Атаки на GitHub Workflows и способы защиты от них

Всем привет!

В очередном отличном материале от OpenSSF рассматриваются возможные векторы атак на GitHub Workflows и рекомендации по защите.

Авторы проанализировали сценарии:
🍭 Запуск недоверенного кода в привилегированных Workflows
🍭 Внедрение вредоносного кода
🍭 Выпуск вредоносных релизов
🍭 Небезопасное использование cache и не только

В начале статьи приводятся основные термины – что понимается под Privileged Workflow, какие события могут запустить Workflow, что считать недоверенными данными и т.д.

Далее для каждого вектора приводится его «логическое описание», примеры реализации и способы по устранению недостатков. С пояснениями, кодом и примерами

Application Security Handbook

Всем привет!

По ссылке можно найти Application Security Handbook, которая является «логическим продолжением» Application Security Cheat Sheet (о которой мы писали тут).

Внутри собрана информация о:
🍭 AuthN/Z
🍭 Cookie Security
🍭 File upload
🍭 Input validation
🍭 Session Management и не только

Handbook не «привязан» к какому-либо языку. Каждый раздел содержит набор рекомендаций о том, что стоит делать и о том, чего лучше избегать.

Например, перечень «точек входа», которые надо контролировать: параметры запросов, HTTP-заголовки, Cookies, тело запроса и т.д.

Материал минималистичен: в нем нет «воды», только набор рекомендаций по тематикам, описанным выше.

Может пригодиться при создании собственной базы знаний по безопасной разработке 😊

Netfetch: анализ сетевых политик Kubernetes

Всем привет!

Netfetch – утилита, которая позволяет проанализировать контроль сетевого трафика в кластере Kubernetes при помощи Network Policies.

С использованием Netfetch можно:
🍭 Получить сведения о pods, на которые не распространяются сетевые политики
🍭 Визуализировать информацию о pods и network policies в интерактивной карте
🍭 Создать Network Policies в случае их отсутствия
🍭 Просканировать определенную политику, чтобы получить информацию о pods, на которые она «действует» и не только

Nefetch представляет из себя CLI-утилиту и интерактивный dashboard, который отображает информацию, описанную выше.

Утилита работает со следующими видами Network Policies: Native, Cilium и Calico.

Больше информации – примеры использования, демонстрация возможностей и внешний вид UI – все это можно найти в repo проекта.

Замена StatefulSets на Custom Operator: опыт Timescale

Всем привет!

На протяжении некоторого времени команда Timescale использовала StatefulSets для того, чтобы управлять клиентскими database pods и их volumes.

Однако, у StatefulSets есть ряд неудобств, например: «неизменность» VolumeClaimTemplate; нюансы, связанные с изменением размера Volume; особенности работы Rolling Update и не только (больше информации можно найти в статье).

Из-за вышеописанных причин команда решила заменить «стандартные» StatefulSets на собственные, которые они назвали PatroniSets. И, конечно же, не обошлось без собственного Kubernetes Operator’a.

Ребята определили набор требований:
🍭 Новый ресурс должен быть прямой заменой StatefulSets с «бесшовной миграцией»
🍭 Он должен понимать контекст PostgreSQL/Patroni: кто есть «главный»
🍭 CR должен быть полностью декларативен
🍭 Любые действия должны быть направлены на сокращение времени простоя. Например, в HA варианте реплика обновляется первой
🍭 Он должен управлять всеми изменения Volumes и не только

После определения требований команда начала разработку собственного оператора. Логика его работы и подводные камни, с которыми столкнулись в Timescale при его разработке - все это можно найти в статье.

В результате PatroniSets начали использовать для новых сервисов в феврале 2024 года. Спустя некоторое время команда убедилась в работоспособности концепта и готова переводить на него существующие сервисы.

ASPM for Dummies

Всем привет!

Если вы хотите узнать чуть больше про такой класс решений, как Application Security Posture Management (ASPM), то книга в приложении может пригодиться.

В ней Автор рассказывает про:
🍭 Зачем нужны ASPM решения
🍭 Общий функционал, характерный для ASPM
🍭 Как понять, нужна ли вам подобная система
🍭 На что обращать внимание при выборе подходящей

Книга небольшая, ~ 35 страниц. Ответов на вопрос «Как?» вы не найдете, но «Что?» и «Зачем?» - вполне.

P.S. Материал хоть и «вендорский», но явный маркетинг в нем отсутствует и описываются общие вещи и принципы.

Kobs: observability для Kubernetes

Всем привет!

Kobs – open source проект, который позиционируется, как «application-centric observability platform for Kubernetes and Cloud workloads».

