Ingress -> Gateway

Всем привет!

В марте 2026 закончится развитие и поддержка Ingress NGINX (если вы вдруг пропустили, то мы писали об этом вот тут).

Одним из возможных кандидатов для «переезда» является Gateway API.

Чтобы немного упростить и автоматизировать процесс можно воспользоваться проектом ingress2gateway. Он создан и поддерживается разработчиками Kubernetes.

Если просто, то он делает следующее:
🍭 Использует kubeconfig файл для того, чтобы иметь возможность «общения» с кластером
🍭 Ищет ресурсы Ingress NGINX в указанном namespace
🍭 Конвертирует найденные ресурсы в спецификацию, «понятную» Gateway API (на текущий момент только Gateways и HTTPRoutes)

Да, не совсем «полноценный переезд», но может сэкономить некоторое время.

Кстати, ingress2gateway поддерживает не только Ingress NGINX, но и другие провайдеры.

С установкой, запуском и возможными опциями можно ознакомиться в GitHub-репозитории проекта.

А какой Ingress вы выбрали для себя на замену?

Безопасность Supply Chain на примере npm

Всем привет!

В обновленной версии OWASP Supply Chain сразу попала на 3ье место, Shai-Hulud продолжает уничтожать Атрейдесов и Харконненов атаковать npm – лишь немногие подтверждения того, что вопрос обеспечения цепочки поставки ПО крайне важен.

В статье от SNYK можно найти набор рекомендаций о том, что можно сделать, чтобы повысить уровень безопасности при работе с заимствованными компонентами на примере npm.

Всего доступно 12 рекомендаций:
🍭 Disable post-install scripts
🍭 Install with cooldown
🍭 Harden installs with npq
🍭 Prevent lockfile injection
🍭 Use deterministic installs и т.д.

Для каждой рекомендации приводится краткое описание зачем это нужно и примеры реализации соответствующих настроек.

Отличное руководство, в котором содержится много полезной информации.

Рекомендуем!

ИБ-аудит KubeVirt

Всем привет!

KubeVirt – open-source проект, представляющий из себя «надстройку» над Kubernetes, которая позволяет управлять виртуальными машинами вместе с контейнерами в одном кластере.

И да, даже для open-source проектов проводят внешние аудиты по информационной безопасности.

KubeVirt не стал исключением. Его исследовала команда Quarkslab.

Было найдено:
🍭 1 High-уязвимость (Arbitrary Host File Read and Write)
🍭 7 Medium-уязвимостей (Authentication Bypass in Kubernetes Aggregation Layer, Arbitrary Container File Read и т.д.)
🍭 4 Low-уязвимости (Host devices exposed by KubeVirt are accessible clusterwide, Lack of Common Name (CN) Verification in TLS Certificates)
🍭 3 Info-уязвимости (Crash Triggered by Unoptimized Build, Unhandled Exception Leads to a Crash)

Для эксплуатации большинства уязвимостей требуется выполнение ряда условий: например, повышенные привилегии, доступ на узел кластера и т.д.

Больше подробностей можно найти в прилагаемом файле (~ 108 страниц).

А как вы считаете? Open-source более/менее безопасен, чем коммерческое ПО? Или нет никакой разницы?

Ingress NGINX -> HAProxy Kubernetes Ingress Controller

Всем привет!

Недавно мы писали об утилите, которая позволит упростить переход с Ingress NGINX на Gateway API. Это не единственный вариант.

Но что, если вы не хотите использовать Gateway API, а хотите остаться на Ingress? В этом случае вам может быть полезен вот этот сайт.

Помимо базовой информации о том, как установить новый Ingress Controller, сайт поможет адаптировать существующие Ingress NGINX-конфигурации на HAProxy-вариант.

Например, за счет «подсказок» о том, как выглядит та или иная аннотация в обоих вариантах и что нужно изменить.

Помимо этого, сервис предоставляет ссылки на документацию, чтобы проще было в ней ориентироваться и сразу получат ответ на интересующий вопрос.

«Вишенкой» является набор руководств (tutorial), в которых собраны подобные инструкции о том, как настроить, например, Route HTTP traffic, Load balance traffic, Terminate SSL/TLS и т.д.

Technology Matrix: альтернативный взгляд на CNCF Landscape

Всем привет!

Если вы хотя бы раз видели CNCF Landscape, то, вероятно, у вас возникало несколько мыслей: «Как тут много всего!» и «А как с этим работать?».

