcp-breach-to-fix-labs
❤4👍3
Building Secure AI Applications.pdf
2.7 MB
Building Secure AI Applications
Всем привет!
В приложении можно скачать небольшой методический материал (~ 40 страниц), посвященный тому, на что обращать внимание при обеспечении ИБ при разработке приложений, использующих AI.
Материал основан на OWASP Top 10 для LLM:
🍭 LLM01 Prompt Injection
🍭 LLM02 Sensitive Information Disclosure
🍭 LLM03 Supply Chain
🍭 LLM04 Data and Model Poisoning
🍭 LLM05 Improper Output Handling и не только
Для каждого раздела описаны общие рекомендации по повышению уровня защищенности и перечень инструментов, которые можно использовать для автоматизации.
Дополнительно в материале представлена концептуальная архитектура с соотношением рассматриваемых угроз.
Всем привет!
В приложении можно скачать небольшой методический материал (~ 40 страниц), посвященный тому, на что обращать внимание при обеспечении ИБ при разработке приложений, использующих AI.
Материал основан на OWASP Top 10 для LLM:
🍭 LLM01 Prompt Injection
🍭 LLM02 Sensitive Information Disclosure
🍭 LLM03 Supply Chain
🍭 LLM04 Data and Model Poisoning
🍭 LLM05 Improper Output Handling и не только
Для каждого раздела описаны общие рекомендации по повышению уровня защищенности и перечень инструментов, которые можно использовать для автоматизации.
Дополнительно в материале представлена концептуальная архитектура с соотношением рассматриваемых угроз.
👍9
Использование LLM для анализа PR
Всем привет!
Как быть, если надо анализировать около 10,000 PR, создаваемых еженедельно? Вариант ответа на этот вопрос можно найти в статье от DataDog.
В ней Авторы описывают свой опыт создания BewAIre – специализированного инструмента, который позволяет определить является ли PR вредоносным.
Команда разбила задачу на 3 блока:
🍭 Управление набором данных (dataset, создание, актуализация)
🍭 Работа с «контекстными окнами» и большими размерами данных
🍭 Сокращение ложных срабатываний
Каждый из разделов очень хорошо описан в статье, включая перечень подходов, используемых Командой.
В результате у них получилось достичь приличных показателей: > 99.3% - точность, 0.03% - FP, 100% - покрытие.
Больше подробностей, включая описание «подводных камней» и lessons learned, можно найти в самой статье.
Всем привет!
Как быть, если надо анализировать около 10,000 PR, создаваемых еженедельно? Вариант ответа на этот вопрос можно найти в статье от DataDog.
В ней Авторы описывают свой опыт создания BewAIre – специализированного инструмента, который позволяет определить является ли PR вредоносным.
Команда разбила задачу на 3 блока:
🍭 Управление набором данных (dataset, создание, актуализация)
🍭 Работа с «контекстными окнами» и большими размерами данных
🍭 Сокращение ложных срабатываний
Каждый из разделов очень хорошо описан в статье, включая перечень подходов, используемых Командой.
В результате у них получилось достичь приличных показателей: > 99.3% - точность, 0.03% - FP, 100% - покрытие.
Больше подробностей, включая описание «подводных камней» и lessons learned, можно найти в самой статье.
Datadog
Detecting malicious pull requests at scale with LLMs | Datadog
Learn how Datadog’s SDLC Security team built an LLM-powered system to detect malicious pull requests at scale—without sacrificing developer velocity.
❤5👀1
Всем привет!
Обсудили на подкасте с коллегами из Crosstech Solutions Group безопасную разработку, DevSecOps, безопасность контейнерной инфраструктуры и боли-печали всех тех, кто этим занимается. Приятного просмотра (или прослушивания ☺️)
Яндекс Музыка
ВК
Rutube
Обсудили на подкасте с коллегами из Crosstech Solutions Group безопасную разработку, DevSecOps, безопасность контейнерной инфраструктуры и боли-печали всех тех, кто этим занимается. Приятного просмотра (или прослушивания ☺️)
Яндекс Музыка
ВК
Rutube
VK Видео
CrossCheck 2.0: DevSecOps — от кода до контейнера
В этом выпуске: ✦ Что мотивирует компании внедрять DevSecOps? ✦ Почему все массово переходят на контейнерную разработку? ✦И как выбрать решение по защите контейнерных сред, чтобы не ошибиться? Участники выпуска: — Руслан Субхангулов - Директор по продукту…
23❤17👍10🥰5🔥3
Web LLM attacks
Всем привет!
На сайте Web Security Academy от PortSwigger можно найти небольшой урок, посвященный атакам на LLM.
Он состоит из разделов:
🍭 Overview
🍭 Exploiting LLM APIs, functions and plugins
🍭 Indirect prompt injection
🍭 Leaking sensitive training data
🍭 Defending against LLM attacks
Как и любой материал на в Web Security Academy урок состоит из нескольких частей: теоретическая и практическая.
На текущий момент доступно 4 лабораторные работы: Exploiting LLM APIs with excessive agency, Exploiting vulnerabilities in LLM APIs, Indirect prompt injection и Exploiting insecure output handling in LLMs.
