DevSecOps Talks

Codeaudit: SAST для Python Всем привет! Codeaudit – утилита, которая позволяет анализировать Python-проекты для выявления проблем, связанных с информационной безопасностью. Он позволяет: 🍭 Получать общую информацию о проекте (файлы, SLOC, AST Nodes, модули, оценка сложности проекта) 🍭 Получать аналогичную информацию для конкретного файла 🍭 Идентифицировать уязвимости в исходном коде 🍭 Предоставляет информацию по уязвимостям, найденных в импортируемых модулях (за основу берется OSV Database). Помимо этого, Codeaudit может формировать отчетность. Увы, по умолчанию только в HTML. Из плюсов – очень приятный и понятный визуально отчет. Чтобы сгенерировать JSON надо реализовать некоторые манипуляции, о чем детально и с примерами написано в документации. «Из коробки» доступно более 70 правил, которые позволяют выявлять уязвимости. У проекта есть очень подробная документация, с которой можно ознакомиться по ссылке.

Security Observability в Kubernetes: не логами едиными! Всем привет! Когда говорят про безопасность Kubernetes, то, зачастую, это разговор про анализ образов контейнеров, контроль используемых конфигураций, сетевые политики, защита запущенных контейнеров. Нюанс в том, что они могут работать «сами по себе» и, в случае реализации инцидента, очень сложно понять общую картину. Т.е. становится трудно быстро ответить на вопросы: 🍭 Какой pod запрашивал доступ к секретам за последний час? 🍭 Был ли в каком-либо контейнере запущен процесс, которого не должно быть? 🍭 Какие подозрительные API-вызовы делал Service Account 🍭 С какими внешними сервисами осуществлялось взаимодействие? 🍭 Можно ли всю эту информацию как-то связать с пользовательскими действиями? за условные 60 минут становится просто нереально. В статье Автор рассматривает подход, который может это исправить. За «основу» он берет Kubernetes Audit Logs и Falco, рассматривает как можно «комбинировать» получаемые из них данные для повышения общей observability анализируемого кластера. Завершают статью размышления Автора о том, как можно расширить описанный подход и на сеть при помощи Cilium Hubble. В итоге имеем очень хорошую статью о том, как можно улучшить мониторинг кластера.

Software Factory Security Framework Всем привет! По ссылке можно найти Software Factory Security Framework (SF2), подготовленный командой GitLab. Ключевая аудитория – руководители, которым необходим комплексный стратегический подход к развитию практик безопасной разработки. Согласно предложенному подходу сперва необходимо определить «Кто вы?». Есть 4 варианта – Visionaries, Leaders, Niche Players или Challengers. В зависимости от результата SF2 предлагает свой путь развития и понимания первоочередных задач. Для каждого пути рассматриваются блоки: 🍭 Strategic Priorities 🍭 Quick Start Checklist 🍭 Investment Roadmap 🍭 Common Pitfalls 🍭 Success Indicator А внутри каждого блока есть отдельные «деления». Например, в Success Indicators представлены метрики, которые можно достичь за 6, 12 и 24 месяца. Помимо этого, есть рекомендации о том, как лучше использовать SF2 вместе с NIST SSDF, OWASP SAMM, BSIMM и OWASP ASVS. В общем – чтения «внутри» крайне много, рекомендуем к изучению! ☺️

Безопасность GitHub Actions с SonarQube Всем привет! По ссылке доступна статья от Авторов SonarQube, в которой они разбирают чем он может быть полезен при анализе GitHub Actions. После небольшого введения про GitHub Actions, рассматривается несколько сценариев атак. Например: 🍭 Command Injection, реализуемая через github.event.issue.title 🍭 Command Injection, реализуемая через pull_request_target 🍭 Code Execution, через выполнение Third Party Action Для каждого из рассматриваемых примеров приводятся рекомендации по предотвращению, ссылки на полезные материалы по теме и идентификационные номера уязвимостей, которые рассматриваются в статье для дальнейшего изучения.

VAmPI: еще-одно-заведомо-уязвимое-приложение Всем привет! По ссылке можно посмотреть на проект VAmPI – уязвимое API, созданное на базе Flask, включающее в себя уязвимости из OWSAP Top-10. Например: 🍭 SQLi Injection 🍭Unauthorized Password Change 🍭Broken Object Level Authorization 🍭Mass Assignment 🍭Excessive Data Exposure through debug endpoint 🍭User and Password Enumeration 🍭RegexDOS (Denial of Service) 🍭Lack of Resources & Rate Limiting JWT authentication bypass via weak signing key Swagger UI прилагается, чтобы можно было проще взаимодействовать с приложением. Запускается в контейнере и сразу «готово к использованию». Больше подробностей о проекте можно найти в его GitHub-репозитории.