Он развивается, обновляется, решений становится больше и… навигация в нем может быть не самой удобной.

Примерно так решил Автор статьи и сделал собственный вариант – Technology Matrix.

Задача – сделать работу с невероятным количеством технологий более удобной, наглядной и понятной.

Автор разбил все на 7 основных «областей»:
🍭 Skip. Пока не интересует
🍭 Watch. Наблюдение за проектом, чтение release notes и т.д.
🍭 Explore. «Тестирование» - базовая установка и настройка, прохождение различных руководств. Без особого погружения
🍭 Learn. «Продвинутая» версия Explore – более глубокое изучение
🍭 Adopt. Использование в «реальной жизни», готово к промышленной эксплуатации
🍭 Advocate. Евангелизм: не просто использование, но и распространение информации о технологии
🍭 Graveyard. Без комментариев

Для некоторых технологий Автор описывает почему он их использует, что именно ему нравится и почему он остановился на этом варианте.

Больше информации про Technology Matrix можно найти по ссылке.

Возможно, если вы любите структурировать информацию, предложенный подход может вас заинтересовать.

Анализ безопасности приложений с Raptor

Всем привет!

Raptor – open-source проект, использующий Claude Code для проверки безопасности разрабатываемого приложения.

И да – это акроним: Recursive Autonomous Penetration Testing and Observation Robot (если кому-то это интересно 😅).

Он позволяет:
🍭 Сканировать исходный код с Semgrep и CodeQL
🍭 Проводить fuzzing исполняемых файлов с AFL
🍭 Анализировать идентифицированные ИБ-дефекты с применением LLM
🍭 Генерировать exploits для подтверждения возможности эксплуатации ИБ-дефекта
🍭 Предлагать исправления для устранения ИБ-дефектов
🍭 Создавать отчеты в структурированном формате

Есть 2 режима установки – «самостоятельная» и c использованием devcontainer.

Подробнее об этом и о возможностях Raptor можно узнать в GitHub-репозитории проекта.

Kubeterm: GUI для Kubernetes

Всем привет!

Начинаем рабочую неделю с чего-то простого, а именно – Kubeterm. Да, это еще один графический web-интерфейс для Kubernetes.

С его помощью можно:
🍭 Аутентифицироваться в кластере Kubernetes
🍭 Просматривать общую информацию о кластере
🍭 Получать данные о созданных ресурсах
🍭 Управлять ресурсами: создавать, редактировать удалять и т.д. В том числе с использованием Helm
🍭 Искать причины возникших проблем (troubleshooting) через ephemeral-контейнеры
🍭 Реализовывать port-forward и не только

Устанавливается и настраивается быстро, можно сразу использовать. С «внешним видом» можно ознакомиться по ссылке на GitHub-репозиторий.

P.S. Можно установить даже на iOs и Android 😅

SecureCodeChallenges

Всем привет!

По ссылке доступен репозиторий, в котором находится небольшое уязвимое приложение.

Ваша цель – провести его Security Review. Найти все ИБ-дефекты, объяснить насколько они критичны, предложить рекомендации и реализовать «защищенную версию».

«Доступен» следующий набор ИБ-дефектов:
🍭 SQL Injection
🍭 Stored XSS
🍭 Insecure Query Building
🍭 Missing Validation and Sanitization
🍭 Poor Handling of User Input
🍭 Lack of Output Encoding

Приложение создано с использованием Node.js, React, SQLite, Simple REST API. Соответственно, для установки и запуска потребуется Node.js.

Дальше все просто – скачиваем репозиторий, устанавливаем зависимости, запускаем приложение, получаем к нему доступ по порту 3000 и исследуем.

OWASP AI Testing Guide

Всем привет!

Мы не часто пишем про AI, но мимо такого пройти просто невозможно! В ноябре OWASP выпустили AI Testing Guide.

Документ получился очень массивный – около 250 страниц. Скачать его можно в приложении.

Материал «разбит» на 4 основные части:
🍭 Introduction
🍭 Threat Modeling AI Systems
🍭 OWASP AI Testing Guide Framework
🍭 Appendices and References

Самое «мясо» как раз находится в разделе «OWASP AI Testing Guide Framework».

В нем Авторы рассказывают о том, как и что можно проверить в соответствии с OWASP Top 10 для AI.

Описываются цели тестирования, сама суть атаки, примеры, способы минимизации рисков и средства автоматизации, которые могут быть полезны.

Однозначно рекомендуем!

