OCI Runtime Benchmark для Kubernetes
Всем привет!
Kubernetes – наиболее популярное решение, используемое для оркестрации контейнеров. Но если немного абстрагироваться, то сам он делает далеко не все.
Например, жизненный цикл контейнера по большей части управляется Container Rutime Interface (CRI. Например, Docker, containerd).
А что, если «копнуть глубже»? Ведь CRI тоже прибегают к помощи «сторонних сервисов» - OCI Runtime или Container Engine.
Если эта тема вам интересна, рекомендуем ознакомиться со статьей. В ней Автор, после небольшой исторической справки, сравнивает несколько известных OCI Runtime.
В выборку попали:
🍭 runc
🍭 crun
🍭 gvisor/runsc
🍭 youki
Далее Автор написал скрипт, который измеряет параметры запуска 1000 контейнеров из образов busybox.
Полученные результаты, комментарии Автора, «honorable findings» и выводы можно найти в статье.
P.S. Да, возможно не самый лучший benchmark-test (со слов Автора – «This is NOT a scientific benchmark»). А был ли у вас подобный опыт и какой OCI Runtime на ваш взгляд лучше?
Всем привет!
Kubernetes – наиболее популярное решение, используемое для оркестрации контейнеров. Но если немного абстрагироваться, то сам он делает далеко не все.
Например, жизненный цикл контейнера по большей части управляется Container Rutime Interface (CRI. Например, Docker, containerd).
А что, если «копнуть глубже»? Ведь CRI тоже прибегают к помощи «сторонних сервисов» - OCI Runtime или Container Engine.
Если эта тема вам интересна, рекомендуем ознакомиться со статьей. В ней Автор, после небольшой исторической справки, сравнивает несколько известных OCI Runtime.
В выборку попали:
🍭 runc
🍭 crun
🍭 gvisor/runsc
🍭 youki
Далее Автор написал скрипт, который измеряет параметры запуска 1000 контейнеров из образов busybox.
Полученные результаты, комментарии Автора, «honorable findings» и выводы можно найти в статье.
P.S. Да, возможно не самый лучший benchmark-test (со слов Автора – «This is NOT a scientific benchmark»). А был ли у вас подобный опыт и какой OCI Runtime на ваш взгляд лучше?
henrikgerdes.me
Benchmarking what actually drive our containers
Kubernetes success and versatility often overshadows the lower-level details of what actually drives our containers. I took a deeper took on how the default con…
👍1
Использованием LLM/AI для нужд AppSec
Всем привет!
Использование LLM/AI – вопрос времени. Можно сопротивляться, можно отрицать, но рано или поздно (если не уже) все начнут их использовать в какой-то степени.
В статье Автор предлагает рассмотреть возможность и целесообразность их использования для нужд Application Security. И нет, не для автоматической разметки или чего-то, связанного с работой сканеров. А для… оценки рисков.
Автор реализовал автоматизацию следующих шагов:
🍭 Классификация рисков
🍭 Rapid Risk Assessment (согласно руководству Mozilla)
🍭 Security Review
Единственное, что надо подать «на вход» - техническую спецификацию планируемого изменения. После этого все шаги выполняются автоматически, и пользователь получает готовый отчет.
Пример того, как это работает, можно посмотреть в видео, которое приложено к статье. С точки зрения Автора указанный подход позволяет не заменить, но «дополнить» AppSec-специалиста.
В завершении статьи есть интересный раздел Learning and Observations, в котором описаны нюансы работы PoC и что с ними можно сделать для улучшения результатов.
P.S. А как вы думаете – нужно ли пользоваться LLM/AI для нужд AppSec или все это «только сгенерирует больше шума, который нужно проверять»?
Всем привет!
Использование LLM/AI – вопрос времени. Можно сопротивляться, можно отрицать, но рано или поздно (если не уже) все начнут их использовать в какой-то степени.
В статье Автор предлагает рассмотреть возможность и целесообразность их использования для нужд Application Security. И нет, не для автоматической разметки или чего-то, связанного с работой сканеров. А для… оценки рисков.
Автор реализовал автоматизацию следующих шагов:
🍭 Классификация рисков
🍭 Rapid Risk Assessment (согласно руководству Mozilla)
🍭 Security Review
Единственное, что надо подать «на вход» - техническую спецификацию планируемого изменения. После этого все шаги выполняются автоматически, и пользователь получает готовый отчет.
Пример того, как это работает, можно посмотреть в видео, которое приложено к статье. С точки зрения Автора указанный подход позволяет не заменить, но «дополнить» AppSec-специалиста.
