DevSecOps Talks

Эксплуатация software supply chain уязвимостей в Consul Всем привет! Сегодня предлагаем вам небольшую статью, в которой Авторы рассказывают о том, как им удалось найти dependency confusion в проекте Consul. Началось все с того, что они обнаружили пакет, управление версиями для которого не осуществлялось. Да, был еще один конфигурационный файл, который это нивелировал. Однако, не все пакетные менеджеры смогли бы это «понять». Например, с pnpm могли возникнуть нюансы. Продолжив исследование, команда нашла еще несколько подобных пакетов.  Оказалось, что они «свободны» и их можно «занять». Именно это и сделали исследователи. Создали простой payload, который возвращает следующую информацию: hostname, whoami и path. После чего разместили пакет на общедоступном ресурсе. И… это сработало! Спустя некоторое время команда получила pingback с информацией о «жертве». После успешного PoC пакет был удален, а команда HashiCorp («владельцы» Consul) внесли необходимые изменения. Хорошо то, что хорошо заканчивается! Тем не менее это лишний раз подчеркивает важность и значимость обеспечения безопасности цепочки поставки ПО. P.S. Информацию об уязвимых версиях и особенностях эксплуатации можно найти в статье.

Использование LLM для Application Security, опыт DryRun Security Всем привет! Наверное, каждый пробовал поместить если уж не исходный код, то результаты срабатываний *AST-решений в LLM с вопросом – «Что тут false, а что – true positive?» До сих пор нет однозначной позиции (кроме надежды на silver bullet, которая теплеет внутри) о том, насколько именно LLM могут быть полезны в этом вопросе. Сегодня предлагаем вам ознакомиться со статьей от DryRun Security, которые в течение года использовали разные LLM для того, чтобы оценить их «пригодность» для Application Security нужд. Как обычно, началось все с недовольства работой *AST решений: много «шума», отсутствие понимания контекста, не самая высокая производительность, труднопонимаемые результаты для разработчиков и т.д. Казалось бы, все это можно решить с использованием LLM. При этом получится отличный «переводчик» между AppSec и разработчиками. Однако, команда все-таки столкнулась с нюансами 🍭 Не все LLM хорошо понимают «в код» 🍭 Результаты не всегда содержат информацию, позволяющую принять решение 🍭 Нюансы, связанные с конфиденциальностью (если используется внешняя LLM) 🍭 «Тренировка» модели процесс не конечный, его надо поддерживать, что не всегда просто Поэтому реализовать концепт «отдали код – получили перечень уязвимостей» не будет работать. Но расстраиваться не стоит 😊 Если кратко, то использованием LLM может неплохо помочь Application Security, но с нюансами. Какими? Ответ вы найдете в статье 😊 P.S. А что вы думаете про использование LLM для описанных в посте целей? Можно ли на них полагаться или лучше не стоит?

Client-Side Path Traversal Playground Всем привет! По ссылке доступен GitHub-репозиторий, в котором можно найти Client-Side Path Traversal (CSPT) Playground, подготовленную ребятами из Doyensec. CSPT – тип уязвимости, который позволяет злоумышленнику манипулировать файлами, используемыми клиентскими приложениями. Да, они не так распространены, как их «старший брат» (Server-Side Path Traversal), но, тем не менее, результаты могут быть не самые приятные: от XSS до разглашения чувствительной информации. С примерами можно ознакомиться в статье от Doyensec или в Whitepaper (отправим в следующем посте). Сам же repo содержит 2 основных сценария: 🍭 CSPT to CSRF 🍭 CSPT to XSS Для запуска необходимо лишь выполнить docker compose up, после чего перейти на http://localhost:3000 и начать исследование.