P.S. А как вы смотрите на то, чтобы помимо DevSecOps мы бы еще писали про безопасность ML в этом канале? Если интересно – ставьте 🔥 под постом!

MCP Breach-to-Fix Labs

Всем привет!

По ссылке доступен набор из 9 лабораторных работ, посвященных вопросам безопасности при работе с MCP.

Все сценарии проверены Автором и не являются теоретическими. Они помогут лучше понять «что может пойти не так» при работе с MCP и как сделать лучше.

Доступны такие лабораторные, как:
🍭 Hidden Instructions in Tool Responses
🍭 Log Poisoning Incident Response
🍭 Classic SQL Injection (Stored Prompt)
🍭 Git Command Injection
🍭 Tool Description Poisoning и не только

У каждого сценария есть 2 «режима»: уязвимый и безопасный (hardened-вариант, который остановит атаку).

Запуск – как обычно, через Docker – инструкции можно найти в GitHub-репозитории.

Больше информации о проекте можно найти в статье.

Building Secure AI Applications

Всем привет!

В приложении можно скачать небольшой методический материал (~ 40 страниц), посвященный тому, на что обращать внимание при обеспечении ИБ при разработке приложений, использующих AI.

Материал основан на OWASP Top 10 для LLM:
🍭 LLM01 Prompt Injection
🍭 LLM02 Sensitive Information Disclosure
🍭 LLM03 Supply Chain
🍭 LLM04 Data and Model Poisoning
🍭 LLM05 Improper Output Handling и не только

Для каждого раздела описаны общие рекомендации по повышению уровня защищенности и перечень инструментов, которые можно использовать для автоматизации.

Дополнительно в материале представлена концептуальная архитектура с соотношением рассматриваемых угроз.

Использование LLM для анализа PR

Всем привет!

Как быть, если надо анализировать около 10,000 PR, создаваемых еженедельно? Вариант ответа на этот вопрос можно найти в статье от DataDog.

В ней Авторы описывают свой опыт создания BewAIre – специализированного инструмента, который позволяет определить является ли PR вредоносным.

Команда разбила задачу на 3 блока:
🍭 Управление набором данных (dataset, создание, актуализация)
🍭 Работа с «контекстными окнами» и большими размерами данных
🍭 Сокращение ложных срабатываний

Каждый из разделов очень хорошо описан в статье, включая перечень подходов, используемых Командой.

В результате у них получилось достичь приличных показателей: > 99.3% - точность, 0.03% - FP, 100% - покрытие.

Больше подробностей, включая описание «подводных камней» и lessons learned, можно найти в самой статье.

Всем привет!

Обсудили на подкасте с коллегами из Crosstech Solutions Group безопасную разработку, DevSecOps, безопасность контейнерной инфраструктуры и боли-печали всех тех, кто этим занимается. Приятного просмотра (или прослушивания ☺️)

Яндекс Музыка
ВК
Rutube

Web LLM attacks

Всем привет!

На сайте Web Security Academy от PortSwigger можно найти небольшой урок, посвященный атакам на LLM.

Он состоит из разделов:
🍭 Overview
🍭 Exploiting LLM APIs, functions and plugins
🍭 Indirect prompt injection
🍭 Leaking sensitive training data
🍭 Defending against LLM attacks

Как и любой материал на в Web Security Academy урок состоит из нескольких частей: теоретическая и практическая.

На текущий момент доступно 4 лабораторные работы: Exploiting LLM APIs with excessive agency, Exploiting vulnerabilities in LLM APIs, Indirect prompt injection и Exploiting insecure output handling in LLMs.

Understanding Linux Capability Sets

Всем привет!

Хорошей практикой для защиты контейнеров (да и не только) является ограничение Linux Capabilities, что позволяет контролировать их (контейнеров) возможности и может быть использовано для сокращения поверхности атаки.

Но как это устроено и что происходит «на самом деле»? Если вам интересно ознакомиться с базовыми концептами, то эта статья для вас!

Автор рассматривает:
🍭 «Типы» capabilities (File, Process)
🍭 Capability Sets (Bounding, Permitted, Effective)
🍭 Процесс «вычисления» итогового набора
🍭 Работа Capabilities в Kubernetes

Статья небольшая, но очень наглядная. Самое то, чтобы понять основы и принципы назначения итогового набора возможностей.

Много примеров, пояснений и диаграмм. Рекомендуем!

React2Shell: подробный разбор

Всем привет!

Все так! Про React2Shell было очень много новостей, много всего написано, но!