В завершении статьи есть интересный раздел Learning and Observations, в котором описаны нюансы работы PoC и что с ними можно сделать для улучшения результатов.
P.S. А как вы думаете – нужно ли пользоваться LLM/AI для нужд AppSec или все это «только сгенерирует больше шума, который нужно проверять»?
👍8
Semgrep Dependency Graph
Всем привет!
Недавно команда Semgrep анонсировала новый функционал их Supply Chain решения, а именно – построение графа зависимостей (dependency graph).
Увы, это не open source (разве что можно попробовать «for free»). Однако, в дополнение к анонсу ребята написали отличную статью, посвященную нюансам анализа open source зависимостей.
В ней предоставлена информация:
🍭 Что такое dependency graph и зачем он нужен
🍭 Как он помогает оптимизировать процесс анализа open source компонентов
🍭 Использование lockfiles – что это и нужны ли они
Все это рассмотрено на понятных и наглядных примерах.
Материал может быть полезен, если вы начинаете разбираться с тонкостями композиционного анализа и вам интересно на что стоит обращать внимание.
Всем привет!
Недавно команда Semgrep анонсировала новый функционал их Supply Chain решения, а именно – построение графа зависимостей (dependency graph).
Увы, это не open source (разве что можно попробовать «for free»). Однако, в дополнение к анонсу ребята написали отличную статью, посвященную нюансам анализа open source зависимостей.
В ней предоставлена информация:
🍭 Что такое dependency graph и зачем он нужен
🍭 Как он помогает оптимизировать процесс анализа open source компонентов
🍭 Использование lockfiles – что это и нужны ли они
Все это рассмотрено на понятных и наглядных примерах.
Материал может быть полезен, если вы начинаете разбираться с тонкостями композиционного анализа и вам интересно на что стоит обращать внимание.
Semgrep
Less effort, more insight: Introducing Dependency Graph for Supply Chain
You cannot secure what you cannot see. Introducing Semgrep’s Dependency Graph: effortless visibility into your software supply chain. Empower AppSec teams to uncover and remediate transitive vulnerabilities with precision, whether or not lockfiles are available.
❤1👎1
Advanced_SCA.pdf
4.1 MB
Advanced SCA от Xygeni
Всем привет!
В приложении доступна небольшая (~ 13 страниц) электронная книга от Xygeni, посвященная композиционному анализу (SCA).
В ней можно найти информацию о:
🍭 Истории развития композиционного анализа от 2000-х до настоящего времени
🍭 Значимости обеспечения ИБ используемых open source компонентов
🍭 Преимуществах использования SCA при разработке ПО
🍭 Наиболее значимых функциях, которые должны быть в SCA-инструментах и не только
Электронная книга небольшая. Но так даже лучше – минимум воды и много полезной информации ☺️
Всем привет!
В приложении доступна небольшая (~ 13 страниц) электронная книга от Xygeni, посвященная композиционному анализу (SCA).
В ней можно найти информацию о:
🍭 Истории развития композиционного анализа от 2000-х до настоящего времени
🍭 Значимости обеспечения ИБ используемых open source компонентов
🍭 Преимуществах использования SCA при разработке ПО
🍭 Наиболее значимых функциях, которые должны быть в SCA-инструментах и не только
Электронная книга небольшая. Но так даже лучше – минимум воды и много полезной информации ☺️
👍5👎1
Новая версия DAF!
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
GitHub
GitHub - Jet-Security-Team/DevSecOps-Assessment-Framework: DevSecOps Assessment Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
100🔥16❤3🥰2
С Наступающим!!! 🍾 🍾 🍾
Всем привет!
Сегодня никаких утилит, статей, безопасной разработки, Kubernetes и всего вот этого 😊
Сегодня только поздравления с наступающим Новым Годом и пожелания встретить его в кругу самых родных и близких🏡
Чтобы Новогодняя Ночь была поистине волшебной🎄 🎄 🎄 , настроение бодрым, а сердце – умиротворенным 🥛 🥛 🥛
Самое время отдохнуть, вспомнить что было, подумать о том, что будет, и набраться сил для покорения новых высот в 2025!!!
До встречи!!! Уже скучаем ❤️
Ваша Редакция DevSecOps Talks
Всем привет!
Сегодня только поздравления с наступающим Новым Годом и пожелания встретить его в кругу самых родных и близких
Чтобы Новогодняя Ночь была поистине волшебной
Самое время отдохнуть, вспомнить что было, подумать о том, что будет, и набраться сил для покорения новых высот в 2025!!!