Autoswagger: анализ API Всем привет! Autoswagger – open-source инструмент, который позволяет находить простые проблемы с авторизацией в API. Да, это достаточно «простая» уязвимость, однако, она все еще часто встречается. Кроме того, для ее эксплуатации не надо обладать какими-то редкими компетенциями, что делает ее еще опасней. Autoswagger использует OpenAPI schema для получения представления об API. На основе собранных данных он сканирует API и находит endpoints, в которых нет проверки токена. Дополнительно он может находить чувствительную информацию (номера телефонов, адреса, имена и т.д.) и/или секреты (с использованием регулярных выражений). Подробнее про Autoswagger можно узнать из GitHub-репозитория или из статьи. Кстати, в ней приведены реальные примеры использования утилиты и что получилось найти с ее помощью.

CyberCamp 2025: консультации от Спикеров Всем привет! На CyberCamp 2025 доступна новая механика – консультации от Спикеров! У любого участника есть возможность написать свой вопрос и, возможно, именно его выберет Спикер. Дальше все просто – организуется сессия на 30 минут, где вы тет-а-тет общаетесь по выбранной теме 👨‍💻. С кем и о чем можно поговорить: 😎 Дмитрий Евдокимов. Kubernetes Security / Container Security / DevSecOps 😎 Михаил Парфенов. Безопасная разработка FE приложений / Обнаружение утечек в браузерных FE приложениях и не только 😎 Дима Саленый. Автоматизация процессов / Безопасная разработка / DevSecOps 😎 Антон Конопак. Инструменты и процессы DevSecOps / Комплаенс в DevSecOps / Поэтапная реализация стратегии DevSecOps 😎 Дмитрий Полторак. MLSecOPs / Безопасность ИТ-инфраструктуры 😎 Роман Корчагин. Внедрение SCA/SAST / Защита от попадания непроверенных артефактов в продуктовые среды 😎 Данила Леонтьев. SAST / DAST / Веб-фаззинг / SCA / Container Security / Построение SSDLC И это еще не все! Полный перечень Спикеров и их темы консультаций можно найти на сайте CyberCamp 2025. Важно (!): количество консультаций у каждого Спикера ограничено 😈. Окончание приема заявок - 17 октября. Поэтому не стоит откладывать, если вы хотели что-то уточнить лично 🥰

Безопасность web-приложений с Falcoya! Всем привет! Нет, вам не показалось ☺️ Falcoya – некоторое «логический» преемник Falco в части безопасности web-приложений. И да! Open-source! Если просто, то она анализирует Nginx Access Logs в режиме реального времени с использованием Falco для обнаружения атак. Алгоритм работы следующий: 🍭 Входящий запрос попадает на Nginx 🍭 Создается запись в /var/log/nginx/access.log 🍭 Falcoya анализирует новую строку 🍭 В случае обнаружения чего-то подозрительного создается оповещение На текущий момент с ее помощью можно идентифицировать SQLi, XSS и Command Injection, Directory Traversal и другие. Больше подробностей о Falcoya можно узнать на официальном сайте или GitHub-репозитории проекта. Важно: проект пока что находится в prototype release stage.

Безопасная разработка на CyberCamp 2025: часть 2! Всем привет! Продолжение вчерашнего поста про CyberCamp 2025! Сегодня мы расскажем вам о том, какие выступления можно послушать в дни мероприятия. Для этого мы сделали небольшую подборку: 🧑‍💻 21.10 Влад Азерский, «Первое правило CI/CD-клуба: компрометация начинается с доверия» // F6 🧑‍💻 23.10 Дмитрий Евдокимов, «1000 и 1 способ избавиться от уязвимостей в контейнерных приложениях» // Luntry 🧑‍💻 23.10 Михаил Парфенов, «Моделирование угроз для frontend-приложения: делаем каждый релиз Secure By Design» // DPA Analytics 🧑‍💻 23.10 Дима Саленый, «Найди меня, если сможешь» // ЕДИНЫЙ ЦУПИС 🧑‍💻 23.10 Алина Сагирова, «~$ whoami AppSec BP» // Альфа-Банк Больше про мероприятие можно узнать на официальном сайте, TG-канале или чате сообщества CyberCamp. Уверены, что будет интересно! До встречи! 👋👋👋

