DevSecOps Talks
7.91K subscribers
96 photos
1 video
105 files
1.35K links
Рассказываем об актуальном в мире DevSecOps. Канал DevSecOps-команды "Инфосистемы Джет"
Download Telegram
AuthN/Z в Kubernetes

Всем привет!

Если вы хотели разобраться с тем, как работает аутентификация и авторизация в Kubernetes, но не знали с чего начать, то рекомендуем обратить внимание на вот эти статьи (1, 2, 3, 4).

В них Авторы очень детально, подробно и доступно объясняют что к чему и как это всё устроено.

Всего доступно 4 статьи:
🍭 Kubernetes Authentication: Users and Workload Identities. Как пользователи и ресурсы (нагрузки) аутентифицируются при взаимодействии с Kubernetes API Server
🍭 The mechanics of Kubernetes RBAC. Взаимосвязь Roles, ClusterRoles, ServiceAccounts, RoleBindings и ClusterRoleBindings
🍭 Implementing a custom Kubernetes authentication method. Настройка «стороннего» Identity Provider’a на примере LDAP-каталога
🍭 Authentication between microservices. Аутентификация запросов между несколькими сервисами, запущенными в кластере

Каждая статья достаточно большая сама по себе. В ней собрано много теоретических и практических примеров, а также много диаграмм, которые повышают читаемость и упрощают восприятие материала.

Самое «то» для погружения в механизмы аутентификации и авторизации в Kubernetes. Рекомендуем!
1
Jet SCALE: регулярный анализ безопасности ПО как сервис

Всем привет!

Сегодня хотим рассказать о запуске Jet SCALE - AppSec-as-a-Service для регулярного анализа безопасности разрабатываемого ПО.
Если коротко, это сервис для тех случаев, когда проверять код, зависимости, контейнеры, API и мобильные приложения нужно регулярно, но строить отдельную большую AppSec-команду, внедрять множество инструментов и разбирать бесконечный поток false positive - не хочется, не можется и вообще не успевается.

В основе Jet SCALE - технологическая платформа и команда AppSec-инженеров. Платформа берёт на себя автоматизированные проверки и корреляцию результатов, а эксперты помогают разобраться, где реальный риск, а где очередной false positive, который просто решил испортить день.

На выходе получается не отчёт ради отчёта, а подтверждённый и приоритизированный список уязвимостей, который можно превращать в задачи для разработки.

Что входит в сервис:
🍭 SAST - статический анализ кода
🍭 Secret Detection - поиск токенов, паролей, ключей и других секретов
🍭 SCA - анализ сторонних зависимостей
🍭 Image Security - анализ контейнерных образов
🍭 MAST - анализ безопасности мобильных приложений
🍭 DAST - динамический анализ приложений

Подключение сервиса не требует резкой перестройки текущих процессов разработки: Jet Scale можно встроить в существующий SDLC и использовать как регулярный контур AppSec-проверок. Поэтому сервис может быть полезен как компаниям, которые только выстраивают AppSec/DevSecOps-практику, так и командам, которым нужно масштабировать уже существующий процесс анализа безопасности.

В общем, если давно хотелось регулярный анализ безопасности ПО, но без превращения этого процесса в отдельный внутренний «мини-завод» по разбору сработок - рекомендуем обратить внимание.
3011🔥7👏4👍2👎1
Adventures with the Linux Command Line.pdf
4.1 MB
Приключения с Linux Command Line!

Всем привет!

Предлагаем вам начать новую рабочую неделю с… Linux Command Line! В приложении можно найти книгу (~ 263 страницы), в которой Автор рассказывает про возможности этого поистине мощного инструмента.

Что можно найти «внутри»:
🍭 Midnight Commander
🍭 Terminal Multiplexers
🍭 Различные «оболочки»
🍭 AWK
🍭 Vim (возможно там получится узнать, как из него выйти, но это не точно)
🍭 И много чего ещё

Материал подаётся в очень лёгкой и доступной форме – небольших «приключений», каждое из которых решает свою задачу.