Stateful Apps в Kubernetes: возможные способы реализации Всем привет! Интересная обзорная статья о том, как работать с Stateful Apps в Kubernetes. Начинается все с истории их возникновения, определенной потребностью нет-нет, да и сохранять состояние, вопреки stateless-идеологии. Далее – интересней! Статья разбирает такие аспекты, как: 🍭 Принципы работы StatefulSets, их недостатки и подводные камни 🍭 Работа с PV и PVC – что может пойти не так и почему этим может быть сложно управлять 🍭 Использование Operators (на примере ClickHouse) В статье крайне много наглядных примеров относительно того, почему реализация хранения чего-либо в Kubernetes – не самая очевидная задача. Завершает статью небольшой перечень Operators, которые можно использовать в случае, если необходимо реализовать Stateful App P.S. А как вы считаете? Надо ли это делать или все же Kubernetes – это про Stateless подход?

Защита ArgoCD в multi-tenant окружениях Всем привет! Еще одна статья, посвященная безопасности ArgoCD. Можно выделить два наиболее значимых аспекта – контроль того, куда можно устанавливать что-либо и контроль тех, кто может взаимодействовать с системой. Далее Авторы описывают: 🍭 Контроль доступа к ресурсам ArgoCD с использованием policies 🍭 Контроль доступа к ресурсам Kubernetes c использованием Application Project Завершает статью наглядный пример того, как все это можно реализовать на практике для двух команд. Первая команда может только просматривать собственные Applications, вторая – просматривать/редактировать свои Applications и видеть Applications первой команды. Дальше – детальные примеры того, как это можно настроить: screenshots, комментарии, конфигурационные файлы – все на месте 😊

Сколько времени проходит между ударом по рукам и началом работы продукта на примере ZIIoT Наши коллеги по цеху, ребята из «Лаборатории Числитель», выпустили пятый выпуск собственного видеоподкаста. Приглашенным гостем стал Максим Шалаев, главный архитектор платформы ZIIoT в ГК «Цифра». ✔️ Как разрабатывалась платформа ZIIoT и развивалась за последние три года ✔️ Кто целевая аудитория решения ✔️ С кем уже были реализованы проекты ✔️ Как устроена продуктовая команда и в чем особенности работы в промтехе Ответы на эти и другие вопросы вы найдёте в записи подкаста. Cмотрите на удобной для вас платформе: 📺 Rutube 📺 YouTube

Kondense – управление мощностями в Kubernetes Всем привет! С использованием Kondense можно управлять вычислительными ресурсами workloads, запущенных в кластере Kubernetes. «Устанавливается» он как Sidecar Container. После этого вычислительные ресурсы «целевого контейнера» будут меняться без необходимости его перезапуска. Kondense обладает минималистичным набором настроек. Например: 🍭 Минимально допустимое количество потребляемых ресурсов 🍭 Максимально допустимое количество потребляемых ресурсов 🍭 Целевое значение memory pressure 🍭 «Коэффициенты изменения» вычислительных мощностей и не только Если вам интересно прочитать о том, как Kondense «вычисляет» использование CPU и памяти, то это написано тут и тут.

Minefield: работа со SBOM Всем привет! Bitbom Minefield – утилита, которая позволяет оптимизировать работу со SBOM за счет автоматизации отдельно взятых задач. Глобально его функционал можно разделить на 3 категории: 🍭 Query. Гибкие пользовательские запросы для поиска необходимых данных 🍭 Leaderboard. Показывает узлы, которые наиболее часто встречаются в указанной query 🍭 Cache. Очень быстро кеширует данные и может с ними работать в offline-режиме 😊 Правда! Можно посмотреть на данные в repo Помимо этого, он позволяет визуализировать информацию, полученную по результатам запроса. Больше информации можно найти в repo проекта в официальной документации.

