DevSecOps Talks

DevSecOps митап на CyberCamp! 27 марта в 12:00 МСК С прошлого DevSecOps митапа CyberCamp прошло целых три года, огромное количество событий успели произойти за это время, вышли новые фреймворки и инструменты DevSecOps, изменились подходы к анализу кода и процессам безопасной разработки. И все эти изменения будут освещены на самом большом митапе в истории CyberCamp! Интересные доклады, практические задания, море интерактива ждут тебя, дорогой читатель, как онлайн, так и в оффлайн-студии! Спикеры: 😎 Антон Михайлов, SAST в DevSecOps: от «сканера в пайплайне» к управлению риском релиза 😎 Женя Богачев, Моделирование угроз как фундамент безопасной архитектуры ПО 😎 Антон Володченко, Композиционный анализ: из чего состоит и как помогает? 😎 Антон Гаврилов, 6 дней AppSec 😎 Полина Соломенцева, В одном далеком-далеком контейнере... 😎 Юра Шабалин, Безопасность мобильных приложений в РФ: риски, требования и практики защиты 😎 Сева Шамов, Runtime — наше всё: как мы ищем уязвимости динамически и какие инструменты используем 😎 Саша Бакин, AppSec под нагрузкой: масштабирование анализа кода в условиях ограниченных ресурсов 😎 Дима Евдокимов, Путеводитель по безопасности контейнеров и Kubernetes 27 марта в 12:00 МСК! 🧿 Регистрация l 👋 Комьюнити

Multi-Cluster Scaling: опыт Kedify Всем привет! Зачастую, кластер Kubernetes существует в единственном числе недолгое время. Рано или поздно кластеров становится несколько. Например, из-за технических (сокращение задержки), организационных (отдельный кластер под определённую команду) или регуляторных (сокращение «области действия» требований) причин. И тут начинается самое весёлое: всё, что было сделано для того «первого» кластера надо отмасштабировать на остальные. И не только отмасштабировать, но и централизованно управлять всем этим, что приводит к «двойной работе». В статье от Kedify описан подход, который использовала команда, чтобы решить эту задачу. Если кратко, то всё просто: создание единого «мозга», который всем управляет. Но дьявол в деталях! Ребята используют один KEDA-кластер, который анализирует метрики и взаимодействует с Member-кластерами через kube-apiserver. Member-кластеры, в свою очередь, создают необходимые нагрузки и всё это с минимально-необходимыми правами. Для того, чтобы KEDA-кластер мог управлять Member-кластерами команда сделала свой CRD - DistributedScaledObject. Он определяет, на каких Member-кластерах можно создавать ресурсы, что делать в случае их недоступности, как собирать информацию о «здоровье» и т.д. В итоге получается конструкция, которая позволяет управлять несколькими кластерами Kubernetes «на масштабе» и может работать в случае недоступности некоторых Member-кластеров. Больше информации, как обычно, можно найти в статье.

Использование AI агентов для исследования CVE Всем привет! В статье от Praetorian описан концепт, в котором AI агенты используются для автоматизации процесса исследования уязвимостей (CVE). За основу взят Google’s Agent Development Kit (ADK), который «координирует» весь процесс, состоящий из 4-х шагов. Шаги представляют из себя: 🍭 Deep Research. Получение максимального количества информации о CVE 🍭 Technology Reconnaissance. Определение технологий, которые могут быть «подвержены» CVE 🍭 Actor-critic Template Generation. Формирование Nuclei Template на базе собранной информации 🍭 Exploitation Analysis. Анализ векторов атак, возможных техник, ущерба и т.д. На выходе, в идеале, получается Nuclei Template, который можно использовать для проверки того, подвержен ли сервис X уязвимости Y. Для каждого этапа вышеописанного процесса используются различные модели. Т.е., в зависимости от решаемой задачи, выбирается «оптимальный инструмент». Больше подробностей, включая краткое описание того, как это используется, можно найти в статье.

