DevSecOps Talks

Kogaro: «гигиена» Kubernetes Всем привет! При работе с Kubernetes-ресурсами важно понимать, какие есть недостатки в используемых конфигурациях. Это характерно как для ИБ, так и для ИТ. Да, есть различные Policy Engine, для которых можно использовать существующие политики или написать свои и решить задачу. Но, если нужно нечто минималистичное, что включает в себя множество самых «распространенных» проверок, то можно воспользоваться Kogaro. Основная идея, которую он преследует – простота и полнота. «Внутри» он содержит более 60 проверок. Они подразделяются на типы: 🍭 Reference Validation (11 проверок) 🍭 Resource Limits validation (10 проверок) 🍭 Security Validation (12 проверок) 🍭 Image Validation (5 проверок) 🍭 Networking Validation (9 проверок) Конечно, его функциональность несравнима с Kyverno, OPA Gatekeeper и его аналогами, но! Иногда и правда требуется что-то простое, с чего можно начать. Подробнее о способах установки, настройки и правилах проверки можно прочесть в GitHub-репозитории проекта.

GraphQL Cop: аудит безопасности GraphQL Всем привет! GraphQL Cop – open-source утилита, которая позволяет выявлять ИБ-дефекты при работе с GraphQL API. С её помощью можно протестировать API еще до того, как он попадёт в среду эксплуатации. Грубо говоря, набор скриптов, которые идентифицируют ИБ-дефекты и которые можно встроить, например, в конвейер непрерывной сборки. Она поддерживает следующий набор тестов: 🍭 Batch Queries (DoS) 🍭 POST based Queries using urlencoded payloads (CSRF) 🍭 Field Suggestions (Info Leak) 🍭 Directives Overloading (DoS) 🍭 Mutation support over GET methods (CSRF) и не только Утилита является небольшим Python-приложением, проста в установке. Возможен вариант с запуском через Docker-контейнер. Из приятного – на выходе она предоставляет, в том числе, cURL-команду, которую можно использовать для воспроизведения теста локально.

Meshery: self-service engineering platform Всем привет! Хотя так и может показаться из названия, но нет! Meshery это не ещё одно ServiceMesh-решение. Meshery – это open-source платформа, которая позволяет управлять Kubernetes-based инфраструктурой и приложениями, которые на ней запущены. Ключевой функционал Meshery можно разделить на блоки: 🍭 Управление жизненным циклом ИТ-инфраструктуры 🍭 Управление несколькими Kubernetes-кластерами и облаками из «единого окна» 🍭 Анализ производительности кластеров с возможностью генерации нагрузки на запущенные в кластере приложения 🍭 Получение информации о событиях, генерируемых ресурсами, запущенными в кластере 🍭 Возможность реализации GitOps-подхода для управления ресурсами кластера и не только Это далеко не просто «ещё один Kubernetes UI», т.к. Платформа предлагает множество дополнительных возможностей. Описать их все не получится, поэтому рекомендуем обратиться к документации, в которой всё достаточно подробно описано. P.S. Проект уже отмечен CNCF и находится у них в Sandbox!

HackLabs: лабораторные работы по AppSec Всем привет! HackLabs – набор из 43 лабораторных работ по безопасной разработке. Да, большинство из них посвящено OWASP Top 10 (Web), но есть и иные задания. Внутри можно найти: 🍭 Задания по OWASP Top-10 (Web) – от A1 до A10 🍭 Атаки на ИИ 🍭 Побег из контейнера 🍭 Ошибки, связанные с бизнес-логикой и не только Задания распределены по уровням риска – Средний, Высокий, Критический. Дополнительно можно настроить «уровень сложности», влияющий на уровень защиты лабораторных работ. Авторы даже позаботились о системе геймификации – есть раздел, позволяющий отслеживать прогресс и получать достижения. А по завершению будет разблокирован бесплатный «сертификат», подтверждающий спешное прохождение всех лабораторных работ. Подробности об установке, лабораторных работах, примеры того, как это выглядит можно найти в GitHub-репозитории проекта. Единственный нюанс: ¿Hablas español? 😅