Книга подойдёт всем – кто только начинает свой Linux-путь сможет разобраться что к чему, а те, кто уже давно владеет – скорее всего найдёт для себя нечто новое!
👍5😁51
Semgrep: оптимизация времени taint-анализа

Всем привет!

Taint-анализ в Semgrep появился достаточно давно. Сперва это был лишь taint в рамках одного файла.

Со временем, команда реализовала interfile-анализ, который позволял следить за «движением данных» более детально.

Были выделены основные сущности:
🍭 Sources. Ввод данных, контролируемый пользователем
🍭 Propagators. То, что «передавало» данные дальше по «потоку». Например, вызов библиотек и их функций
🍭 Sanitizers. Точки «контроля» и «очистки» данных
🍭 Sinks. Потенциально опасные участки кода, в которые могли попасть пользовательские данные

Для того, чтобы это работало, Semgrep «строил» taint-конфигурации, которые впоследствии анализировались для того, чтобы найти ответ на вопрос «Существует ли путь от source до sink?».

И вроде бы всё хорошо, но ввиду некоторых особенностей приходилось запускать taint-анализ несколько раз, что влияло на производительность и на скорость работы.

Однако! Этот нюанс был устранен в версии 1.158.0 и выше (правда только для pro engine). Команде удалось оптимизировать логику работы «движка» и достичь отличных результатов.

Что именно/почему/зачем и как – описано в статье. Помимо логики там представлены результаты тестирования на разных выборках и достигнутые командой показатели эффективности.
1
This media is not supported in your browser
VIEW IN TELEGRAM
Вам близки слова reconcile, CRD и controller-runtime? Тогда 30 июля есть повод выбраться на Kuber Community Day.

Конференция во второй раз пройдет в Москве. Участников ждут два потока технических докладов, мастер-класс по созданию Kubernetes-оператора, круглые столы и Arch Dating — короткие встречи с опытными архитекторами и инженерами, где можно обсудить не только технические вопросы, но и карьерное развитие.

В программе много любопытных докладов, например:

🍭 «Безопасность air-gapped мультикластерных сред: реалии российского enterprise»
Алиса Кириченко, «Штурвал»

Доклад о том, почему даже полностью изолированная инфраструктура не гарантирует безопасность. Какие риски сохраняются в air-gapped-средах, где чаще всего ошибаются команды и как проектировать такие системы без опасных иллюзий.


🍭 «Kubernetes — это всего пять сертификатов»
Артем Горячев, «Инфосистемы Джет»

История пути от специалиста техподдержки до Kubestronaut'а: зачем вообще нужны сертификаты, помогают ли они в карьере и как подготовиться к экзаменам без лишней боли.


🍭 «Мониторинг здоровья Kubernetes»
Илья Кукшинов и Дмитрий Тараненко, «СберЗдоровье»

Практический кейс, как оценивать «здоровье» кластера не только по CPU и readiness-пробам, но и через безопасность — с помощью Kyverno, Falco и автоматизированных offensive-проверок.


🍭 «От "хранилки" к supply chain platform. Эволюция, которую пропустило большинство команд»
Дмитрий Ключников, CodeScoring

О том, как менялось понимание артефактов и систем их хранения: от классических репозиториев до современных платформ, где главный вопрос уже не «можешь ли ты хранить артефакт?», а «можешь ли доказать, что он безопасен?».


Полная программа есть на сайте. Присоединиться можно как офлайн, так и онлайн — регистрация уже открыта.
773🔥3👍1💩1👌1
Kubernetes From Scratch.pdf
2.3 MB
Kubernetes From Scratch

Всем привет!

Продолжаем неделю базовых обучений для погружения в технологию.

В приложении можно найти небольшую книгу (~ 72 страницы), посвященную базовым концептам Kubernetes и способам работы с ними.