До встречи!!! Уже скучаем ❤️
Ваша Редакция DevSecOps Talks
Please open Telegram to view this post
VIEW IN TELEGRAM
🍾30🎄13👍5💩1
Helm Dashboard!
Всем привет!
Начинаем 2025 год постепенно, начиная с чего-то простого(не всем же надо с места в карьер 😊) . Поэтому сегодня хотим рассказать вам про Helm Dashboard.
Да, все как в названии – это некоторый «графический справочник» по всем установленным Helm Charts.
С его помощью можно:
🍭 Получить информацию о всех установленных charts и их revision history
🍭 Узнать разницу (diff) в манифестах, в сравнении с предыдущими версиями
🍭 Откатиться к предыдущей версии или установить новую
🍭 Сканировать ресурсы с использованием Trivy и/или Checkov и многое другое
Полное описание возможностей Helm Dashboard можно найти тут.
Устанавливается через binary, через Helm Plugin Manager или через Helm Chart, который можно найти в repo.
И в завершении хочется пожелать отличного начала 2025 года, чтобы оно было плавным и максимально приятным ☺️
Всем привет!
Начинаем 2025 год постепенно, начиная с чего-то простого
Да, все как в названии – это некоторый «графический справочник» по всем установленным Helm Charts.
С его помощью можно:
🍭 Получить информацию о всех установленных charts и их revision history
🍭 Узнать разницу (diff) в манифестах, в сравнении с предыдущими версиями
🍭 Откатиться к предыдущей версии или установить новую
🍭 Сканировать ресурсы с использованием Trivy и/или Checkov и многое другое
Полное описание возможностей Helm Dashboard можно найти тут.
Устанавливается через binary, через Helm Plugin Manager или через Helm Chart, который можно найти в repo.
И в завершении хочется пожелать отличного начала 2025 года, чтобы оно было плавным и максимально приятным ☺️
GitHub
GitHub - komodorio/helm-dashboard: The missing UI for Helm - visualize your releases
The missing UI for Helm - visualize your releases. Contribute to komodorio/helm-dashboard development by creating an account on GitHub.
👍11❤2🔥2
А так ли всем нужен Kubernetes?
Всем привет!
Не Kubernetes’ом единым! Да, если искать информацию об оркестрации контейнеров, то в 99%(согласно правилу, что 70% статистики берется «с потолка») это будет Kubernetes.
Но, это не единственный оркестратор, который существует. И нет, мы не говорим про различные платформы, построенные «вокруг него».
Например, есть еще достаточно известный, но реже встречаемый в РФ Nomad. В статье можно ознакомиться с опытом небольшой команды о том, как они собираются «переезжать» с Kubernetes на Nomad.
Если кратко, то история следующая:
🍭 Некоторое время все было хорошо, но потом команда столкнулась со сложностями (регулярные проблемы с доступностью узлов оркестратора, технические сложности и задержки в развертывании приложений, регулярные, проблемы с аварийной остановкой pod’ов)
🍭 Поддержка Kubernetes силами небольшой команды оказалась крайне сложной. Казалось, что команда больше времени тратит на инфраструктуру, чем на создание продукта
🍭 Было принято решение о том, чтобы рассмотреть альтернативы. Им стал Nomad. Он проще, он дает нужную гибкость, масштабируемость и т.д. И самое главное – прощай YAML, привет HCL!
🍭 PoC прошло успешно и команда планирует полноценный «переезд»
«Да они просто не умеют правильно готовить Kubernetes» - мысль, которая может посетить при прочтении статьи. Возможно. С другой стороны, а надо ли «преодолевать себя», если рядом есть более простой вариант, который всецело соответствует требованиям?
Может быть не всем нужен Kubernetes? Возможно, что для небольших команд он и правда избыточен и стоит посмотреть на что-то иное? А что вы думаете по этому поводу?
Всем привет!
Не Kubernetes’ом единым! Да, если искать информацию об оркестрации контейнеров, то в 99%
Но, это не единственный оркестратор, который существует. И нет, мы не говорим про различные платформы, построенные «вокруг него».
Например, есть еще достаточно известный, но реже встречаемый в РФ Nomad. В статье можно ознакомиться с опытом небольшой команды о том, как они собираются «переезжать» с Kubernetes на Nomad.