Всем привет!
На сайте Web Security Academy от PortSwigger можно найти небольшой урок, посвященный атакам на LLM.
Он состоит из разделов:
🍭 Overview
🍭 Exploiting LLM APIs, functions and plugins
🍭 Indirect prompt injection
🍭 Leaking sensitive training data
🍭 Defending against LLM attacks
Как и любой материал на в Web Security Academy урок состоит из нескольких частей: теоретическая и практическая.
На текущий момент доступно 4 лабораторные работы: Exploiting LLM APIs with excessive agency, Exploiting vulnerabilities in LLM APIs, Indirect prompt injection и Exploiting insecure output handling in LLMs.
portswigger.net
Web LLM attacks | Web Security Academy
Organizations are rushing to integrate Large Language Models (LLMs) in order to improve their online customer experience. This exposes them to web LLM ...
❤6🔥3
Understanding Linux Capability Sets
Всем привет!
Хорошей практикой для защиты контейнеров (да и не только) является ограничение Linux Capabilities, что позволяет контролировать их (контейнеров) возможности и может быть использовано для сокращения поверхности атаки.
Но как это устроено и что происходит «на самом деле»? Если вам интересно ознакомиться с базовыми концептами, то эта статья для вас!
Автор рассматривает:
🍭 «Типы» capabilities (File, Process)
🍭 Capability Sets (Bounding, Permitted, Effective)
🍭 Процесс «вычисления» итогового набора
🍭 Работа Capabilities в Kubernetes
Статья небольшая, но очень наглядная. Самое то, чтобы понять основы и принципы назначения итогового набора возможностей.
Много примеров, пояснений и диаграмм. Рекомендуем!
Всем привет!
Хорошей практикой для защиты контейнеров (да и не только) является ограничение Linux Capabilities, что позволяет контролировать их (контейнеров) возможности и может быть использовано для сокращения поверхности атаки.
Но как это устроено и что происходит «на самом деле»? Если вам интересно ознакомиться с базовыми концептами, то эта статья для вас!
Автор рассматривает:
🍭 «Типы» capabilities (File, Process)
🍭 Capability Sets (Bounding, Permitted, Effective)
🍭 Процесс «вычисления» итогового набора
🍭 Работа Capabilities в Kubernetes
Статья небольшая, но очень наглядная. Самое то, чтобы понять основы и принципы назначения итогового набора возможностей.
Много примеров, пояснений и диаграмм. Рекомендуем!
utam0k
Beyond Container Capabilities: Understanding Linux Capability Sets
👍7🗿1
React2Shell: подробный разбор
Всем привет!
Все так! Про React2Shell было очень много новостей, много всего написано, но!
Если вы по какой-то причине его пропустили или не было времени разобраться, то эта статья может быть вам полезна.
В ней ребята из Wiz очень подробно разбирают что это такое и как это работает.
Статья содержит разделы:
🍭 Introduction. Общая информация о
🍭 Exploitation in The Wild. Разбор, в котором рассматривается сокращенный пример kill chain
🍭 The Vulnerability Extends Beyond Next.js. Рассуждения о том, к чему еще можно «применить» уязвимость
🍭 PoC Breakdown. Разбор примера реализации атаки
В статье множество деталей, примеров, комментариев и ссылок.
Самое то для того, чтобы разобраться что к чему!
Всем привет!
Все так! Про React2Shell было очень много новостей, много всего написано, но!
Если вы по какой-то причине его пропустили или не было времени разобраться, то эта статья может быть вам полезна.
В ней ребята из Wiz очень подробно разбирают что это такое и как это работает.
Статья содержит разделы:
🍭 Introduction. Общая информация о
🍭 Exploitation in The Wild. Разбор, в котором рассматривается сокращенный пример kill chain
🍭 The Vulnerability Extends Beyond Next.js. Рассуждения о том, к чему еще можно «применить» уязвимость
🍭 PoC Breakdown. Разбор примера реализации атаки
В статье множество деталей, примеров, комментариев и ссылок.
Самое то для того, чтобы разобраться что к чему!
wiz.io
React2Shell Deep Dive: CVE-2025-55182 Exploit Mechanics | Wiz Blog
A technical deep dive into React2Shell (CVE-2025-55182): deserialization bugs, gadget-chains, framework-wide impact, and real-world exploitation data.
OWASP-Top-10-for-Agentic1.pdf
1.2 MB
OWASP Top 10 For Agentic Applications 2026
Всем привет!
В декабре 2025 года вышел еще один материал, посвященный безопасности при работе с AI, а именно при работе с агентами.
Документ можно скачать в приложении к посту, ~ 58 страниц для изучения.
Представлены следующие уязвимости:
🍭 ASI01: Agent Goal Hijack
🍭 ASI02: Tool Misuse & Exploitation
🍭 ASI03: Identity & Privilege Abuse
🍭 ASI04: Agentic Supply Chain Vulnerabilities
🍭 ASI05: Unexpected Code Execution (RCE)
🍭 ASI06: Memory & Context Poisoning
🍭 ASI07: Insecure Inter-Agent Communication
🍭 ASI08: Cascading Failures
🍭 ASI09: Human-Agent Trust Exploitation
🍭 ASI10: Rogue Agents
Для каждой из рассматриваемых уязвимостей приводится ее описание, примеры, примеры атак с ее «использованием», рекомендации по устранению и ссылки на полезные материалы по теме.