Comprehensive container security guide от Sysdig Всем привет! Все так! По ссылке можно найти достаточно много информации по безопасности контейнеров, подготовленной командой Sysdig. Команда структурировала все следующим образом: 🍭 По горизонтали – возможные действия для защиты – Prevent, Protect, Detect и Respond 🍭 По вертикали – «объекты» анализа и защиты – от Code до Container 🍭 На пересечении – практики, которые можно использовать Далее для каждой практики представлено свое описание с примерами. Да, хоть статья и «вендорская» - явных отсылок к решениям Sysdig нет, материал «общего характера» (ну почти 😊). Помимо этого, в статье очень много ссылок на другие полезные материалы по теме.

Escalate, Bind и Impersonate в Kubernetes Всем привет! Есть несколько вещей, на которые можно смотреть бесконечно. Корректная настройка полномочий и привилегий, особенно в условиях гибкой ролевой модели – одна из них. В статье описываются полномочия, использование которых может привести к не самым приятным последствиям. Автор рассматривает: 🍭 escalate. Позволяет пользователям создавать и редактировать роли, даже если изначально у них не было таких полномочий 🍭 bind. Позволяет создавать и редактировать RoleBindng и ClusterRoleBinding 🍭 impersonate. Позволяет «выдавать себя» за кого-то другого Для наглядности Автор создает простой ServiceAccount, которому назначается роль с возможностью get, watch, list для pods. Далее он предоставляет указанные полномочия и показывает, как их можно «использовать» (не) по назначению для повышения привилегий. Много примеров, экспериментов и пояснений. А в завершении – немного рекомендаций о том, как этим можно управлять – рекомендуем!

Рад представить вашему вниманию небольшой материал по теме безопасности фронтенда. В данном сборнике упомянуты многие темы, связанные с клиентскими атаками. Показаны примеры из Bug Bounty по ходу изучения и разобраны способы защиты от многих Client-Side уязвимостей 😊 😉 Например, вы подробнее познакомитесь с тем, как работают Same-Site, Cross-Site, Cross-Origin, Prototype Pollution, DOM Clobbering, CSS Injection, XSLeaks, а также узнаете о многих видах XSS. Вы также узнаете, как можно комбинировать уязвимости друг с другом, и поймете, почему клиентские уязвимости остаются актуальными по сей день 😘 Подробнее

Просто титаническая работа от wr3dmast3r!!! Крайне рекомендуем для изучения :)

Анализ исходного кода с CodeTotal Всем привет! CodeTotal – open source решение, которое позволяет анализировать code snippet, файл или репозиторий исходного кода на предмет наличия уязвимостей в коде и конфигурационных файлах. Есть минималистичный UI, в который надо поместить вышеуказанное, нажать кнопку и «Готово»! Да, вот так просто 😊 Все потому, что CodeTotal – ни что иное, как графическая «обертка» над проектом MegaLinter, который включает в себя поддержку более 100 средств анализа. Например: 🍭 Bandit 🍭 Checkov 🍭 GitLeaks 🍭 Semgrep 🍭 Syft и многое другое Помимо ИБ-сканеров MegaLinter «поддерживает» анализаторы, связанные с качеством кода и корректностью написания конфигурационных файлов. Нюанс в том, что CodeTotal не поддерживается разработчиком (последний release был в августе 2023), а вот MegaLinter – вполне!

Kobs: observability для Kubernetes Всем привет! Kobs – open source проект, который позиционируется, как «application-centric observability platform for Kubernetes and Cloud workloads». Его функционал достаточно обширен: 🍭 Возможность работы с ресурсами (например, edit) 🍭 Получение терминала до ресурсов 🍭 Сбор metrics, logs и traces 🍭 Отображение topology (визуализация взаимосвязи компонентов приложения) 🍭 «Интеграция» с Prometheus и Istio для взаимодействия с ними через Kobs и не только Вся информация отображается в наглядном UI, примеры которого можно найти в repo проекта или на сайте. Кроме того, Kobs можно «расширять» через plugins, часть из которых поставляется «уже из коробки» (Kiali,  Jaeger, Jira и т.д.). Информацию об архитектуре, способе установке и первичной настройки решения можно найти по ссылке.