EPSS v5 Всем привет! Проблема расстановки приоритетов по устранению уязвимостей была всегда. Сперва для систематизации этого процесса была создана CVSS, которая позволяла оценить степень критичности уязвимости. Но со значительным ростом уязвимостей этот подход перестал оправдывать себя. Особенно во времена, когда с использованием AI нахождение новых CVE сократилось до часов. Да и не все из найденных сканерами уязвимостей достижимы или эксплуатируемы, или могут принести реальный ущерб. Альтернативным предложением стала EPSS – система, которая (в теории) предоставляет ответ на вопрос: «С какой вероятностью эксплуатация той или иной CVE будет осуществлена в течение 30 дней?». Да, звучит как некоторая магия и есть много скепсиса относительно этой системы. Хотя бы потому, что модель данных, алгоритмы и способы получения оценки не открыты полностью. Тем не менее, подход развивается и недавно была представлена 5-ая версия EPSS. Согласно «разработчикам», она на 23% более эффективна, чем предыдущая версия. К сожалению, что именно изменено не указано явно, лишь общие фразы: «улучшены техники моделирования», «улучшена калибровка» и т.д. Подробнее об EPSSv5 можно прочесть тут и тут. А что вы думаете по поводу использования EPSS для решения задачи расстановки приоритетов устранения уязвимостей?

Безопасны ли skills? Всем привет! Да, skills очень похожи на ту самую «волшебную таблетку» - стоит только пожелать и они сделают то, что хочется (по крайней мере так кажется). Просторы сети предоставляют большой выбор на любой вкус и цвет! Соблазн слишком велик и хочется ими всеми пользоваться. Но у медали всегда 2 стороны: некоторые skills не так «безобидны»: они могут красть чувствительные данные, перехватывать контроль над агентами и делать ещё много чего «интересного». Из-за этого появился новый «класс» средств защиты – Skill Scanners, задача которых разобраться в том, что именно делает skill и, если это что-то «нехорошее» - сообщить пользователю, а ещё лучше – заблокировать такую активность. Но любое средство защиты не идеально и всегда найдётся способ его «обойти». Именно эту задачу поставила себе команда Trail Of Bits! Они проанализировали ClawHub’s Malicious Skill Detector, Skill Scanner от Cisco и все сканеры, доступные на skill.sh. Итог? У команды получилось успешно «обойти» все сканеры и на всё про всё ушло менее одного часа. Притом многие используемые техники оказались весьма «банальными». Как именно это получилось у Trail of Bits и что они сделали – описано в статье. Рекомендуем!

Вам близки слова reconcile, CRD и controller-runtime? Тогда 30 июля есть повод выбраться на Kuber Community Day. Конференция во второй раз пройдет в Москве. Участников ждут два потока технических докладов, мастер-класс по созданию Kubernetes-оператора, круглые столы и Arch Dating — короткие встречи с опытными архитекторами и инженерами, где можно обсудить не только технические вопросы, но и карьерное развитие. В программе много любопытных докладов, например: 🍭 «Безопасность air-gapped мультикластерных сред: реалии российского enterprise» Алиса Кириченко, «Штурвал»

Доклад о том, почему даже полностью изолированная инфраструктура не гарантирует безопасность. Какие риски сохраняются в air-gapped-средах, где чаще всего ошибаются команды и как проектировать такие системы без опасных иллюзий.

🍭 «Kubernetes — это всего пять сертификатов» Артем Горячев, «Инфосистемы Джет»

История пути от специалиста техподдержки до Kubestronaut'а: зачем вообще нужны сертификаты, помогают ли они в карьере и как подготовиться к экзаменам без лишней боли.

🍭 «Мониторинг здоровья Kubernetes» Илья Кукшинов и Дмитрий Тараненко, «СберЗдоровье»

Практический кейс, как оценивать «здоровье» кластера не только по CPU и readiness-пробам, но и через безопасность — с помощью Kyverno, Falco и автоматизированных offensive-проверок.

🍭 «От "хранилки" к supply chain platform. Эволюция, которую пропустило большинство команд» Дмитрий Ключников, CodeScoring

О том, как менялось понимание артефактов и систем их хранения: от классических репозиториев до современных платформ, где главный вопрос уже не «можешь ли ты хранить артефакт?», а «можешь ли доказать, что он безопасен?».