Если кратко, то история следующая:
🍭 Некоторое время все было хорошо, но потом команда столкнулась со сложностями (регулярные проблемы с доступностью узлов оркестратора, технические сложности и задержки в развертывании приложений, регулярные, проблемы с аварийной остановкой pod’ов)
🍭 Поддержка Kubernetes силами небольшой команды оказалась крайне сложной. Казалось, что команда больше времени тратит на инфраструктуру, чем на создание продукта
🍭 Было принято решение о том, чтобы рассмотреть альтернативы. Им стал Nomad. Он проще, он дает нужную гибкость, масштабируемость и т.д. И самое главное – прощай YAML, привет HCL!
🍭 PoC прошло успешно и команда планирует полноценный «переезд»
«Да они просто не умеют правильно готовить Kubernetes» - мысль, которая может посетить при прочтении статьи. Возможно. С другой стороны, а надо ли «преодолевать себя», если рядом есть более простой вариант, который всецело соответствует требованиям?
Может быть не всем нужен Kubernetes? Возможно, что для небольших команд он и правда избыточен и стоит посмотреть на что-то иное? А что вы думаете по этому поводу?
Hexmos Journal
Faster, Easier Deployments: How We Simplified Our Infrastructure with Nomad in 15 Hours (Goodbye, Kubernetes!)
We're a lean team of 10 managing a relatively simple infrastructure.
Our setup includes a master Kube v1.24.4, two v1.25.1 nodes, and a self-hosted GitLab for version control.
Our CI/CD pipeline relies on GitLab runners to build images and deploy Docker…
Our setup includes a master Kube v1.24.4, two v1.25.1 nodes, and a self-hosted GitLab for version control.
Our CI/CD pipeline relies on GitLab runners to build images and deploy Docker…
🤣2👍1
Доступ к удаленным данным на GitHub
Всем привет!
Интересное исследование провела команда Truffle Security (авторы известного решения по поиску секретов – Trufflehog).
Их интересовал вопрос: «Можно ли получить доступ к данным GitHub, которые уже удалены или должны быть недоступны?»
Для этого ребята рассмотрели сценарии:
🍭 Доступ к данным удаленного fork’a
🍭 Доступ к данным удаленного репозитория
🍭 Доступ к данным закрытого (private) репозитория
В итоге оказалось, чтода, можно. Не без нюансов, но все-таки.
Для каждого из рассмотренных сценариев описывается последовательность действий, которые предпринимались и комментарии о том, что происходит.
Интересно еще и то, что согласно политикам GitHub все работает так, как и ожидалось. Этому в статье посвящен отдельный раздел.
Всем привет!
Интересное исследование провела команда Truffle Security (авторы известного решения по поиску секретов – Trufflehog).
Их интересовал вопрос: «Можно ли получить доступ к данным GitHub, которые уже удалены или должны быть недоступны?»
Для этого ребята рассмотрели сценарии:
🍭 Доступ к данным удаленного fork’a
🍭 Доступ к данным удаленного репозитория
🍭 Доступ к данным закрытого (private) репозитория
В итоге оказалось, что
Для каждого из рассмотренных сценариев описывается последовательность действий, которые предпринимались и комментарии о том, что происходит.
Интересно еще и то, что согласно политикам GitHub все работает так, как и ожидалось. Этому в статье посвящен отдельный раздел.
Trufflesecurity
Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co.
You can access data from deleted forks, deleted repositories and even private repositories on GitHub. And it is available forever. This is known by GitHub, and intentionally designed that way.
🔥5👍4🤯2
Анализ кода в Reddit
Всем привет!
В статье описан опыт команды Reddit по созданию собственной AppSec-платформы.
Они хотели, чтобы было:
🍭 Что-то, что настраивается и управляется командой
🍭 Что-то, что позволит быстро подключать новые сканеры
🍭 Что-то, что является централизованным и позволяет быстро вносить изменения
🍭 Что-то, что является масштабируемым, т.к. количество сканирований будет только расти (в Reddit ~ 2000 repository)
Определив «примерные функциональные требования», был выбран и технологический стек: Golang, Async, Redis и Kubernetes.
Что же получилось в итоге? Если кратко, то процесс выглядит следующим образом:
🍭 Разработчик делает commit в repo
Информация о commit направляется в Code Scanner Server
🍭 На основании данных commit’a и метаданных repo подбираются сканеры и их конфигурация
🍭 Сканеры анализируют проект и сохраняют результат
Более полное описание процесса представлено в статье, включаю схему высокоуровневой архитектуры предлагаемого решения. В завершение статьи представлены планы дальнейшего развития получившейся платформы.
Всем привет!
В статье описан опыт команды Reddit по созданию собственной AppSec-платформы.