Его функционал достаточно обширен:
🍭 Возможность работы с ресурсами (например, edit)
🍭 Получение терминала до ресурсов
🍭 Сбор metrics, logs и traces
🍭 Отображение topology (визуализация взаимосвязи компонентов приложения)
🍭 «Интеграция» с Prometheus и Istio для взаимодействия с ними через Kobs и не только

Вся информация отображается в наглядном UI, примеры которого можно найти в repo проекта или на сайте.

Кроме того, Kobs можно «расширять» через plugins, часть из которых поставляется «уже из коробки» (Kiali,  Jaeger, Jira и т.д.).

Информацию об архитектуре, способе установке и первичной настройки решения можно найти по ссылке.

Анализ исходного кода с CodeTotal

Всем привет!

CodeTotal – open source решение, которое позволяет анализировать code snippet, файл или репозиторий исходного кода на предмет наличия уязвимостей в коде и конфигурационных файлах.

Есть минималистичный UI, в который надо поместить вышеуказанное, нажать кнопку и «Готово»! Да, вот так просто 😊

Все потому, что CodeTotal – ни что иное, как графическая «обертка» над проектом MegaLinter, который включает в себя поддержку более 100 средств анализа.

Например:
🍭 Bandit
🍭 Checkov
🍭 GitLeaks
🍭 Semgrep
🍭 Syft и многое другое

Помимо ИБ-сканеров MegaLinter «поддерживает» анализаторы, связанные с качеством кода и корректностью написания конфигурационных файлов.

Нюанс в том, что CodeTotal не поддерживается разработчиком (последний release был в августе 2023), а вот MegaLinter – вполне!

Просто титаническая работа от wr3dmast3r!!! Крайне рекомендуем для изучения :)

Escalate, Bind и Impersonate в Kubernetes

Всем привет!

Есть несколько вещей, на которые можно смотреть бесконечно. Корректная настройка полномочий и привилегий, особенно в условиях гибкой ролевой модели – одна из них.

В статье описываются полномочия, использование которых может привести к не самым приятным последствиям.

Автор рассматривает:
🍭 escalate. Позволяет пользователям создавать и редактировать роли, даже если изначально у них не было таких полномочий
🍭 bind. Позволяет создавать и редактировать RoleBindng и ClusterRoleBinding
🍭 impersonate. Позволяет «выдавать себя» за кого-то другого

Для наглядности Автор создает простой ServiceAccount, которому назначается роль с возможностью get, watch, list для pods.

Далее он предоставляет указанные полномочия и показывает, как их можно «использовать» (не) по назначению для повышения привилегий.

Много примеров, экспериментов и пояснений. А в завершении – немного рекомендаций о том, как этим можно управлять – рекомендуем!

Comprehensive container security guide от Sysdig

Всем привет!

Все так! По ссылке можно найти достаточно много информации по безопасности контейнеров, подготовленной командой Sysdig.

Команда структурировала все следующим образом:
🍭 По горизонтали – возможные действия для защиты – Prevent, Protect, Detect и Respond
🍭 По вертикали – «объекты» анализа и защиты – от Code до Container
🍭 На пересечении – практики, которые можно использовать

Далее для каждой практики представлено свое описание с примерами. Да, хоть статья и «вендорская» - явных отсылок к решениям Sysdig нет, материал «общего характера» (ну почти 😊).

Помимо этого, в статье очень много ссылок на другие полезные материалы по теме.

Minefield: работа со SBOM

Всем привет!

Bitbom Minefield – утилита, которая позволяет оптимизировать работу со SBOM за счет автоматизации отдельно взятых задач.

Глобально его функционал можно разделить на 3 категории:
🍭 Query. Гибкие пользовательские запросы для поиска необходимых данных
🍭 Leaderboard. Показывает узлы, которые наиболее часто встречаются в указанной query
🍭 Cache. Очень быстро кеширует данные и может с ними работать в offline-режиме 😊 Правда! Можно посмотреть на данные в repo

Помимо этого, он позволяет визуализировать информацию, полученную по результатам запроса.

Больше информации можно найти в repo проекта в официальной документации.

Kondense – управление мощностями в Kubernetes

Всем привет!

С использованием Kondense можно управлять вычислительными ресурсами workloads, запущенных в кластере Kubernetes.

«Устанавливается» он как Sidecar Container. После этого вычислительные ресурсы «целевого контейнера» будут меняться без необходимости его перезапуска.