Container Exploration Kit Всем привет! Бывают случаи, когда нужно «посмотреть» что-то внутри контейнера и при этом не хочется (или не представляется возможным) его запускать, делать exec и просматривать содержимое. Одним из возможных решений может оказаться Dive. Из нюансов – он хорош для получения информации о содержании и структуре, анализа слове и изменений, но… он все равно запускает контейнер. Если надо нечто более простое и с меньшим функционалом, то cek – Container Exploration Kit – может вам пригодиться. Он позволяет анализировать содержимое контейнеров без непосредственного их запуска. Из возможностей можно отметить: 🍭 Просмотр файлов в образе, директории, по определенным шаблонам, слоям 🍭 Чтение содержимого файлов 🍭 Получать перечень доступных tags для контейнера 🍭 Экспортировать образы контейнеров в *.tar-архивы 🍭 Отображать дерево директорий внутри контейнера И все это в небольшом исполняемом файле. Очень удобно, если надо быстро что-то получить из образа. Больше подробностей можно прочесть в GitHub-репозитории проекта.

sk8r: Kubernetes Dashboard Clone! Всем привет! Небольшой пятничный пост. Да! sk8r – еще один open-source дашборд для работы с кластерами Kubernetes. Он может: 🍭 Создавать, просматривать, изменять Kubernetes-ресурсы 🍭 Отображать логи pod’ов в режиме реального времени 🍭 Отображать информацию о метриках за счет интеграции с Prometheus 🍭 Получать доступ к терминалу pod’a Да, ничего сверхъестественного. С другой стороны – всё очень лаконично и просто, ничего лишнего для получения «первичной информации» о том, что происходит в кластере. А каким инструментом пользуетесь вы?

Защита Kubernetes с Kyverno и KubeArmor Всем привет! В статье Автор рассматривает способы обеспечения безопасности кластера Kubernetes в двух «временных точках». Первая – контроль того, что запускается. Для этого он предлагает использовать Kyverno. Задача – сократить вероятность того, что будет создано «нечто», что противоречит требованиям ИБ. Однако, мир не идеален. На все случаи жизни политики не напишешь. Поэтому важна и вторая «временная точка» – защита того, что уже запущено. Для этого Автор предлагает использовать KubeArmor. Да, это далеко не все «точки», но отлично демонстрирует важность использования разных подходов в разные моменты времени для повышения общего уровня ИБ и минимизации вероятности того, что что-то «пойдет не так». Далее Автор рассказывает о том, как установить решения и настроить первичные (базовые) политики, чтобы лучше разобраться в том, как это работает. В завершении – набор общих советов о том, на что стоит обращать внимание для защиты кластера. Статья вряд ли заинтересует «бывалых», но может быть полезна для тех, кто только начинает разбираться в безопасности Kubernetes.

Agentic AI Threat Landscape Всем привет! В статье (~ 25 минут на прочтение) можно найти информацию о способах атак и защиты на агентские AI. Начинается всё с погружения в контекст – как именно работают AI агенты, и какие могут быть фундаментальные проблемы ИБ с ними связанные. Далее материал структурирован по разделам: 🍭 Indirect Prompt Injection 🍭 Tool Poisoning 🍭 Memory Poisoning 🍭 Data Exfiltration, Code Execution и 🍭 Expanding Attack Toolkit 🍭 Persistence, Backdoors и не только Для каждого раздела приводится краткое описание проблематики с диаграммами и примерами, иллюстрирующими технику атаки. В завершении описаны (очень кратко) описаны способы защиты. Итого – неплохой обзорный материал для лучшего погружения в тему. Рекомендуем!