Материал содержит:
🍭 Архитектура Kubernetes, назначение каждого компонента и его роль
🍭 Основные сущности Kubernetes (те, с которыми предстоит работать большую часть времени)
🍭 Взаимодействие с кластером через kubectl
🍭 «Инструкцию» по установке и настройке своего первого кластера
🍭 Сетевое взаимодействие ресурсов в Kubernetes
🍭 Работа с хранилищами и не только

Материал хорош тем, что там нет ничего лишнего. Лишь лаконичные объяснения и примеры от Автора.

Поэтому книга может отлично подойти тем, кто только делает (или думает сделать) свои первые шаги в Kubernetes.

Изучение представленной в ней информации позволит более комфортно чувствовать себя при, а также при изучении официальной документации и сопровождающих материалов.

P.S. Поблагодарить Автора и написать ему слова благодарности можно вот тут.
🔥4👎1💩1💊1
Безопасны ли skills?

Всем привет!

Да, skills очень похожи на ту самую «волшебную таблетку» - стоит только пожелать и они сделают то, что хочется (по крайней мере так кажется).

Просторы сети предоставляют большой выбор на любой вкус и цвет! Соблазн слишком велик и хочется ими всеми пользоваться.

Но у медали всегда 2 стороны: некоторые skills не так «безобидны»: они могут красть чувствительные данные, перехватывать контроль над агентами и делать ещё много чего «интересного».

Из-за этого появился новый «класс» средств защиты – Skill Scanners, задача которых разобраться в том, что именно делает skill и, если это что-то «нехорошее» - сообщить пользователю, а ещё лучше – заблокировать такую активность.

Но любое средство защиты не идеально и всегда найдётся способ его «обойти». Именно эту задачу поставила себе команда Trail Of Bits!

Они проанализировали ClawHub’s Malicious Skill Detector, Skill Scanner от Cisco и все сканеры, доступные на skill.sh.

Итог? У команды получилось успешно «обойти» все сканеры и на всё про всё ушло менее одного часа.

Притом многие используемые техники оказались весьма «банальными». Как именно это получилось у Trail of Bits и что они сделали – описано в статье.

Рекомендуем!
3🔥2
EPSS v5

Всем привет!

Проблема расстановки приоритетов по устранению уязвимостей была всегда. Сперва для систематизации этого процесса была создана CVSS, которая позволяла оценить степень критичности уязвимости.

Но со значительным ростом уязвимостей этот подход перестал оправдывать себя. Особенно во времена, когда с использованием AI нахождение новых CVE сократилось до часов.

Да и не все из найденных сканерами уязвимостей достижимы или эксплуатируемы, или могут принести реальный ущерб.

Альтернативным предложением стала EPSS – система, которая (в теории) предоставляет ответ на вопрос: «С какой вероятностью эксплуатация той или иной CVE будет осуществлена в течение 30 дней?».

Да, звучит как некоторая магия и есть много скепсиса относительно этой системы. Хотя бы потому, что модель данных, алгоритмы и способы получения оценки не открыты полностью.

Тем не менее, подход развивается и недавно была представлена 5-ая версия EPSS. Согласно «разработчикам», она на 23% более эффективна, чем предыдущая версия.

К сожалению, что именно изменено не указано явно, лишь общие фразы: «улучшены техники моделирования», «улучшена калибровка» и т.д.

Подробнее об EPSSv5 можно прочесть тут и тут.

А что вы думаете по поводу использования EPSS для решения задачи расстановки приоритетов устранения уязвимостей?
4👍1🤡1
HackLabs: лабораторные работы по AppSec

Всем привет!

HackLabs – набор из 43 лабораторных работ по безопасной разработке. Да, большинство из них посвящено OWASP Top 10 (Web), но есть и иные задания.

Внутри можно найти:
🍭 Задания по OWASP Top-10 (Web) – от A1 до A10
🍭 Атаки на ИИ
🍭 Побег из контейнера
🍭 Ошибки, связанные с бизнес-логикой и не только

Задания распределены по уровням риска – Средний, Высокий, Критический. Дополнительно можно настроить «уровень сложности», влияющий на уровень защиты лабораторных работ.