Полная программа есть на сайте. Присоединиться можно как офлайн, так и онлайн — регистрация уже открыта.

Semgrep: оптимизация времени taint-анализа Всем привет! Taint-анализ в Semgrep появился достаточно давно. Сперва это был лишь taint в рамках одного файла. Со временем, команда реализовала interfile-анализ, который позволял следить за «движением данных» более детально. Были выделены основные сущности: 🍭 Sources. Ввод данных, контролируемый пользователем 🍭 Propagators. То, что «передавало» данные дальше по «потоку». Например, вызов библиотек и их функций 🍭 Sanitizers. Точки «контроля» и «очистки» данных 🍭 Sinks. Потенциально опасные участки кода, в которые могли попасть пользовательские данные Для того, чтобы это работало, Semgrep «строил» taint-конфигурации, которые впоследствии анализировались для того, чтобы найти ответ на вопрос «Существует ли путь от source до sink?». И вроде бы всё хорошо, но ввиду некоторых особенностей приходилось запускать taint-анализ несколько раз, что влияло на производительность и на скорость работы. Однако! Этот нюанс был устранен в версии 1.158.0 и выше (правда только для pro engine). Команде удалось оптимизировать логику работы «движка» и достичь отличных результатов. Что именно/почему/зачем и как – описано в статье. Помимо логики там представлены результаты тестирования на разных выборках и достигнутые командой показатели эффективности.

Jet SCALE: регулярный анализ безопасности ПО как сервис Всем привет! Сегодня хотим рассказать о запуске Jet SCALE - AppSec-as-a-Service для регулярного анализа безопасности разрабатываемого ПО. Если коротко, это сервис для тех случаев, когда проверять код, зависимости, контейнеры, API и мобильные приложения нужно регулярно, но строить отдельную большую AppSec-команду, внедрять множество инструментов и разбирать бесконечный поток false positive - не хочется, не можется и вообще не успевается. В основе Jet SCALE - технологическая платформа и команда AppSec-инженеров. Платформа берёт на себя автоматизированные проверки и корреляцию результатов, а эксперты помогают разобраться, где реальный риск, а где очередной false positive, который просто решил испортить день. На выходе получается не отчёт ради отчёта, а подтверждённый и приоритизированный список уязвимостей, который можно превращать в задачи для разработки. Что входит в сервис: 🍭 SAST - статический анализ кода 🍭 Secret Detection - поиск токенов, паролей, ключей и других секретов 🍭 SCA - анализ сторонних зависимостей 🍭 Image Security - анализ контейнерных образов 🍭 MAST - анализ безопасности мобильных приложений 🍭 DAST - динамический анализ приложений Подключение сервиса не требует резкой перестройки текущих процессов разработки: Jet Scale можно встроить в существующий SDLC и использовать как регулярный контур AppSec-проверок. Поэтому сервис может быть полезен как компаниям, которые только выстраивают AppSec/DevSecOps-практику, так и командам, которым нужно масштабировать уже существующий процесс анализа безопасности. В общем, если давно хотелось регулярный анализ безопасности ПО, но без превращения этого процесса в отдельный внутренний «мини-завод» по разбору сработок - рекомендуем обратить внимание.

AuthN/Z в Kubernetes Всем привет! Если вы хотели разобраться с тем, как работает аутентификация и авторизация в Kubernetes, но не знали с чего начать, то рекомендуем обратить внимание на вот эти статьи (1, 2, 3, 4). В них Авторы очень детально, подробно и доступно объясняют что к чему и как это всё устроено. Всего доступно 4 статьи: 🍭 Kubernetes Authentication: Users and Workload Identities. Как пользователи и ресурсы (нагрузки) аутентифицируются при взаимодействии с Kubernetes API Server 🍭 The mechanics of Kubernetes RBAC. Взаимосвязь Roles, ClusterRoles, ServiceAccounts, RoleBindings и ClusterRoleBindings 🍭 Implementing a custom Kubernetes authentication method. Настройка «стороннего» Identity Provider’a на примере LDAP-каталога 🍭 Authentication between microservices. Аутентификация запросов между несколькими сервисами, запущенными в кластере Каждая статья достаточно большая сама по себе. В ней собрано много теоретических и практических примеров, а также много диаграмм, которые повышают читаемость и упрощают восприятие материала. Самое «то» для погружения в механизмы аутентификации и авторизации в Kubernetes. Рекомендуем!

