Validating Kubernetes YAML for best practice and policies
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s #dev #ops
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s #dev #ops
DAST operator
DAST operator - open-source инструмент, цель которого упростить запуск OWASP ZAP, запуская ZAP в качестве оператора Kubernetes. Сам OWASP ZAP деплоится в виде custom resources. Недавно разработчики анонсировали, что теперь dast-operator может принимать определения OpenAPI для сканирования. Согласно roadmap инструмент должен будет поддерживать также SQLmap, тестирование API и фаззинг.
https://banzaicloud.com/blog/auto-dast-openapi/
#tools #dast #k8s #dev
DAST operator - open-source инструмент, цель которого упростить запуск OWASP ZAP, запуская ZAP в качестве оператора Kubernetes. Сам OWASP ZAP деплоится в виде custom resources. Недавно разработчики анонсировали, что теперь dast-operator может принимать определения OpenAPI для сканирования. Согласно roadmap инструмент должен будет поддерживать также SQLmap, тестирование API и фаззинг.
https://banzaicloud.com/blog/auto-dast-openapi/
#tools #dast #k8s #dev
What Modern CI/CD Should Look Like
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
Tools for Cloud Examination
Thomas Chopitea, Incident responder в Google, рассказывает про опыт расследования инцидентов и реагирования на них в облаке, а также делится некоторыми полезными инструментами от Google (и не только). Среди них Turbnia, Timesketch, GiftStick.
Видео: Tools for Cloud Examination - Thomas Chopitea
Слайды: RandoriSec-Friends-Tools_for_Cloud_Examination_Thomas_Chopitea.pdf
#tools #gcp #ops
Thomas Chopitea, Incident responder в Google, рассказывает про опыт расследования инцидентов и реагирования на них в облаке, а также делится некоторыми полезными инструментами от Google (и не только). Среди них Turbnia, Timesketch, GiftStick.
Видео: Tools for Cloud Examination - Thomas Chopitea
Слайды: RandoriSec-Friends-Tools_for_Cloud_Examination_Thomas_Chopitea.pdf
#tools #gcp #ops
OWASP Software Component Verification Standard (SCVS)
SCVS - новый стандарт OWASP, направленый на определение и снижение рисков, связанных с цепочками поставок ПО. Риском, связанным с цепочкой поставок, является использование уязвимого open-source компонента в процессе разработки, нарушение целостности имеющихся пакетов в репозитории, нарушение лицензионных соглашений. Среди лучших практик SCVS - использование Software Composition Analysis, пакетных менеджеров, усиленных настроек к пайплайну сборки и другое.
#compliance #sca #dev
SCVS - новый стандарт OWASP, направленый на определение и снижение рисков, связанных с цепочками поставок ПО. Риском, связанным с цепочкой поставок, является использование уязвимого open-source компонента в процессе разработки, нарушение целостности имеющихся пакетов в репозитории, нарушение лицензионных соглашений. Среди лучших практик SCVS - использование Software Composition Analysis, пакетных менеджеров, усиленных настроек к пайплайну сборки и другое.
#compliance #sca #dev
Forwarded from Технологический Болт Генона
WebApplicationSecurity.pdf
20.1 MB
Andrew Hoffman. Web Application Security. Exploitation and Countermeasures for Modern Web Applications. 2020.
ЗЫ На сайте NGINX есть целый раздел с доступными книгами и отчётами
https://www.nginx.com/resources/library/
ЗЫ На сайте NGINX есть целый раздел с доступными книгами и отчётами
https://www.nginx.com/resources/library/
FWD: Cloudsec 2020
Выложены доклады с FWD: Cloudsec 2020 - конференции по облачной безопасности.
https://www.youtube.com/playlist?list=PLCPCP1pNWD7OBQvDY7vLCFhxWxok9DITl
#talks #ops
Выложены доклады с FWD: Cloudsec 2020 - конференции по облачной безопасности.
https://www.youtube.com/playlist?list=PLCPCP1pNWD7OBQvDY7vLCFhxWxok9DITl
#talks #ops
Reducing Our Attack Surface with AppSec Platform
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
FSecureLABS - Leonidas framework
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
DevSecOps: Фаззинг исходного кода — Борис Рютин и Павел Князев
Если не учитывать постоянное напрягающее ощущение от того, что докладчики считывают текст с экрана (тут кому как), доклад весьма интересен.
"С чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки"
Доклад - https://www.youtube.com/watch?v=PbC63weJsDM
Презентация - https://bit.ly/2Nfb3Ep
#tools #fuzzing #dev
Если не учитывать постоянное напрягающее ощущение от того, что докладчики считывают текст с экрана (тут кому как), доклад весьма интересен.
"С чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки"
Доклад - https://www.youtube.com/watch?v=PbC63weJsDM
Презентация - https://bit.ly/2Nfb3Ep
#tools #fuzzing #dev
Using SAFe to align cyber security and executive goals in an agile setting
Scaled Agile Framework® (SAFe®) - фреймворк, предназначенный для поддержания Agile-методологии внутри организации. В конце того года вышла 5-ая версия, в рамках которой безопасность считается non-functional requirment, то есть то, что относится к качеству.
