Abusing GitLab Runners
https://frichetten.com/blog/abusing-gitlab-runners/

DevSecOps for .NET Core

Еще одна книга в коллекцию "почитать на потом". На этот раз про безопасный DevOps около .NET Core нагрузок. Здесь же вы сможете прочитать про встраивание безопасности в pipeline, deploy на безопасный Docker, Kubernetes и публичные облака.

#literature #dev #ops

DevSecOps & Swordfish Security

Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.

Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин

- DevSecOps: tips and tricks

- "AppSec как код" offzone 2018

- "Когда охотник становится жертвой" offzone2019

- AppSec, ключ на старт! / Юрий Сергеев

- DevSecOps или как встроить проверки информационной безопасности в микросервисы.

- Безопасность Docker

- Обзор утилит безопасности Docker

#bestpractice #tools #docker #talks #dev #ops

DevSecOps Leadership Forum Online

Вторая новость в продолжение этой - 30 июля в 15:30 по МСК пройдет конференция Sonatype при поддержке Swordfish Security "DevSecOps Leadership Forum Online" на русском языке.

15:30 - Вступительное слово Swordfish Security
15:45 - DevSecOps - чего нам не хватает, Сергей Белов, Acronis
16:15 - Соблюдай технику безопасности! Александр Киверин, Ak Bars Digital
17:15 - Разработчики, которые удовлетворены своей работой, пишут более безопасный код, Ирина Тишельман, Sonatype

Также будут выступать коллеги из ВТБ. Их доклад пока не заявлен.

#talks #dev #ops

False Positive: Dependency Check, Dependency Track and Nexus IQ

Просканировал уязвимый java-проект dvja тремя инструментами SCA: open-source Dependency Check, Dependency Track и платным продуктом Nexus IQ. Для каждой выявленной CVE сделал ревью и вот что предварительно получилось - 65% фолзов для Dependency Check, 52% для Dependency Track и только 10 для Nexus IQ.

Казалось бы, откуда тут фолзы? Так как open source инструменты строят на базе выявленной компоненты CPE-строку, после чего лезут в NVD за CVE для этой компоненты, то могут возникать ошибки - несоответствие CVE к выявленной компоненте, несоответствие CVE к выявленной версии и дублирование CVE (отображение несколько CVE об одной и той же уязвимости). Nexus в данном случае выиграет за счет того, что Sonatype расширили каждую CVE, указав уязвимый класс, функцию и проведя дополнительные ресерчи.

Чуть попозже надеюсь, что оформим это все в статью, чтобы все могли познакомиться с ревью поглубже.

#sca #tools #dev

State of Open Source Security Report 2020

Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world

#report #sca #dev

AWS Lambda Abuse

Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.

Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям

https://luminousmen.com/post/aws-lambda-abuse

#aws #ops #attack

Microservices Security in Action

Brief content:
- Microservices security landscape
- First steps in securing microservices
- Securing north/south traffic with an API gateway
- Accessing a secured microservice via a single-page application
- Engaging throttling, monitoring, and access control
- Securing east/west traffic with certificates
- Securing east/west traffic with JWT
- Securing east/west traffic over gRPC
- Securing reactive microservices
- Conquering container security with Docker
- Securing microservices on Kubernetes
- Securing microservices with Istio service mesh
- Secure coding practices and automation

#literature #k8s #docker #ops

Sysdig подготовили 12 рекомендаций по поводу сканирования образов контейнеров.

Рассказывают о скане на этапе сборки, так и в реджистри. Ну и немного рекламируют свою платформу

#kubernetes #security

“There’s something truly special happening in the static analysis world”

Daniel Cuthbert, соавтор OWASP ASVS, запустил трэд в твиттере, который начинается со слов о том, что современные SAST тяжелые, монолитные и весьма неуклюжие для встраивания в CI/CD за такую большую стоимость. По его мнению, чтобы "не тратить сотни тысяч на динозавров" стоит обратить внимание на LGTM и Semgrep, которые по его словам стали частью друг друга (подтверждению этому я не нашел). Далее он приводит несколько примеров использования Semgrep в проектах.

LGTM - облачная платформа для сканирования кода в GitHub от компании Semmle, которая в конце того года стала частью GitHub. Semmle также являются автором CodeQL, применение которого было анонисировано GitHub на своей онлайн-конференции Satellite.

Semgrep - CLI-инструмент для выполнения статического анализа за счет самописных правил. Semgrep совмещает в себе grep + Abstract Syntax Tree (AST) + dataflow, что делает его довольно удобным для поиска. К Semgrep есть также интерактивный редактор и встроенные правила от OWASP. Вот также статья про использование Semgrep.

#tools #sast #dev

GitHub Public Roadmap

Кстати, еще немного про GitHub. Недавно они опубликовали свой Roadmap в открытый доступ, с которым вы уже можете ознакомиться. По ссылке можно увидеть то, что относится к security.

https://github.com/github/roadmap/projects/1?card_filter_query=label%3A%22security+%26+compliance%22

#news #dev

Awesome DevSecOps

Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.

DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis

А еще есть русская версия Awesome DevSecOps.

#tools #bestpractice #web #fuzzing #sast #dast #dev #ops

So I Heard You Want to Learn Kafka

Kafka является мощной распределенной платформой для потоковой обработки сообщений от различных источников (брокер сообщений). Про эту платформу в разрезе безопасности есть отдельная часть в книге "Безопасный DevOps" . К вашему вниманию обзорная статья So I Heard You Want to Learn Kafka про безопасность Kafka, а именно шифрование, аутентификацию и авторизацию. Статья входит в серию статей Kubernetes Primer for Security Professionals, где также можно найти The Current State of Kubernetes Threat Modelling про моделирование угроз k8s, My Arsenal of Cloud Native (Security) Tools и так далее. Кстати, в статье приведена лаба k8s-lab, в компоненты которой входит Kafka, Zookeeper, KafkaExporter, Entity Operator.

Документация по Kafka Security с Confluent.

#tools #ops

Materialize threats tool

materialize_threats - любопытный open-source инструмент для моделирования угроз на базе STRIDE.

Сценарий работы с ним следующий:
1. Создание диаграммы взаимодействия компонентов в .drawio, согласно вашему data flow
2. Выделение доверенных зон на диаграмме, согласно Rapid Threat Model Prototyping methodology (в readme есть пояснение)
3. Сохранение файла .drawio
4. Запуск materialize.py с импортом файла .drawio
5. Получение сценария реалзиации угроз в формате Gherkin

Пока что инструмент для прода не пригоден, но внимания определенно заслуживает. Похожая схема моделирования угроз работает в Enterpise решении irius risks.

#tools #threatmodeling #dev #ops

Container Breakouts

Серия статей, посвященная тому, как происходит выход за пределы контейнера. Об этой угрозе часто можно услышать от маркетологов решений по Container Runtime Security, но время разобраться, как это происходит на самом деле.

Part 1: Access to root directory of the Host
Part 2: Privileged Container
Part 3: Docker Socket

Также автор предлагает познакомиться с CVE-2019-5736, CVE-2019-14271, а также со статьей "Abusing Privileged and Unprivileged Linux Containers "

Для того, чтобы предотвратить возможность выхода за пределы контейнера, Clint Gibler написал отдельный перечень инструментов тестирования.

#docker #ops #attack

Introducing the State of Open Source Terraform Security Report 2020

Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.

Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».

Сам отчет можно посмотреть здесь.

Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.

#report #terraform #aws #azure #gcp #dev #ops