Автоматический анализ PR’ов Renovate Всем привет! Сейчас никого не надо убеждать в том, что обновление зависимостей – задача крайне важная, которую нельзя оставлять на потом. «Руками» это делать не всегда удобно и хочется использовать средства автоматизации. Одним из таких средств может быть Renovate или его аналоги. Они обновляют зависимости и вроде бы всё хорошо. Но, бывают и такие случаи – обновление на «мёртвые» зависимости, использование deprecated и иные «неприятности», которые трудно заметить, например, из CI. Чтобы решить эту проблему Автор статьи предлагает такой подход: анализ PR’ов, открываемых Renovate с использованием Claude Code. Сам процесс весьма прост: Renovate предлагает изменения, Claude Code их анализирует и предоставляет свой вердикт – можно ли его принимать или есть потенциальные риски. Для этого Автор сделал собственный Claude Skill, в котором всё подробно описал. Кстати, этот Skill доступен в статье и с ним можно подробно ознакомиться. Что в итоге получилось – всё это можно найти в статье. А также информацию о том, как всё это настроить и какие результаты будут предоставлены пользователю.

Kubernetes 101: тестирования на проникновение Всем привет! Если вы только начинаете знакомство с тестированием на проникновение при работе с Kubernetes, то эта статья может быть вам полезна. В ней Автор сделал общий обзор того, на что стоит обращать внимание в первую очередь и какие ИБ-дефекты искать. Статья содержит информацию о: 🍭 Поверхность атаки – основные компоненты Kubernetes и их назначение 🍭 Основные ресурсы, с которыми предстоит «работать» 🍭 Получение учетных данных и повышение привилегий 🍭 Небольшой обзор полезных утилит для проведения тестирования на проникновение Статья очень базовая и хорошо подойдёт для начала. Из плюсов – всё описано очень понятно и лаконично, есть ссылки на полезные материалы по теме. В завершение представлена ссылка на проект Kubernetes Goat, который можно использовать в качестве «стартовой площадки» для оттачивания навыков.

Radar: визуализация кластера Kubernetes Всем привет! Radar – open-source проект, основной задачей которого является визуализация ресурсов, созданных в кластере Kubernetes и их взаимосвязей. С его помощью можно: 🍭 Получать информацию о ресурсах: статус, события, журналы и т.д. 🍭 Редактировать ресурсы и «проваливаться» в их терминал из UI Radar’a 🍭 Увидеть взаимосвязь ресурсов в кластере: pods, services, ingresses и т.д. 🍭 Получать ретроспективную информацию (timeline) о событиях кластера и потреблении ресурсов 🍭 Анализировать трафик. Данные берутся из Hubble (Cilium), Caretta и/или Istio Дополнительно Radar предоставляет ряд возможностей и для ИБ: аудит кластера на соответствие лучшим практикам и анализ прав доступа. Подробности о решении можно узнать в GitHub-репозитории или в официальной документации.

Radar: визуализация кластера Kubernetes Всем привет! Radar – open-source проект, основной задачей которого является визуализация ресурсов, созданных в кластере Kubernetes и их взаимосвязей. С его помощью можно: 🍭 Получать информацию о ресурсах: статус, события, журналы и т.д. 🍭 Редактировать ресурсы и «проваливаться» в их терминал из UI Radar’a 🍭 Увидеть взаимосвязь ресурсов в кластере: pods, services, ingresses и т.д. 🍭 Получать ретроспективную информацию (timeline) о событиях кластера и потреблении ресурсов 🍭 Анализировать трафик. Данные берутся из Hubble (Cilium), Caretta и/или Istio Дополнительно Radar предоставляет ряд возможностей и для ИБ: аудит кластера на соответствие лучшим практикам и анализ прав доступа. Подробности о решении можно узнать в GitHub-репозитории или в официальной документации.