sbom-tools: TUI для работы со SBoM Всем привет! sbom-tools – open-source проект для анализа SBoM, представляющий из себя «графическую оболочку» для терминала. Из ключевых возможностей можно отметить: 🍭 Определение изменений (добавлено, удалено, изменено): зависимости, лицензии и уязвимости 🍭 Поддержка CycloneDX (1.4 – 1.6), SPDX (2.2 – 2.3) 🍭 Обогащение данными об уязвимостях за счёт интеграции с OSV и KEV 🍭 Анализ качества – оценка SBoM на соответствие требованиям стандартов (NTIA, FDA, CRA и не только) 🍭 Предоставление «отчётности» в разных форматах: JSON, SARIF, MD, CSV и не только Больше информации про sbom-tools (включая множество скриншотов) можно найти в GitHub-репозитории или в документации. А если хочется «видео-сопровождения», то можно посмотреть вот это видео, в котором Автор утилиты (Alex Matrosov) рассказывает про нее и показывает возможности.

CredData: набор данных с секретами Всем привет! Если вы хотели найти набор данных (data set) для тестирования инструментов по поиску секретов или для обучения модели, то CredData – Credentials Data – от Samsung может вам подойти! Набор данных состоит из 19,459,282 строк кода, которые были «извлечены» из 11,408 файлов, находящихся в 297 репозиториях. Данные также разделены по языкам: Golang, YAML, Python, Markdown, PHP и т.д. Для некоторой части данных реализована разметка. С использованием этого набора команда Samsung, в том числе, сделала сравнительный анализ таких open-source решений, как: detect-secrets, gitleaks, truffleHog и не только. Кстати, в сравнении участвовал и собственная разработка Samsung – CredSweeper, с которым можно ознакомиться тут. Результаты сравнения, больше информации о CredData можно найти в GitHub-репозитории проекта.

Агент был скомпрометирован Агентом для установки Агента Всем привет! Нет, вам не показалось – всё так. Эта история недавно случилась с Cline (AI-ассистентом с открытым исходным кодом). Произошло примерно следующее Агент (Cline) был скомпрометирован Агентом (Claude Issue Reviewer) для установки Агента (OpenClaw). Такое получилось реализовать из-за уязвимости, о которой исследователь по безопасности сообщил Cline, но! PoC на эту уязвимость оказался в открытом доступе ДО того, как она была устранена. Упрощенно порядок действий был таким: 🍭 Создание Issue с определённым заголовком 🍭 Этот заголовок позволил реализовать prompt injection для установки вредоносного кода 🍭 Утечка секретов (NPM_TOKEN, VSCE_PAT, OVSX_PAT) были «переданы» злоумышленнику 🍭 Публикация «обновлённого» пакета злоумышленником – cline@2.3.0 🍭 Установка пакета приводила к npm install -g openclaw@latest Из хорошего – это трудно назвать «атакой», но в качестве примера «что может пойти не так» - очень наглядно. В самой статье все описано в разы детальнее. Ссылки на commits, комментарии, пояснения происходящего и дополнительная информация. То, что надо для пятницы! Рекомендуем!

Kubernetes the (Very) Hard Way Всем привет! «Kubernetes – это всего 5 бинарей» - такую фразу можно часто услышать. Её достаточно трудно оспорить, однако всё ли так просто на самом деле? В своё время появился такой проект как «Kubernetes The Hard Way», который показывал, что это так, да не совсем. Суть его состояла в том, что вас «лишают» всех удобств, средств автоматизации и всё устанавливается и настраивается «руками». Впоследствии он был дополнен и реализован на русском языке Дмитрием Путилиным (ознакомиться можно тут). Но что, если и этого недостаточно и хочется «еще больше жести»? С этим может помочь курс «Kubernetes the (Very) Hard Way». В нём придется «развернуть» кластер Kubernetes «с нуля» без использования средств автоматизации. Курс состоит из модулей: 🍭 Introduction 🍭 Worker Node 🍭 Control Plane 🍭 Cluster Каждый модуль внутри делится на более точные и конечные задачи. И, что самое классное! Пока что курс бесплатный ☺️ Такой подход позволяет гораздо лучше понять, что такое Kubernetes, из чего он состоит и что именно делает тот или иной его компонент. P.S. Курс еще «не завершен», следить за публикациями новых материалов можно непосредственно на сайте.