Замена StatefulSets на Custom Operator: опыт Timescale Всем привет! На протяжении некоторого времени команда Timescale использовала StatefulSets для того, чтобы управлять клиентскими database pods и их volumes. Однако, у StatefulSets есть ряд неудобств, например: «неизменность» VolumeClaimTemplate; нюансы, связанные с изменением размера Volume; особенности работы Rolling Update и не только (больше информации можно найти в статье). Из-за вышеописанных причин команда решила заменить «стандартные» StatefulSets на собственные, которые они назвали PatroniSets. И, конечно же, не обошлось без собственного Kubernetes Operator’a. Ребята определили набор требований: 🍭 Новый ресурс должен быть прямой заменой StatefulSets с «бесшовной миграцией» 🍭 Он должен понимать контекст PostgreSQL/Patroni: кто есть «главный» 🍭 CR должен быть полностью декларативен 🍭 Любые действия должны быть направлены на сокращение времени простоя. Например, в HA варианте реплика обновляется первой 🍭 Он должен управлять всеми изменения Volumes и не только После определения требований команда начала разработку собственного оператора. Логика его работы и подводные камни, с которыми столкнулись в Timescale при его разработке - все это можно найти в статье. В результате PatroniSets начали использовать для новых сервисов в феврале 2024 года. Спустя некоторое время команда убедилась в работоспособности концепта и готова переводить на него существующие сервисы.

Netfetch: анализ сетевых политик Kubernetes Всем привет! Netfetch – утилита, которая позволяет проанализировать контроль сетевого трафика в кластере Kubernetes при помощи Network Policies. С использованием Netfetch можно: 🍭 Получить сведения о pods, на которые не распространяются сетевые политики 🍭 Визуализировать информацию о pods и network policies в интерактивной карте 🍭 Создать Network Policies в случае их отсутствия 🍭 Просканировать определенную политику, чтобы получить информацию о pods, на которые она «действует» и не только Nefetch представляет из себя CLI-утилиту и интерактивный dashboard, который отображает информацию, описанную выше. Утилита работает со следующими видами Network Policies: Native, Cilium и Calico. Больше информации – примеры использования, демонстрация возможностей и внешний вид UI – все это можно найти в repo проекта.

Application Security Handbook Всем привет! По ссылке можно найти Application Security Handbook, которая является «логическим продолжением» Application Security Cheat Sheet (о которой мы писали тут). Внутри собрана информация о: 🍭 AuthN/Z 🍭 Cookie Security 🍭 File upload 🍭 Input validation 🍭 Session Management и не только Handbook не «привязан» к какому-либо языку. Каждый раздел содержит набор рекомендаций о том, что стоит делать и о том, чего лучше избегать. Например, перечень «точек входа», которые надо контролировать: параметры запросов, HTTP-заголовки, Cookies, тело запроса и т.д. Материал минималистичен: в нем нет «воды», только набор рекомендаций по тематикам, описанным выше. Может пригодиться при создании собственной базы знаний по безопасной разработке 😊

Как AppSec и разработке понять друг друга? И от чего предстоит защищаться? Выясним на SafeCode Meetup №3 от конференции SafeCode и Positive Technologies.  📆 22 октября в Москве, в 19:00. Доклады в программе: — Юрий Паликшанов из Альфа-Банка поделится опытом перевода с AppSec-овского на разработческий — как договориться, чтобы исправить уязвимости и писать безопасный код в будущем. — Алексей Морозов из Samokat.Tech покажет примеры свежих нетривиальных уязвимостей и способы от них защититься. После каждого доклада у вас будет возможность задать вопросы спикерам — за лучшие вопросы к каждому докладу подарим билеты на конференцию SafeCode 2024 Autumn. Для участия нужно зарегистрироваться. Добавляйте событие в календарь, чтобы ничего не пропустить.