Kondense обладает минималистичным набором настроек. Например:
🍭 Минимально допустимое количество потребляемых ресурсов
🍭 Максимально допустимое количество потребляемых ресурсов
🍭 Целевое значение memory pressure
🍭 «Коэффициенты изменения» вычислительных мощностей и не только

Если вам интересно прочитать о том, как Kondense «вычисляет» использование CPU и памяти, то это написано тут и тут.

Защита ArgoCD в multi-tenant окружениях

Всем привет!

Еще одна статья, посвященная безопасности ArgoCD. Можно выделить два наиболее значимых аспекта – контроль того, куда можно устанавливать что-либо и контроль тех, кто может взаимодействовать с системой.

Далее Авторы описывают:
🍭 Контроль доступа к ресурсам ArgoCD с использованием policies
🍭 Контроль доступа к ресурсам Kubernetes c использованием Application Project

Завершает статью наглядный пример того, как все это можно реализовать на практике для двух команд.

Первая команда может только просматривать собственные Applications, вторая – просматривать/редактировать свои Applications и видеть Applications первой команды.

Дальше – детальные примеры того, как это можно настроить: screenshots, комментарии, конфигурационные файлы – все на месте 😊

Stateful Apps в Kubernetes: возможные способы реализации

Всем привет!

Интересная обзорная статья о том, как работать с Stateful Apps в Kubernetes. Начинается все с истории их возникновения, определенной потребностью нет-нет, да и сохранять состояние, вопреки stateless-идеологии.

Далее – интересней! Статья разбирает такие аспекты, как:
🍭 Принципы работы StatefulSets, их недостатки и подводные камни
🍭 Работа с PV и PVC – что может пойти не так и почему этим может быть сложно управлять
🍭 Использование Operators (на примере ClickHouse)

В статье крайне много наглядных примеров относительно того, почему реализация хранения чего-либо в Kubernetes – не самая очевидная задача.

Завершает статью небольшой перечень Operators, которые можно использовать в случае, если необходимо реализовать Stateful App

P.S. А как вы считаете? Надо ли это делать или все же Kubernetes – это про Stateless подход?

Client-Side Path Traversal Playground

Всем привет!

По ссылке доступен GitHub-репозиторий, в котором можно найти Client-Side Path Traversal (CSPT) Playground, подготовленную ребятами из Doyensec.

CSPT – тип уязвимости, который позволяет злоумышленнику манипулировать файлами, используемыми клиентскими приложениями.

Да, они не так распространены, как их «старший брат» (Server-Side Path Traversal), но, тем не менее, результаты могут быть не самые приятные: от XSS до разглашения чувствительной информации.

С примерами можно ознакомиться в статье от Doyensec или в Whitepaper (отправим в следующем посте).

Сам же repo содержит 2 основных сценария:
🍭 CSPT to CSRF
🍭 CSPT to XSS

Для запуска необходимо лишь выполнить docker compose up, после чего перейти на http://localhost:3000 и начать исследование.

И тот самый Whitepaper (~ 40 страниц) ☺️

Использование LLM для Application Security, опыт
DryRun Security

Всем привет!

Наверное, каждый пробовал поместить если уж не исходный код, то результаты срабатываний *AST-решений в LLM с вопросом – «Что тут false, а что – true positive?»

До сих пор нет однозначной позиции (кроме надежды на silver bullet, которая теплеет внутри) о том, насколько именно LLM могут быть полезны в этом вопросе.

Сегодня предлагаем вам ознакомиться со статьей от DryRun Security, которые в течение года использовали разные LLM для того, чтобы оценить их «пригодность» для Application Security нужд.

Как обычно, началось все с недовольства работой *AST решений: много «шума», отсутствие понимания контекста, не самая высокая производительность, труднопонимаемые результаты для разработчиков и т.д.

Казалось бы, все это можно решить с использованием LLM. При этом получится отличный «переводчик» между AppSec и разработчиками.

Однако, команда все-таки столкнулась с нюансами
🍭 Не все LLM хорошо понимают «в код»
🍭 Результаты не всегда содержат информацию, позволяющую принять решение
🍭 Нюансы, связанные с конфиденциальностью (если используется внешняя LLM)
🍭 «Тренировка» модели процесс не конечный, его надо поддерживать, что не всегда просто

Поэтому реализовать концепт «отдали код – получили перечень уязвимостей» не будет работать. Но расстраиваться не стоит 😊

Если кратко, то использованием LLM может неплохо помочь Application Security, но с нюансами. Какими? Ответ вы найдете в статье 😊

P.S. А что вы думаете про использование LLM для описанных в посте целей? Можно ли на них полагаться или лучше не стоит?