Авторы даже позаботились о системе геймификации – есть раздел, позволяющий отслеживать прогресс и получать достижения.

А по завершению будет разблокирован бесплатный «сертификат», подтверждающий спешное прохождение всех лабораторных работ.

Подробности об установке, лабораторных работах, примеры того, как это выглядит можно найти в GitHub-репозитории проекта.

Единственный нюанс: ¿Hablas español? 😅
😁42🔥1
Meshery: self-service engineering platform

Всем привет!

Хотя так и может показаться из названия, но нет! Meshery это не ещё одно ServiceMesh-решение.

Meshery – это open-source платформа, которая позволяет управлять Kubernetes-based инфраструктурой и приложениями, которые на ней запущены.

Ключевой функционал Meshery можно разделить на блоки:
🍭 Управление жизненным циклом ИТ-инфраструктуры
🍭 Управление несколькими Kubernetes-кластерами и облаками из «единого окна»
🍭 Анализ производительности кластеров с возможностью генерации нагрузки на запущенные в кластере приложения
🍭 Получение информации о событиях, генерируемых ресурсами, запущенными в кластере
🍭 Возможность реализации GitOps-подхода для управления ресурсами кластера и не только

Это далеко не просто «ещё один Kubernetes UI», т.к. Платформа предлагает множество дополнительных возможностей.

Описать их все не получится, поэтому рекомендуем обратиться к документации, в которой всё достаточно подробно описано.

P.S. Проект уже отмечен CNCF и находится у них в Sandbox!
GraphQL Cop: аудит безопасности GraphQL

Всем привет!

GraphQL Cop – open-source утилита, которая позволяет выявлять ИБ-дефекты при работе с GraphQL API.

С её помощью можно протестировать API еще до того, как он попадёт в среду эксплуатации.

Грубо говоря, набор скриптов, которые идентифицируют ИБ-дефекты и которые можно встроить, например, в конвейер непрерывной сборки.

Она поддерживает следующий набор тестов:
🍭 Batch Queries (DoS)
🍭 POST based Queries using urlencoded payloads (CSRF)
🍭 Field Suggestions (Info Leak)
🍭 Directives Overloading (DoS)
🍭 Mutation support over GET methods (CSRF) и не только

Утилита является небольшим Python-приложением, проста в установке. Возможен вариант с запуском через Docker-контейнер.

Из приятного – на выходе она предоставляет, в том числе, cURL-команду, которую можно использовать для воспроизведения теста локально.
Kogaro: «гигиена» Kubernetes

Всем привет!

При работе с Kubernetes-ресурсами важно понимать, какие есть недостатки в используемых конфигурациях. Это характерно как для ИБ, так и для ИТ.

Да, есть различные Policy Engine, для которых можно использовать существующие политики или написать свои и решить задачу.

Но, если нужно нечто минималистичное, что включает в себя множество самых «распространенных» проверок, то можно воспользоваться Kogaro.

Основная идея, которую он преследует – простота и полнота. «Внутри» он содержит более 60 проверок.

Они подразделяются на типы:
🍭 Reference Validation (11 проверок)
🍭 Resource Limits validation (10 проверок)
🍭 Security Validation (12 проверок)
🍭 Image Validation (5 проверок)
🍭 Networking Validation (9 проверок)

Конечно, его функциональность несравнима с Kyverno, OPA Gatekeeper и его аналогами, но! Иногда и правда требуется что-то простое, с чего можно начать.

Подробнее о способах установки, настройки и правилах проверки можно прочесть в GitHub-репозитории проекта.
👍3
K8s Diagram Generator

Всем привет!

Небольшой пятничный пост! K8s Diagram Generator – проект, при помощи которого можно создавать диаграммы связи сущностей ресурсов Kubernetes в графическом интерфейсе.