Безопасная разработка на CyberCamp 2025! Всем привет! Совсем скоро (20 – 25 октября 2025 года) пройдет самое масштабное online-мероприятие, посвященное практической информационной безопасности - CyberCamp 2025 😎! Доклады, разные задания: от "квизов" до мозгодробящих задачек на специально подготовленной ИТ-инфраструктуре!!! Все на месте. Много. Интересно. РБПО, AppSec, DevSecOps, TriceratOPS не остались в стороне! В этом году нас ждем очень много докладов и практики. Что-то уже доступно сегодня, а что-то станет доступно в ближайшее время: 🤩 Антон Конопак, «DevSecOps в каждый дом! Простыми словами о непростой области ИБ» // Инфосистемы Джет 🤩 Дмитрий Полторак, «MLSecOps: замок для ящика Пандоры» // Инфосистемы Джет 🤩 Роман Корчагин, «Реализуем Sec в DevSecOps с помощью подхода Shift-Down» // Лаборатория Числитель 🤩 Данила Леонтьев, «Как писать правила для CodeQL и не сойти с ума» // Независимый эксперт По докладам, которые будут проходить в дни мероприятия мы сделаем отдельный пост и расскажем вам обо всем завтра! Больше про мероприятие можно узнать на официальном сайте, TG-канале или чате сообщества CyberCamp. Уверены, что будет интересно! До встречи! 👋👋👋

От 2500 до 20 Warning с использованием CodeQL Всем привет! В рамках аудита OpenVPN2 команда Trail of Bits столкнулась с нюансом: компилятор выдавал порядка 2500 сработок (warnings) о неявных преобразованиях типа. Это достаточно большой объем для «ручной разметки» и надо было что-то делать. Не все из указанных сработок явно влияли на информационную безопасность и были вполне себе «доброкачественными». Поэтому ребята решили написать собственную CodeQL Query, которая могла бы сократить количество данных для анализа. Именно этому и посвящена статья! После небольшой вводной об ИБ-проблематике неявного преобразования типов Авторы описывают алгоритм, который позволил им сократить итоговую выборку до 20 штук. Он состоит из шагов: 🍭 Анализ существующих CodeQL Query. Ни одна не подошла ввиду повышенной «шумности» 🍭 Найти все «проблемные» преобразования типов 🍭 Оптимизация результатов, полученных на предыдущем шаге 🍭 Использование taint tracking для того, чтобы сфокусироваться на данных, на которые может повлиять пользователь На всех этапах описана CodeQL Query и как она видоизменялась, представлены комментарии Авторов почему они решили сделать именно так. Полученная Query общедоступна и располагается вот тут на случай, если вы хотите ее использовать для анализа своего проекта. Помимо этого, есть еще Case Study (~ 37 страниц), в котором Авторы более детально описывают реализованный ими подход к анализу.

Новый Trivy Operator Dashboard! Всем привет! Нет, это не обновление дашборда для Grafana, который позволяет визуализировать метрики, получаемые с Trivy Operator’a. Это отдельный проект, разработанный группой энтузиастов, когда они поняли, что «нет ничего подходящего». Он позволяет: 🍭 Отображать информацию по уязвимостям, SBoM, аудитам конфигураций, секретов и т.д. 🍭 Фильтровать данные для отображения релевантной информации 🍭 Выгружать данные (в CSV-формате) 🍭 Показывать «граф отчетов» для анализируемого ресурса 🍭 Сравнивать отчеты между собой (в том числе между разными namespace) и не только Устанавливается максимально просто: нужен кластер с установленным на нем Trivy Operator, а дальше helm install и готово. Что делать дальше описано в инструкции по эксплуатации. Крайне рекомендуем ее прочитать, т.к. там много всего интересного. Выглядит как то, что хочется попробовать!

Реализация multi-tenancy в Kubernetes Всем привет! Представим, что кластером Kubernetes одновременно пользуются несколько команд и надо реализовать multi-tenancy. Одной из сложностей, с которой можно столкнуться, является изоляция: вычислительные ресурсы, сетевое взаимодействие, хранилища и т.д. По умолчанию, в Kubernetes нет такой опции «из коробки», однако! Есть возможности, которые позволят это реализовать. В статье Автор разбирает: 🍭 Использование Namespaces и RBAC 🍭 Создание сетевых политик 🍭 Работа с Security Policies (Kyverno, OPA Gatekeeper и их аналоги) 🍭 Виртуальные кластеры и не только Используя все это можно сделать надежное разграничение всего для корректной работы множества пользователей. Автор разбирает ключевые сложности, с которыми можно столкнуться и способы их решения. В результате имеем хорошую, большую и достаточно подробную статью по теме.

Kubernetes Architecture Diagrams Всем привет! Мы уже несколько раз писали про средства автоматизации создания графического представления взаимосвязи ресурсов кластера Kubernetes – diagrams as code. По ссылке можно найти Awesome-подборку, в котором собрано много материалов по теме. Например: 🍭 Набор иконок 🍭 Средства для создания диаграмм «в ручном режиме» 🍭 Средства для автоматизированного создания диаграмм Для каждой из рассматриваемых утилит приводится общая информация: лицензия, популярность (звезды, forks), активность. Поддерживаемые ресурсы k8s и не только. Дополнительно представлены данные о сравнении рассматриваемых утилит по разным критериям. Точно есть из чего выбрать! 😊

Новый релиз DAF! Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили. Что добавилось и изменилось: 1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6! 2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top! 3. Актуализировали Карту DAF 4. Изменились названия вкладок: — Маппинг со стандартами -> Практики — Heatmap -> Результаты аудита 5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF 6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному 7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня 8. Исправили битые ссылки, опечатки, прочие косяки с визуалом и добавили новые Что перенесено на следующий релиз: 1. Новые способы расчета и оформление вкладки "FTE DevSecOps" Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом). Ну и на сладкое 🍰 Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!