Дополнительно приводится соотношение рассматриваемых уязвимостей с ключевыми «логическими блоками»: Inputs, Integration/Processing и Outputs.
Всем привет!
В декабре 2025 года вышел еще один материал, посвященный безопасности при работе с AI, а именно при работе с агентами.
Документ можно скачать в приложении к посту, ~ 58 страниц для изучения.
Представлены следующие уязвимости:
🍭 ASI01: Agent Goal Hijack
🍭 ASI02: Tool Misuse & Exploitation
🍭 ASI03: Identity & Privilege Abuse
🍭 ASI04: Agentic Supply Chain Vulnerabilities
🍭 ASI05: Unexpected Code Execution (RCE)
🍭 ASI06: Memory & Context Poisoning
🍭 ASI07: Insecure Inter-Agent Communication
🍭 ASI08: Cascading Failures
🍭 ASI09: Human-Agent Trust Exploitation
🍭 ASI10: Rogue Agents
Для каждой из рассматриваемых уязвимостей приводится ее описание, примеры, примеры атак с ее «использованием», рекомендации по устранению и ссылки на полезные материалы по теме.
Дополнительно приводится соотношение рассматриваемых уязвимостей с ключевыми «логическими блоками»: Inputs, Integration/Processing и Outputs.
👍6
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Прием заявок на доклады БеКон 2026 уже открыт! Единственная конференция по безопасности контейнерных технологий ждет ваших заявок ;)
И тут у нас есть нововведение. Теперь на конференции будет не
1 трек - Ингредиенты
Данный трек посвящен технологиям. Он для инженеров, кто воплощает задуманное на практике. Этот трек у нас был и в предыдущие года, и будет продолжать радовать глубокими техническими докладами.
2 трек - Рецепты
Данный трек посвящен людям, командам и процессам связанным с безопасностью контейнеров и
P.S. Как всегда будем рады обсудить и помочь сформировать заявку если у вас есть мысль/идея, но вы не уверены в ней.
P.S.S. Будем признательны за репост!
И тут у нас есть нововведение. Теперь на конференции будет не
1, а 2 трека. При этом у них есть строгое логическое разграничение.1 трек - Ингредиенты
Данный трек посвящен технологиям. Он для инженеров, кто воплощает задуманное на практике. Этот трек у нас был и в предыдущие года, и будет продолжать радовать глубокими техническими докладами.
2 трек - Рецепты
Данный трек посвящен людям, командам и процессам связанным с безопасностью контейнеров и
Kubernetes. Он для С-level, Leads, которые продумывают и выстраивают все в компании. Этот трек как раз новинка и призван расширить спектр докладов.P.S. Как всегда будем рады обсудить и помочь сформировать заявку если у вас есть мысль/идея, но вы не уверены в ней.
P.S.S. Будем признательны за репост!
👍5❤1🔥1
Grant: анализ лицензионной чистоты
Всем привет!
Есть 3 CLI утилиты – Syft, Grype и Grant. Syft создаем SBoM-файлы разных форматов как на образы контейнеров, так и на исходные тексты.
Grype получает «на вход» SBoM-файл, полученный от Syft, и предоставляет отчет о наличии уязвимостей в найденных пакетах.
Grant работает аналогично, но на выходе получается отчет, в котором собрана информация о лицензиях используемых компонентов.
Кроме этого, он «распределяет» лицензии по уровням «риска»: permissive, weak copyleft, strong copyleft.
И, конечно же, генерирует отчеты: табличный формат или JSON-файл.
Больше про Grant можно узнать в GitHub-репозитории или в официальной документации на утилиту.
P.S. На ваш взгляд - надо ли обращать внимание ИБ-специалистам на анализ лицензионной чистоты при работе с open-source или это "чья-то еще задача"?
Всем привет!
Есть 3 CLI утилиты – Syft, Grype и Grant. Syft создаем SBoM-файлы разных форматов как на образы контейнеров, так и на исходные тексты.
Grype получает «на вход» SBoM-файл, полученный от Syft, и предоставляет отчет о наличии уязвимостей в найденных пакетах.
Grant работает аналогично, но на выходе получается отчет, в котором собрана информация о лицензиях используемых компонентов.
Кроме этого, он «распределяет» лицензии по уровням «риска»: permissive, weak copyleft, strong copyleft.
И, конечно же, генерирует отчеты: табличный формат или JSON-файл.
Больше про Grant можно узнать в GitHub-репозитории или в официальной документации на утилиту.
P.S. На ваш взгляд - надо ли обращать внимание ИБ-специалистам на анализ лицензионной чистоты при работе с open-source или это "чья-то еще задача"?
GitHub
GitHub - anchore/grant: A license scanner for container images and filesystems.
A license scanner for container images and filesystems. - anchore/grant
❤9👍4