Safe Chain: безопасность цепочки поставки Всем привет! Safe Chain – open-source инструмент от команды Aikido Security, который может быть использован для защиты цепочки поставки ПО. Если просто, то он блокирует загрузку пакета, если есть подозрение о том, что он может быть вредоносным. Если чуть более развёрнуто, то Safe Chain представляет из себя proxy, который перехватывает запрос на скачивание пакета. Далее происходит проверка пакета с использованием Aikido Intel – Open Source Threat Intelligence и, если что-то было найдено, скачивание блокируется. На текущий момент утилита работает с npm и PyPi. Реализована поддержка следующих пакетных менеджеров: npm, npx, yarn, pnpm, pnpx, bun, bunx, pip, pip3, uv, poetry, pipx. В планах у ребят реализовать поддержку большего количество языков. Больше про Safe Chain, включая сценарии использования, можно прочесть в GitHub-репозитории проекта.

Обход Content Security Policy Всем привет! Content Security Policy – CSP – является важным аспектом обеспечения информационной безопасности при работе с веб-сайтами. Но, если она не настроена или настроена некорректно, то это может привести к не самым приятным последствиям. В статье от Intigriti можно ознакомиться с некоторыми способами ее «обхода». Рассматриваются такие сценарии как: 🍭 No Content Security Policy (CSP) declaration 🍭 Bypassing CSP enabled in reporting mode only 🍭 Bypassing CSP via non-restrictive declarations 🍭 Bypassing CSP via predictable nonces 🍭 Bypassing CSP via CSP injection Каждый пример разбирается достаточно подробно. А понимание способов «обхода» может дать лучшее представление о том, как лучше настроить CSP.

KubeStellar Console: еще один Kubernetes UI? Всем привет! KubeStellar Console – open-source проект, который представляет из себя Kubernetes Dashboard, позволяющий работать с несколькими кластерами. И вроде всё как всегда всё те же чашки, ложки, но да не совсем! Отличительной особенностью KubeStellar Console является адаптивность: он анализирует то, как вы работаете с кластерами и «подстраивает» отображение под ваши предпочтения. Самостоятельно. С использованием ИИ. Если говорить про общие функции, то можно выделить следующие: 🍭 Работа с множеством кластеров (OpenShift, GKE, EKS, Kind, или иной «дистрибутив» Kubernetes 🍭 Персонализированные dashboard’ы 🍭 Обновления состояния в режиме реального времени 🍭 Отслеживание состояния «здоровья» всех приложений 🍭 Уведомления через Slack, почту или с использованием webhook После установки KubeStellar Console «спросит» у вас несколько вопросов (ваша роль, что наиболее интересно, используете ли GitOps и т.д.). На основании ответов будет создан dashboard, соответствующий вашим предпочтениям. Далее он анализирует ваше поведение в «повседневной деятельности»: что вы часто используете, что не очень, на каких «экранах» останавливаетесь и т.д. Используя эти данные KubeStellar Console предложит варианты по изменению «внешнего вида». Звучит достаточно интересно. Насколько это применимо на практике – вопрос. Возможно, что кто-то уже им пользовался – пишите в комментариях свои впечатления. И, по традиции, больше подробностей про KubeStellar Console можно найти в GitHub-репозитрии проекта и в документации.