Application Attack Matrix Всем привет! Если у инфраструктуры есть MITRE ATT&CK, то почему бы не сделать ее аналог для приложений? И его сделали! По ссылке можно найти Application Attack Matrix, созданный командой Oligo Security и вдохновленный известной матрицей MITRE. Матрица «разбита» на 4 основных домена: 🍭 Pre-Intrusion (Reconnaissance, Resource Development) 🍭 Intrusion (Gain Access, Payload Execution) 🍭 Post-Intrusion (Deeping Control, Expanding Control) 🍭 Impact (Impact) Для каждого домена приведен набор тактик, в которых описаны потенциальные действия злоумышленников. Для некоторых – рекомендации по обнаружению и по предотвращению. Помимо этого, на сайте доступна информация по известных атакам. Для каждой атаки описаны используемые тактики и приведена дополнительная информация. Например, свидетельства, ссылки на полезные ресурсы. P.S. Сама матрица, а не статья, доступна вот тут 😊

KubeNodeUsage: анализ потребления ресурсов k8s Всем привет! Бывает, что надо в моменте посмотреть на потребление ресурсов узлами кластера Kubernetes и pod'ами, которые в нем запущены. И не всегда хочется лезть в условную Grafana. Тут может помочь KubeNodeUsage: минималистичная утилита, которая поможет решить описанную выше задачу. Она получает информацию о Node и Pod Metrics от Kubernetes API и отображает ее конечному пользователю в «человекочитаемом» формате. Ее функционал минималистичен, но практичен: 🍭 Отображение метрик для Memory, CPU, Disk 🍭 Фильтрация (по именам, «цвету», labels) 🍭 Сортировки 🍭 «Регулировка» количества отображаемой информации Все это доступно прямо из терминала, работает быстро, результаты – наглядные. Пример того, как это выглядит можно найти в GitHub Repo проекта.

Обзорная экскурсия по eBPF Всем привет! Возможно, про eBPF уже не говорят «из каждого утюга», но технология используется повсеместно и показывает весьма хорошие результаты. Как в observability, так и в сетевых технологиях и информационной безопасности. Если хочется узнать про eBPF чуть больше, то рекомендуем ознакомиться со статьей. В ней авторы делают небольшой «тур» по технологии и рассматривают её с разных сторон. Например: 🍭 Что такое eBPF, почему она важна 🍭 Как работает eBPF, что она делает «на самом деле» 🍭 Использование eBPF для observability, сети и ИБ 🍭 Ключевая проблематика и не только В статье достаточно глубоко (и с примерами) описано как и что работает, что позволит лучше понять внутреннее устройство и возможные сценарии использования eBPF.

Погружение в Kubernetes Services Всем привет! Services – одна из основных сущностей Kubernetes, которая «нужна» как ИТ, так и ИБ-специалистам. Если вы искали что-то, что поможет лучше понять их «устройства», отличия, ключевые принципы и т.д., то эта статья может быть вам полезна. В ней Авторы рассматривают: 🍭 Общие концепты Services 🍭 Типы Services (ClusterIP, NodePort, LoadBalancer и т.д.) 🍭 Основы Service Discovery 🍭 Работа с Services, их настройка, поиск проблем и т.д. Примеры, конфигурации, пояснения – все это есть в статье. Хороший обзорный материал «для начала». Рекомендуем!

Использование Canary Tokens: опыт Grafana Labs Всем привет! Canary Tokens – некоторая «обманка», которая выглядит, как легитимный API-ключ, URL, файл или еще что-то. Его задача – максимально рано оповестить ИБ-команду о том, что что-то идет не так. Например, если злоумышленник пытается проверить «только что найденный API-ключ (который является Canary Token)», то об этом сразу должна узнать ИБ-команда. В статье рассказывается о том, как этот подход использует команда Grafana Labs и как он помог им в идентификации реальной атаки, произошедшей в мае 2025. Статья содержит информацию: 🍭 Что такое Canary Tokens 🍭 Инфраструктура Grafana Labs по работе с Canary Tokens 🍭 Жизненный цикл Canary Tokens 🍭 Общее описание стратегии использования Canary Tokens и не только В результате получилась отличная статья, которая наглядно показывает подход и выгоду от использования Canary Tokens. А применяете ли вы их у себя?