Prempti: Falco для AI Coding Agents Всем привет! Falco – крайне известный инструмент в мире защиты сред контейнеризации. Он позволяет анализировать поведение контейнеров. Теперь с его помощью можно узнать больше о том, какие действия на самом деле реализуют AI Coding Agents. Именно это и делает Prempti, использующая Falco «под капотом». Она позволяет: 🍭 Перехватывать запросы к инструментам в режиме реального времени (shell-команды, работа с файлами, анализ вызова MCP) 🍭 Принимать решения о том, что делать – разрешить, запретить, уточнить 🍭 Получать полный audit trail о том, что происходило при работе агента 🍭 Добавлять собственные правила для анализа (аналогичные правилам Falco) Работает она просто: в случае, когда coding agent пытается использовать tool, Prempti перехватывает вызов перед его выполнением, анализирует и выдаёт вердикт. Кстати, она может работать как в enforce, так и в monitor режимах. Подробнее об утилите можно прочесть в GitHub-репозитории. Важно(!): проект находится в стадии активной разработки, поэтому что-то может (не) работать, а что-то может сильно меняться от релиза к релизу.

Kubernetes RBAC Generator Всем привет! Аудит прав доступа – вечная головная боль. В каких-то системах он происходит менее «сложно», в каких-то – более. Отчасти это связано с гибкой ролевой моделью и её возможностями. Kubernetes в этом плане очень непрост, ведь роль можно создать на любой ресурс, любое действие, да ещё и контролировать границы. Чтобы упростить задачу их создания, была придумана Audicia. Если просто, то она генерирует роли с минимальными привилегиями на основе анализа журналов событий. При помощи неё можно: 🍭 Генерировать роли с минимальными правами, необходимыми ресурсу 🍭 Делать это постоянно, т.к. она работает в качестве operator’a, который присутствует в кластере 🍭 Использовать GitOps-подходы за счет использования сгенерированных CRD 🍭 Выявлять drift в настройках RBAC и не только Сама по себе Audicia ничего не меняет в кластере, а только генерирует манифесты для ролей. Не требует доступа к секретам и иной чувствительной информации. Если вам интересно узнать, как именно она работает, то можно обратиться к GitHub-репозиторию проекта или официальной документации.

MCP Hardening Guide Всем привет! Сегодня хотим предложить вам чтение на выходной! Статью, в которой собраны рекомендации о настройках безопасности при использовании MCP (~ 16 минут). Авторы рассматривают 6 основных разделов: 🍭 Network Isolation 🍭 Dependency and Supply Chain Security 🍭 Secrets Management at Runtime 🍭 TLS Configuration Hardening 🍭 Runtime Behavioral Monitoring 🍭 Pre-deployment Security Gate Для каждого раздела приводится краткое описание, небольшие примеры и перечень требований, по которым можно сделать самопроверку (verification checklist).

Kubernetes: CPU Req/Lim на практике! Всем привет! Управление ресурсами в Kubernetes – одна из основополагающих функций, которая была в нём чуть ли не с самого начала. Однако, спустя годы, всё равно появляются вопросы и разногласия о том, как это делать и что лучше (не) использовать. Ещё одно мнение по этому поводу можно найти в статье. Она хороша для погружения в тему: лаконичные пояснения, примеры, немного математики и кода. В ней Автор описывает: 🍭 Как работает распределение ресурсов CPU (дада, те самые cgroups, про которые мы писали недавно) 🍭 Как работает CPU Sharing в Kubernetes 🍭 Что «скрывают» за собой CPU Requests и Limits 🍭 Как, когда и почему появляется CPU Throttling И в завершении Автор ещё раз рассуждает на тему – нужны ли (и, если да, то когда) CPU Limits или же без них лучше? Тема достаточно неоднозначная и стоит всегда учитывать контекст. Например, как быть с нагрузками, чувствительным к задержкам или управляющим слоем SDS, который может сильно деградировать при нехватке процессорного времени? А что вы думаете по этому поводу?