Если вы по какой-то причине его пропустили или не было времени разобраться, то эта статья может быть вам полезна.

В ней ребята из Wiz очень подробно разбирают что это такое и как это работает.

Статья содержит разделы:
🍭 Introduction. Общая информация о
🍭 Exploitation in The Wild. Разбор, в котором рассматривается сокращенный пример kill chain
🍭 The Vulnerability Extends Beyond Next.js. Рассуждения о том, к чему еще можно «применить» уязвимость
🍭 PoC Breakdown. Разбор примера реализации атаки

В статье множество деталей, примеров, комментариев и ссылок.

Самое то для того, чтобы разобраться что к чему!

OWASP Top 10 For Agentic Applications 2026

Всем привет!

В декабре 2025 года вышел еще один материал, посвященный безопасности при работе с AI, а именно при работе с агентами.

Документ можно скачать в приложении к посту, ~ 58 страниц для изучения.

Представлены следующие уязвимости:
🍭 ASI01: Agent Goal Hijack
🍭 ASI02: Tool Misuse & Exploitation
🍭 ASI03: Identity & Privilege Abuse
🍭 ASI04: Agentic Supply Chain Vulnerabilities
🍭 ASI05: Unexpected Code Execution (RCE)
🍭 ASI06: Memory & Context Poisoning
🍭 ASI07: Insecure Inter-Agent Communication
🍭 ASI08: Cascading Failures
🍭 ASI09: Human-Agent Trust Exploitation
🍭 ASI10: Rogue Agents

Для каждой из рассматриваемых уязвимостей приводится ее описание, примеры, примеры атак с ее «использованием», рекомендации по устранению и ссылки на полезные материалы по теме.

Дополнительно приводится соотношение рассматриваемых уязвимостей с ключевыми «логическими блоками»: Inputs, Integration/Processing и Outputs.

Grant: анализ лицензионной чистоты

Всем привет!

Есть 3 CLI утилиты – Syft, Grype и Grant. Syft создаем SBoM-файлы разных форматов как на образы контейнеров, так и на исходные тексты.

Grype получает «на вход» SBoM-файл, полученный от Syft, и предоставляет отчет о наличии уязвимостей в найденных пакетах.

Grant работает аналогично, но на выходе получается отчет, в котором собрана информация о лицензиях используемых компонентов.

Кроме этого, он «распределяет» лицензии по уровням «риска»: permissive, weak copyleft, strong copyleft.

И, конечно же, генерирует отчеты: табличный формат или JSON-файл.

Больше про Grant можно узнать в GitHub-репозитории или в официальной документации на утилиту.

P.S. На ваш взгляд - надо ли обращать внимание ИБ-специалистам на анализ лицензионной чистоты при работе с open-source или это "чья-то еще задача"?

ChaosRoom: игровая симуляция Chaos Engineering

Всем привет!

Одним из способов проверить как поведет себя система «под давлением» является использование практик Chaos Engineering.

Однако, Новый Год все ближе, давления хочется все меньше…

Поэтому хотим вам сегодня рассказать про проект Chaos Room!

Он вдохновлен аналогичным проектом – KuberInvaders.

Суть проста – вы играете в игру, а в это время «умирают» pod или виртуальные машины. Как только все мертво – вы выиграли!

Доступно 3 игры:
🍭 Alien Shooter
🍭 Breakout
🍭 Zombie Shooter

Для запуска поддерживается AWS, Azure или Kubernetes.

Подробнее с проектом можно ознакомиться в GitHub-репозитории или вот в этой статье.

Там, помимо всего прочего, можно посмотреть, как все это выглядит ☺️

Векторы атак Cloud Native приложений

Всем привет!

Одним из нюансов обеспечения информационной безопасности Cloud Native приложений является то, что «классические» подходы перестают работать.

Нет, не глобально, а, скорее, с точки зрения процессов и средств автоматизации. Другая «скорость», другие подходы, фокус на автоматизацию – это все следует учитывать.

В статье Автор рассуждает о трех (по его мнению) основных векторах атак для таких приложений.

В его список попали:
🍭 Application-Layer Attacks
🍭 Supply Chain Compromises
🍭 Stolen Cloud Identities

Для каждого вектора он приводит его описание, примеры реализации из реальной жизни. В завершении приводятся его размышления о том, что с этим можно/нужно делать.

А вы согласны с таким списком? Или на ваш взгляд в него (с точки зрения именно «ключевых» векторов) стоит что-то добавить?