Работает очень просто: выбираете необходимые ресурсы (Ingress, Service, Deployment, Pod, Sidecar и т.д.), переносите их в «рабочую область» и «соединяете».

Ресурсы можно «адаптировать» - указывать Labels, наименования, необходимые порты, Selectors и т.д.

При создании схемы автоматически генерируются YAML-файлы, которые описывают созданную в диаграмме конфигурацию.

Можно и наоборот – загрузить YAML и тогда K8S Diagram Generator «построит» его графическое представление.

Реализованы проверки: например, нельзя настроить взаимосвязь между Deployment и Ingress без Service - K8s Diagram Generator явно сообщит об этом.

Дополнительно доступен небольшой набор «уроков» по написанию YAML-файлов.

Подробнее о проекте и его возможностях можно узнать в GitHub-репозитории.
👍4
OpenEverest: управление базами данных в Cloud Native

Всем привет!

OpenEverest – ещё один интересный проект из «песочницы» CNCF, задача которого – предоставить пользователю удобный инструмент управления базами данных в Cloud Native мире.

Его основная функциональность заключается в:
🍭 Автоматическое создание баз данных (с использованием простого и интуитивного UI)
🍭 Управление базами данных на всех этапах жизненного цикла (перезапуск, остановка, восстановление из резервных копий)
🍭 Управление безопасностью и резервным копированием (SSO, управление сессиями, TLS)
🍭 Мониторинг и помощь в поиске проблем c использованием PMM

Работает с MySQL, PostgreSQL и MongoDB в любых окружениях – облака, локальные и гибридные инсталляции, включая установку в Kubernetes.

Подробности о возможностях OpenEverest можно узнать в документации. Там много всего!

Рекомендуем ознакомиться ☺️
🤔3
GitHub и утёкшие секреты!

Всем привет!

Утечки секретов – очень парадоксальная вещь. Да, про это все знают. Да, никто не спорит, что так делать не надо. Да, репозитории сканируют.

Но секреты всё равно продолжают «утекать». И теперь не только из-за человеческого фактора (допустим, что это банальная «невнимательность»), но и из-за «машинного» фактора – AI тоже могут «слить в сеть» что-то важное.

Небольшой эксперимент провёл Автор статьи. Он проанализировал около 1443 GitHub-репозиториев и нашёл около 4000 подтверждённых секретов.
Из хорошего – после того, как он сообщил об утечке, 95% из них были обновлены в течение двух недель.

Для поиска секретов он использовал несколько подходов. Первый заключался в использовании LLM и простого prompt: «Найди в commit что-то, что может являться секретом» (пример полноценного prompt приведён в статье).

После этого Автор попросил модель предоставить ему шаблоны (patterns), на основании которых модель принимает решение об истинной природе секрета.

Это позволило улучшить результаты. Последним рубежом стало использование Trufflehog для того, чтобы найти ещё больше.

Результаты: статистика, интересные примеры того, что удалось найти, детальное описание подхода – всё это приведено в статье.

P.S. кстати, аналогичное упражнение делали и с GitLab. Про это мы писали вот тут.
Wapiti: сканер для поиска уязвимостей в Web!

Всем привет!

Wapiti – open-source сканер, который позволяет искать уязвимости в web-приложениях. Им просто управлять и настраивать, можно ставить сканирования на паузу и продолжать, добавлять собственные payloads и т.д.

Если говорить о поддерживаемых «атаках», то это:
🍭 Различные инъекции (SQL, LDAP, XXE и т.д.)
🍭 XSS (reflected, permanent)
🍭 File Disclosure
🍭 Folder and File Enumeration
🍭 CSRF Detection и не только

Для запуска потребуется Python 3.12, 3.13 или 3.14, а установить можно с использованием pip.

Подробнее с возможностями Wapiti можно ознакомиться в GitHub-репозитории, сайте или Wiki-странице проекта.
👍51