Они хотели, чтобы было:
🍭 Что-то, что настраивается и управляется командой
🍭 Что-то, что позволит быстро подключать новые сканеры
🍭 Что-то, что является централизованным и позволяет быстро вносить изменения
🍭 Что-то, что является масштабируемым, т.к. количество сканирований будет только расти (в Reddit ~ 2000 repository)
Определив «примерные функциональные требования», был выбран и технологический стек: Golang, Async, Redis и Kubernetes.
Что же получилось в итоге? Если кратко, то процесс выглядит следующим образом:
🍭 Разработчик делает commit в repo
Информация о commit направляется в Code Scanner Server
🍭 На основании данных commit’a и метаданных repo подбираются сканеры и их конфигурация
🍭 Сканеры анализируют проект и сохраняют результат
Более полное описание процесса представлено в статье, включаю схему высокоуровневой архитектуры предлагаемого решения. В завершение статьи представлены планы дальнейшего развития получившейся платформы.
Reddit
From the RedditEng community on Reddit
Explore this post and more from the RedditEng community
👍4👎2
Intigriti Hackademy
Всем привет!
Еще одна подборка обучающих материалов, посвященная тематике Web Application Security от Intigriti.
По большей части доступна теория в виде статей и обучающих роликов. За основу взяты угрозы из OWASP Top 10.
Да, «еще один материал», но, возможно, лишним не будет. Да и не это самое интересное!
Помимо указанных курсов команда проводит регулярные challenges, которые можно найти вот тут.
На текущий момент их доступно 38 штук, и они продолжают появляться с определенной периодичностью.
Каждый из них представляет из себя небольшое CTF-задание, которое можно решить самостоятельно или изучить writeup’ы, подготовленные сообществом.
Всем привет!
Еще одна подборка обучающих материалов, посвященная тематике Web Application Security от Intigriti.
По большей части доступна теория в виде статей и обучающих роликов. За основу взяты угрозы из OWASP Top 10.
Да, «еще один материал», но, возможно, лишним не будет. Да и не это самое интересное!
Помимо указанных курсов команда проводит регулярные challenges, которые можно найти вот тут.
На текущий момент их доступно 38 штук, и они продолжают появляться с определенной периодичностью.
Каждый из них представляет из себя небольшое CTF-задание, которое можно решить самостоятельно или изучить writeup’ы, подготовленные сообществом.
Intigriti
Hackademy
Intigriti Hackademy. This is the landing page for Intigriti's learning platform, where you can dive into multiple vulnerability classes.
👍5
Что такое DevOps?
Всем привет!
Если вам всегда было интересно, и вы боялись спросить… 😊 То вот этот материал может вас
заинтересовать – DevOps Engineering Handbook.
В нем собрано много информации по темам:
🍭 Continuous Delivery & Deployment
🍭 Platform Engineering
🍭 Software Deployments
🍭 Metrics и не только
Данные варьируются в зависимости от раздела. Это может быть общее описание, примеры, средства автоматизации, (анти) паттерны.
Главное, что их много и они хорошо структурированы 😊
Всем привет!
Если вам всегда было интересно, и вы боялись спросить… 😊 То вот этот материал может вас
заинтересовать – DevOps Engineering Handbook.
В нем собрано много информации по темам:
🍭 Continuous Delivery & Deployment
🍭 Platform Engineering
🍭 Software Deployments
🍭 Metrics и не только
Данные варьируются в зависимости от раздела. Это может быть общее описание, примеры, средства автоматизации, (анти) паттерны.
Главное, что их много и они хорошо структурированы 😊
Octopus
What is DevOps?
Rather than technology alone, it's the practices, processes, and culture changes DevOps introduces that can most positively impact your software delivery.
✍4
Cyclops – UI для Kubernetes
Всем привет!
Небольшой пятничный пост, посвященный еще одной «графической обертке» для Kubernetes – Cyclops. Open Source! Free now and forever!
Если кратко, то он позволяет делать следующее:
🍭 Предоставляет информацию о ресурсах Kubernetes
🍭 Просматривать разницу (diff) в манифестах
🍭 Создавать ресурсы Kubernetes
🍭 Просматривать журналы событий ресурсов кластера
🍭 Изменять параметры конфигурации существующих ресурсов и не только
«В комплекте» идет Cyclops CLI (cyctl), при помощи которой можно автоматизировать действия, доступные через UI.
С подробностями (установка, внешний вид, настройка, расширенное описание возможностей) можно ознакомиться в repo проекта или в документации.
Всем привет!
Небольшой пятничный пост, посвященный еще одной «графической обертке» для Kubernetes – Cyclops. Open Source! Free now and forever!
Если кратко, то он позволяет делать следующее:
🍭 Предоставляет информацию о ресурсах Kubernetes
🍭 Просматривать разницу (diff) в манифестах
🍭 Создавать ресурсы Kubernetes
🍭 Просматривать журналы событий ресурсов кластера
🍭 Изменять параметры конфигурации существующих ресурсов и не только
«В комплекте» идет Cyclops CLI (cyctl), при помощи которой можно автоматизировать действия, доступные через UI.
С подробностями (установка, внешний вид, настройка, расширенное описание возможностей) можно ознакомиться в repo проекта или в документации.
GitHub
GitHub - cyclops-ui/cyclops: Developer Friendly Kubernetes 👁️
Developer Friendly Kubernetes 👁️. Contribute to cyclops-ui/cyclops development by creating an account on GitHub.
❤3
CodeQL: From zero to hero, Part 4
Всем привет!
Продолжение цикла статей, посвященных вопросам использования CodeQL. В первых частях (про которые мы писали тут, тут и тут) Автор рассказывал про то, что такое CodeQL, как он работает и как его можно использовать для поиска ИБ-дефектов в ПО.
Четвертая часть посвящена анализу Gradio:
🍭 Краткое описание что это такое, примеры интерфейсов
🍭 Определение поверхности атаки
🍭 «Моделирование» Gradio с использованием CodeQL
🍭 Поиск уязвимостей, в том числе с использованием Multi-Repository Variant Analysis (запуск query на множестве проектов, подробности можно найти в третьей части)
Статья очень большая и подробная, в ней много примеров кода, отсылок к логике работы CodeQL, комментариев Автора о том, что происходит. Рекомендуем!
P.S. С использованием описанного подхода Автору удалось найти 11 уязвимостей в нескольких Gradio-проектах. Подробнее об этом можно прочесть тут (проще всего искать по имени - Sylwia Budzynska)
Всем привет!
Продолжение цикла статей, посвященных вопросам использования CodeQL. В первых частях (про которые мы писали тут, тут и тут) Автор рассказывал про то, что такое CodeQL, как он работает и как его можно использовать для поиска ИБ-дефектов в ПО.
Четвертая часть посвящена анализу Gradio:
🍭 Краткое описание что это такое, примеры интерфейсов
🍭 Определение поверхности атаки
🍭 «Моделирование» Gradio с использованием CodeQL
🍭 Поиск уязвимостей, в том числе с использованием Multi-Repository Variant Analysis (запуск query на множестве проектов, подробности можно найти в третьей части)
Статья очень большая и подробная, в ней много примеров кода, отсылок к логике работы CodeQL, комментариев Автора о том, что происходит. Рекомендуем!
P.S. С использованием описанного подхода Автору удалось найти 11 уязвимостей в нескольких Gradio-проектах. Подробнее об этом можно прочесть тут (проще всего искать по имени - Sylwia Budzynska)
The GitHub Blog
CodeQL zero to hero part 4: Gradio framework case study
Learn how I discovered 11 new vulnerabilities by writing CodeQL models for Gradio framework and how you can do it, too.
Настройка HPA с использованием Custom Metrics
Всем привет!
Одним из преимуществ использования Kubernetes является возможность настройки автоматического масштабирования (как горизонтального, так и вертикального).
По умолчанию горизонтальное масштабирование настраивается с учетом достаточно ограниченного набора метрик – потребление CPU и памяти.
Но что, если хочется большего? Как раз этому и посвящена статья. В ней Авторы демонстрируют как можно «расширить» возможности Horizontal Pod Autoscaler (HPA) через использование произвольных метрик.
Команда предлагает реализовать схему:
🍭 Допустим у нас есть приложение, которое генерирует метрики
🍭 В кластере Kubernetes установлен 🍭 Prometheus, который эти метрики «собирает»
🍭 Prometheus Adapter «забирает» только нужные нам метрики из предыдущего пункта
🍭 HPA принимает решение о масштабировании исходя из данных, предоставляемых Prometheus Adapter
В статье описан весь путь, примеры, комментарии и ссылки на необходимый инструментарий.
В завершении ребята подвергают конструкцию нагрузочному тестированию с помощью Vegeta 😊
Всем привет!
Одним из преимуществ использования Kubernetes является возможность настройки автоматического масштабирования (как горизонтального, так и вертикального).
По умолчанию горизонтальное масштабирование настраивается с учетом достаточно ограниченного набора метрик – потребление CPU и памяти.
Но что, если хочется большего? Как раз этому и посвящена статья. В ней Авторы демонстрируют как можно «расширить» возможности Horizontal Pod Autoscaler (HPA) через использование произвольных метрик.
Команда предлагает реализовать схему:
🍭 Допустим у нас есть приложение, которое генерирует метрики
🍭 В кластере Kubernetes установлен 🍭 Prometheus, который эти метрики «собирает»
🍭 Prometheus Adapter «забирает» только нужные нам метрики из предыдущего пункта
🍭 HPA принимает решение о масштабировании исходя из данных, предоставляемых Prometheus Adapter
В статье описан весь путь, примеры, комментарии и ссылки на необходимый инструментарий.
В завершении ребята подвергают конструкцию нагрузочному тестированию с помощью Vegeta 😊
Medium
Optimizing Kubernetes resources with Horizontal Pod Autoscaling via Custom Metrics and the…
A journey to make better scaling decisions by using Kubernetes Horizontal Pod Autoscaler with custom metrics and Prometheus Adapter.
✍3
Новый фреймворк по аудиту и защите контейнерной инфраструктуры JCSF!
Друзья, это, наконец, свершилось: мы нашли время и силы, чтобы объединить рекомендации производителей, лучшие практики и наш опыт в области безопасности контейнеров в едином фреймворке Jet Container Security Framework (JCSF). Благодаря ему можно как провести аудит собственной контейнерной инфраструктуры, так и запланировать дальнейшие действия в области защиты контейнеров. Детальная информация и сам фреймворк доступны по ссылке.
Фреймворк JCSF общедоступный. Навсегда 🙂
Также мы будем очень рады, если вы присоединитесь к совершенствованию JCSF и станете его контрибьютором.
Друзья, это, наконец, свершилось: мы нашли время и силы, чтобы объединить рекомендации производителей, лучшие практики и наш опыт в области безопасности контейнеров в едином фреймворке Jet Container Security Framework (JCSF). Благодаря ему можно как провести аудит собственной контейнерной инфраструктуры, так и запланировать дальнейшие действия в области защиты контейнеров. Детальная информация и сам фреймворк доступны по ссылке.
Фреймворк JCSF общедоступный. Навсегда 🙂
Также мы будем очень рады, если вы присоединитесь к совершенствованию JCSF и станете его контрибьютором.
GitHub
GitHub - Jet-Security-Team/Jet-Container-Security-Framework: Jet Container Security Framework (JCSF)
Jet Container Security Framework (JCSF). Contribute to Jet-Security-Team/Jet-Container-Security-Framework development by creating an account on GitHub.
252🔥34❤11🥰8👍4🐳2
Небезопасное извлечение архива
Всем привет!
Еще одна отличная статья от Doyensec. В этот раз специалист проводил исследование, связанное с возможностью эксплуатации уязвимостей в функциях, используемых для разархивирования.
Анализу подлежали следующие языки программирования: Python, Ruby, Swift, Java, PHP и JavaScript.
Для того, чтобы лучше в этом разобраться, Автор сделал PoC, в котором были реализовал Archive Path Traversal.
Помимо этого, он подготовил набор Semgrep-правил, при помощи которых можно идентифицировать указанные уязвимости.
Но и это далеко не все! Больше информации и материалов можно найти в статье или по ссылке на вот это repo.
В нем, помимо прочего, Автор приводит результаты анализа безопасности часто встречающихся функций языков программирования для (раз) архивирования.
Всем привет!
Еще одна отличная статья от Doyensec. В этот раз специалист проводил исследование, связанное с возможностью эксплуатации уязвимостей в функциях, используемых для разархивирования.
Анализу подлежали следующие языки программирования: Python, Ruby, Swift, Java, PHP и JavaScript.
Для того, чтобы лучше в этом разобраться, Автор сделал PoC, в котором были реализовал Archive Path Traversal.
Помимо этого, он подготовил набор Semgrep-правил, при помощи которых можно идентифицировать указанные уязвимости.
Но и это далеко не все! Больше информации и материалов можно найти в статье или по ссылке на вот это repo.
В нем, помимо прочего, Автор приводит результаты анализа безопасности часто встречающихся функций языков программирования для (раз) архивирования.
GitHub
GitHub - doyensec/Unsafe-Unpacking: Unsafe Unpacking Vulnerability: Lab Code, Semgrep Rules and Secure Implementation Guide
Unsafe Unpacking Vulnerability: Lab Code, Semgrep Rules and Secure Implementation Guide - doyensec/Unsafe-Unpacking
Stratoshark: анализ сетевого трафика …!
Всем привет!
Если вам показалось, что название чем-то напоминает Wireshark, то… Вы правы! Stratoshark – новая утилита от той же команды, что создала Wireshark!
С ее помощью можно анализировать нет, не сетевой трафик, но системные вызовы. Например, взаимодействие с файлами, выполнение команд, сетевую активность, взаимодействие между процессами и т.д.
Как и его старший брат, Stratoshark позволяет:
🍭 Просматривать результаты в UI
🍭 Использовать гибкую систему фильтрации для того, что нужно именно вам
🍭 Анализировать записи, созданные Falco
🍭 Изменять отображение информации в соответствии с вашими потребностями
Согласно заверениям разработчиков, если вы пользовались Wireshark, то со Stratoshark вы будете «чувствовать себя, как дома» 😊
Подробнее о проекте – документация, установка, quick start guide, исходный код, немного видео – все это можно найти вот по этой ссылке.
Всем привет!
Если вам показалось, что название чем-то напоминает Wireshark, то… Вы правы! Stratoshark – новая утилита от той же команды, что создала Wireshark!
С ее помощью можно анализировать нет, не сетевой трафик, но системные вызовы. Например, взаимодействие с файлами, выполнение команд, сетевую активность, взаимодействие между процессами и т.д.
Как и его старший брат, Stratoshark позволяет:
🍭 Просматривать результаты в UI
🍭 Использовать гибкую систему фильтрации для того, что нужно именно вам
🍭 Анализировать записи, созданные Falco
🍭 Изменять отображение информации в соответствии с вашими потребностями
Согласно заверениям разработчиков, если вы пользовались Wireshark, то со Stratoshark вы будете «чувствовать себя, как дома» 😊
Подробнее о проекте – документация, установка, quick start guide, исходный код, немного видео – все это можно найти вот по этой ссылке.
🔥19👍5
Wormable XSS в Atlassian
Всем привет!
Команда Snapsec проводила аудит информационной безопасности Atlassian и обнаружила очень интересное поведение одной функции.
С одной стороны – обычная XSS, с другой стороны ее эксплуатация в определённых условиях позволяла получать повышенные привилегии в организациях, отличных от собственной.
В статье Авторы рассказывают про:
🍭 Что такое link-based XSS и как их реализовать
🍭 Поиск «чего-то подходящего в продуктах Atlassian» для реализации link-based XSS
🍭 Повышение привилегий с помощью XSS в рамках одной организации
🍭 Повышение привилегий с помощью XSS в рамках нескольких организаций
Каждый шаг детально описан, есть примеры payloads, скриншоты и комментарии.
Всем привет!
Команда Snapsec проводила аудит информационной безопасности Atlassian и обнаружила очень интересное поведение одной функции.
С одной стороны – обычная XSS, с другой стороны ее эксплуатация в определённых условиях позволяла получать повышенные привилегии в организациях, отличных от собственной.
В статье Авторы рассказывают про:
🍭 Что такое link-based XSS и как их реализовать
🍭 Поиск «чего-то подходящего в продуктах Atlassian» для реализации link-based XSS
🍭 Повышение привилегий с помощью XSS в рамках одной организации
🍭 Повышение привилегий с помощью XSS в рамках нескольких организаций
Каждый шаг детально описан, есть примеры payloads, скриншоты и комментарии.
SSCS_RedHat.pdf
1 MB
A practical guide to software supply chain security
Всем привет!
В приложении можно скачать небольшую книгу (~ 21 страница) от Red Hat, посвященную информационной безопасности цепочки поставок ПО.
Книга состоит из разделов:
🍭 Общее описание того, что из себя представляет цепочка поставки ПО
🍭 Основные атаки на цепочку поставки ПО
🍭 Способы защиты от вышеперечисленных атак
Материал структурирован по этапам жизненного цикла ПО – от Create до Run.
В целом получился достаточно неплохой материал для поверхностного ознакомления и понимания того, куда двигаться дальше.
Всем привет!
В приложении можно скачать небольшую книгу (~ 21 страница) от Red Hat, посвященную информационной безопасности цепочки поставок ПО.
Книга состоит из разделов:
🍭 Общее описание того, что из себя представляет цепочка поставки ПО
🍭 Основные атаки на цепочку поставки ПО
🍭 Способы защиты от вышеперечисленных атак
Материал структурирован по этапам жизненного цикла ПО – от Create до Run.
В целом получился достаточно неплохой материал для поверхностного ознакомления и понимания того, куда двигаться дальше.
👍5