Уязвимость в пайплайне — это не баг, а потенциальная точка входа. И чаще всего дело не в хакерах, а в конфигурациях, которым не уделили внимания.
Читайте статью от специалистов по DevSecOps в MWS Cloud Platform и забирайте чек-лист проверки своего пайплайна.
В статье разбираем:
⏺️ как из-за одной строчки в .gitlab-ci.yml можно обойти проверку на секреты;
⏺️ почему важен принцип наименьших прав для раннеров;
⏺️ как можно получить доступ к ключам из других джоб, даже если вы используете vault;
⏺️ и почему кеши тоже могут стать источником компрометации.
Подход простой: смотрим на пайплайн глазами атакующего. Где бы мы атаковали? Что можно вытащить? Что можно обойти?
Если вы активно пользуетесь или настраиваете CI/CD и ещё не задавались вопросом, как он защищён, возможно, стоит начать с этой статьи.
🔗 Читать статью
Читайте статью от специалистов по DevSecOps в MWS Cloud Platform и забирайте чек-лист проверки своего пайплайна.
В статье разбираем:
Подход простой: смотрим на пайплайн глазами атакующего. Где бы мы атаковали? Что можно вытащить? Что можно обойти?
Если вы активно пользуетесь или настраиваете CI/CD и ещё не задавались вопросом, как он защищён, возможно, стоит начать с этой статьи.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Этичный Хакер
Массовое удаление телеграм-каналов по OSINT
Уважаемое, ИБ-сообщество, вчера без объяснение причин были удалены каналы:
@osint_pythons (канал из нашей сетки)
@schwarz_osint
@OSINTBY
@Osint_san_frame_work
Каждый из каналов велся более нескольких лет и не нарушал правила сообщества. Так как уже более суток от поддержки телеграма нет новостей, мы просим вас привлечь внимание к этой ситуации, и по возможности, написать следующее сообщение в тех. поддержку телеграма:
🌐 Сообщение стоит писать в боты тех. поддержки телеграма:
@PressBot
@AmeliaTearheart
@BotSupport
📬 И на их официальные почты:
[email protected]
[email protected]
[email protected]
[email protected]
Мы также будем благодарны любому освещению этой ситуации в любых блогах и СМИ 🤝
🔒 Этичный Хакер
Уважаемое, ИБ-сообщество, вчера без объяснение причин были удалены каналы:
@osint_pythons (канал из нашей сетки)
@schwarz_osint
@OSINTBY
@Osint_san_frame_work
Каждый из каналов велся более нескольких лет и не нарушал правила сообщества. Так как уже более суток от поддержки телеграма нет новостей, мы просим вас привлечь внимание к этой ситуации, и по возможности, написать следующее сообщение в тех. поддержку телеграма:
Пожалуйста, разбаньте каналы: @osint_pythons, @schwarz_osint, @OSINTBY, @Osint_san_frame_work
Please unban these osint channels: @osint_pythons, @schwarz_osint, @OSINTBY, @Osint_san_frame_work
@PressBot
@AmeliaTearheart
@BotSupport
[email protected]
[email protected]
[email protected]
[email protected]
Мы также будем благодарны любому освещению этой ситуации в любых блогах и СМИ 🤝
Please open Telegram to view this post
VIEW IN TELEGRAM