BadPods: «всё разрешено» на AWS EKS Всем привет! Есть такой проект – BadPods – в котором собраны 8 «плохих» конфигураций для pod, запускаемых в кластере Kubernetes. «Плохими» они являются потому, что недостатки в их конфигурации могут привести к серьезным последствиям по информационной безопасности. В статье Автор разбирает самый первый и самый «простой» из них – Everything Allowed. Получается следующий сценарий: 🍭 Использование ошибок в конфигурации для побега (escape) на узел кластера 🍭 Горизонтальное перемещение, поиск «жертвы» 🍭 Побег (escape), но уже на уровень самого облака Да, с такой конфигурацией pod реализовать это не очень сложно, но материал может быть полезен для начинающих. Помимо этого, рекомендуем посмотреть на все 8 BadPods, т.к. проект позволяет наглядно убедиться, чем «плоха» та или иная конфигурация. Для каждого из них есть детальное описание, которое позволит воспроизвести весь пусть самостоятельно.

A Brief Deep-Dive into Attacking and Defending Kubernetes Всем привет! По ссылке доступен материал, который может быть полезен, если вы начинаете изучать безопасность Kubernetes. В нём Автор постепенно переходит от того, как устроен оркестратор к различным способам атак на него. Рассматриваются такие разделы, как: 🍭 Unauthenticated API Access 🍭 Overly Permissive Role-based Access Control 🍭 SeviceAccount Token Abuse 🍭 Malicious Admission Controllers 🍭 CoreDNS Poisoning и не только Материал хорош тем, что в нём собрано много всего интересного и полезного в единой «точке». Кроме того, для каждого раздела Автор приводит наглядные примеры со скриншотами и конфигурациями.

Guardon: анализ манифестов… в браузере! Всем привет! Для анализа Kubernetes-манифестов на соответствие лучшим практикам по информационной безопасности есть «проверенные временем» решения. Например, Kyverno и OPA Gatekeeper. Работают они перед тем, как ресурс будет создан в кластере. Хочется левее? И это можно. Например, в CI/CD. Еще левее? И да, так тоже можно! Например, с использованием Guardon. Он представляет из себя браузерное расширение (Chrome), которое анализирует просматриваемые манифесты «прямо на месте». Что он может: 🍭 Создавать правила с использованием собственного конструктора 🍭 Находить «проблемные места» в открытом манифесте 🍭 Предлагать решение найденных недостатков (генерация обновлённого yaml) 🍭 Копировать полученный результат для дальнейшей работы 🍭 Объяснять почему так (не) надо делать 🍭 Импортировать правила из Kyverno (пока что реализован прототип) 🍭 Даже тёмная тема есть!!! Удобно, что конструктор правил позволяет добавить необходимую информацию «от себя». Посмотреть на него «в действии» можно в ролике, указанном в репозитории. Да, достаточно молодая разработка, но выглядит достаточно интересно и подход может применяться на практике. А вы бы стали использовать нечто подобное?

Новый релиз JCSF! Чудеса случаются, если в них верить! Доказательство этому - новый релиз JCSF! 😊 В этой версии мы: 1. Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик 2. Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian 3. Для соответствующих практик указали маппинг на Угрозы Безопасности Информации (УБИ) ФСТЭК 4. Причесали дизайн и внешний вид В планах: 1. Сделать расчет FTE на задачи ИБ в средах контейнеризации и контейнерной оркестрации 2. Актуализировать связь контролей (вкладка "Контроли") и соответствующих групп практик Если у вас есть вопросы или непреодолимое желание поучаствовать в развитии Jet Container Security Framework (JCSF) - обязательно пишите нам здесь в комментариях или на почту dso@jet.su

🔐 Sec в DevSecOps: ищем баланс безопасности в процессе разработки! Всем привет!👋 🤔 Знакомая ситуация? Безопасность важна, но не хочется превращать процесс разработки в бесконечную череду проверок и согласований! В нашей новой статье разобрали самые острые вопросы интеграции безопасности в DevOps: 📊 4 подхода к внедрению Security в процессы разработки 🛠 Shift-Down Security — плюсы и минусы революционного подхода 🏢 Платформенный подход как способ облегчить жизнь разработчикам 🔥 Главное — найти баланс между защитой приложения и комфортом команды! 🔍 Читайте подробнее в посте на Хабре