В статье от F-Secure раскрывается то, как определить уровень безопасности на основе рисков, применимо к Agile, как оценить эти риски и как подтвердить проделанную работу для демонстрации соответствия нормативным требованиям. Основной упор в статье идет на встраивание моделирования угроз в SAFe.
https://www.f-secure.com/en/consulting/our-thinking/using-safe-to-align-cyber-security-and-executive-goals
#compliance #dev #ops
Scaled Agile Framework® (SAFe®) - фреймворк, предназначенный для поддержания Agile-методологии внутри организации. В конце того года вышла 5-ая версия, в рамках которой безопасность считается non-functional requirment, то есть то, что относится к качеству.
В статье от F-Secure раскрывается то, как определить уровень безопасности на основе рисков, применимо к Agile, как оценить эти риски и как подтвердить проделанную работу для демонстрации соответствия нормативным требованиям. Основной упор в статье идет на встраивание моделирования угроз в SAFe.
https://www.f-secure.com/en/consulting/our-thinking/using-safe-to-align-cyber-security-and-executive-goals
#compliance #dev #ops
Forwarded from Технологический Болт Генона
Abusing GitLab Runners
https://frichetten.com/blog/abusing-gitlab-runners/
https://frichetten.com/blog/abusing-gitlab-runners/
DevSecOps for .NET Core.epub
7.9 MB
DevSecOps for .NET Core
Еще одна книга в коллекцию "почитать на потом". На этот раз про безопасный DevOps около .NET Core нагрузок. Здесь же вы сможете прочитать про встраивание безопасности в pipeline, deploy на безопасный Docker, Kubernetes и публичные облака.
#literature #dev #ops
Еще одна книга в коллекцию "почитать на потом". На этот раз про безопасный DevOps около .NET Core нагрузок. Здесь же вы сможете прочитать про встраивание безопасности в pipeline, deploy на безопасный Docker, Kubernetes и публичные облака.
#literature #dev #ops
DevSecOps & Swordfish Security
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Swordfish Security.
Swordfish Security
Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки, позволяющий выявлять уязвимости, оперативно устранять проблемы и выпускать надежно защищенные продукты.
DevSecOps Leadership Forum Online
Вторая новость в продолжение этой - 30 июля в 15:30 по МСК пройдет конференция Sonatype при поддержке Swordfish Security "DevSecOps Leadership Forum Online" на русском языке.
15:30 - Вступительное слово Swordfish Security
15:45 - DevSecOps - чего нам не хватает, Сергей Белов, Acronis
16:15 - Соблюдай технику безопасности! Александр Киверин, Ak Bars Digital
17:15 - Разработчики, которые удовлетворены своей работой, пишут более безопасный код, Ирина Тишельман, Sonatype
Также будут выступать коллеги из ВТБ. Их доклад пока не заявлен.
#talks #dev #ops
Вторая новость в продолжение этой - 30 июля в 15:30 по МСК пройдет конференция Sonatype при поддержке Swordfish Security "DevSecOps Leadership Forum Online" на русском языке.
15:30 - Вступительное слово Swordfish Security
15:45 - DevSecOps - чего нам не хватает, Сергей Белов, Acronis
16:15 - Соблюдай технику безопасности! Александр Киверин, Ak Bars Digital
17:15 - Разработчики, которые удовлетворены своей работой, пишут более безопасный код, Ирина Тишельман, Sonatype
Также будут выступать коллеги из ВТБ. Их доклад пока не заявлен.
#talks #dev #ops
False Positive: Dependency Check, Dependency Track and Nexus IQ
Просканировал уязвимый java-проект dvja тремя инструментами SCA: open-source Dependency Check, Dependency Track и платным продуктом Nexus IQ. Для каждой выявленной CVE сделал ревью и вот что предварительно получилось - 65% фолзов для Dependency Check, 52% для Dependency Track и только 10 для Nexus IQ.
Казалось бы, откуда тут фолзы? Так как open source инструменты строят на базе выявленной компоненты CPE-строку, после чего лезут в NVD за CVE для этой компоненты, то могут возникать ошибки - несоответствие CVE к выявленной компоненте, несоответствие CVE к выявленной версии и дублирование CVE (отображение несколько CVE об одной и той же уязвимости). Nexus в данном случае выиграет за счет того, что Sonatype расширили каждую CVE, указав уязвимый класс, функцию и проведя дополнительные ресерчи.
Чуть попозже надеюсь, что оформим это все в статью, чтобы все могли познакомиться с ревью поглубже.
#sca #tools #dev
Просканировал уязвимый java-проект dvja тремя инструментами SCA: open-source Dependency Check, Dependency Track и платным продуктом Nexus IQ. Для каждой выявленной CVE сделал ревью и вот что предварительно получилось - 65% фолзов для Dependency Check, 52% для Dependency Track и только 10 для Nexus IQ.
Казалось бы, откуда тут фолзы? Так как open source инструменты строят на базе выявленной компоненты CPE-строку, после чего лезут в NVD за CVE для этой компоненты, то могут возникать ошибки - несоответствие CVE к выявленной компоненте, несоответствие CVE к выявленной версии и дублирование CVE (отображение несколько CVE об одной и той же уязвимости). Nexus в данном случае выиграет за счет того, что Sonatype расширили каждую CVE, указав уязвимый класс, функцию и проведя дополнительные ресерчи.
Чуть попозже надеюсь, что оформим это все в статью, чтобы все могли познакомиться с ревью поглубже.
#sca #tools #dev
sooss_2020_final_v2.pdf
9.7 MB
State of Open Source Security Report 2020
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
AWS Lambda Abuse
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack