DevSecOps Talks

БЕКОН: когда много «мяса»! Всем привет! Все именно так! Для тех, кто не знает, БЕКОН – конференция, посвященная безопасности контейнеров и всего, что с ними связано, созданная командой Luntry. В этом году она пройдет во второй раз! Никакой воды, маркетинга, рекламы, product placement и всего такого. Только «мясо». Много «мяса» и технических подробностей реализации нетривиальных задач! С полным описанием программы конференции можно ознакомиться на сайте. Мы лишь подсветим компании, которые представляют спикеры: 🍭 Tinkoff 🍭 Luntry 🍭 Samokat Tech 🍭 Сбертех 🍭 Флант 🍭 Яндекс Финтех 🍭 Лаборатория Числитель Конференция пройдет 5-ого июня, в Москве (Loft Hall). Приходите, будет «вкусно», интересно и чрезвычайно полезно! И будем очень рады, если вы придете поддержать Алису Кириченко, которая выступит с докладом, посвященным работе с Audit Logs в Kubernetes 😊

Iptables и Kubernetes Всем привет! Есть много курсов по тому, как научиться работать с Kubernetes и, в любом случае нет-нет, да и придется изучать Linux 😊 Анализ трафика – не исключение. Для того, чтобы лучше понять то, как можно его фильтровать нет ничего лучше, чем старые добрые Iptables! В эту рабочую субботу предлагаем обратить внимание на статью, в которой Автор (в достаточно шутливой манере) описывает что это и зачем оно нужно на простых аналогиях и примерах. Рассматривается: 🍭 Описание правил 🍭 Работа с chains 🍭 Добавление правил в custom chain 🍭 Управление логами Iptables 🍭 Использование Iptables для защиты Kubernetes и не только В статье очень много примеров, screenshots, пояснений к происходящему. Самое «то», чтобы рабочая суббота «пролетела» чуточку быстрее ☺️

OSV: автоматическое устранение уязвимостей в зависимостях Всем привет! В апреле open source сканер от Google – OSV – получил интересный функционал: помощь в устранении уязвимостей в зависимостях. На текущий момент функционал находится в стадии [Experimental], поддерживается только package.json и package-lock.json. OSV предлагает следующее: 🍭 Анализ графа зависимостей с целью идентификации минимальных изменений, необходимых для устранения уязвимостей 🍭 Расстановка приоритетов в обновлении прямых зависимостей на основании количества устраненных уязвимостей в транзитивных 🍭 Расстановка приоритетов по устранению уязвимостей на основании «глубины/уровня» зависимости, уровня критичности и не только OSV fix может не только помогать AppSec специалисту в анализе данных об уязвимостях, но и автоматически обновлять зависимости. Подробнее об использовании функционала можно прочесть в документации на решение. P.S. Еще раз напоминаем, что эти возможности находятся в стадии [Experimental] и лучше не использовать это "в бою"

📍 Онлайн-конференция «Российские системы контейнеризации» 🗓 26 апреля, 11:00 Уже завтра в эфире AM Live ведущие IT-эксперты сделают обзор российского рынка систем контейнерной виртуализации. Расскажут, зачем мигрировать на российские дистрибутивы Kubernetes и на какие критерии обращать внимание при выборе поставщика. На мероприятии вы узнаете: 🔶 В чем преимущества контейнеров относительно серверной виртуализации? 🔶 Кто и зачем использует контейнеризацию в России? 🔶 Какие ограничения возникают при использовании российских дистрибутивов Kubernetes? 🔶 С чего начать создание собственной среды контейнеризации? 🔶 Что ожидает рынок в 2024 году и перспективе 2-3 лет? От команды «Лаборатория Числитель» выступит Александр Краснов, технический директор платформы «Штурвал». Чтобы продуктивно провести утро пятницы и узнать больше о российских платформах контейнеризации, регистрируйтесь по ссылке.

Повышение привилегий в Docker через Search Permissions Всем привет! Допустим, что у вас есть учетная запись с UID = 1000. Она может перезагружать рабочую станцию, на которой есть Docker и какие-то контейнеры. Выглядит вполне безобидно, неправда ли? Однако, это может быть не совсем так при соблюдении ряда условий. В статье демонстрируется возможность поднятия привилегий с простого пользователя до root Например, можно реализовать вот такой сценарий: 🍭 Права на директорию /var/lib/docker - 711. Читать ничего нельзя, но можно search/execute 🍭 Допустим, что пользователь может пользоваться mount и монтирует данные контейнеров 🍭 Разведка! Ищем что-то с чем может работать наш пользователь 🍭 Модифицируем файлы контейнера, но теперь надо его перезапустить… Но по условиям, наш пользователь может перезапустить рабочую станцию 😊 🍭 Далее, используя «низкие» права на рабочей станции и «повышенные» в контейнере ищем пути поднятия привилегий, об этом можно прочесть в статье На текущий момент этот способ действовать не будет, из-за обновления Docker 😊 Но, тем не менее, статья остается достаточно интересной, поэтому и захотелось поделиться с вами!

Poutine! Анализ конфигурации CI Всем привет! Команда BoostSecurity выложила в открытый доступ инструмент по анализу конфигураций CI – Poutine. На текущий момент реализовано 10 проверок, в основном для GitHub и 1 для GitLab (в качестве основы проверок, конечно же, OPA 😊). Ознакомиться с ними можно по ссылке. Для каждой проверки описывается как надо делать, как делать не надо и приводятся ссылки на полезные материалы. Помимо этого, Poutine позволяет собрать информацию о build time dependencies. Например, информацию о  GitHub Actions, Gitlab pipeline imports, Docker-контейнерах. Больше информации о проекте можно найти в статье или в описании repo. Надеемся, что количество проверок, поддерживаемых Poutine, будет только увеличиваться!

SCALIBR: анализ open source от Google Всем привет! SCALIBR – расширяемый сканер файловой системы, который используется для извлечения данных об используемых пакетах (например, языков программирования) и дальнейшим анализом на уязвимости. На текущий момент поддерживаются: 🍭 .NET (packages.lock.kson) 🍭 C++ (Conan packages) 🍭 Golang (Go binaries, go.mod) 🍭 JavaScript (package.json, lockfiles) и не только С полным перечнем можно ознакомиться по ссылке. Из важного – скорее всего SCALIBR изменится, т.к. в настоящее время Google (Авторы утилиты) производит его слияние с другим проектом – OSV-Scanner (о котором мы писали тут). Больше информации про запуск, сценарии использования, предоставляемые результаты – можно найти в repo проекта.

Использование Nuclei для поиска уязвимостей Всем привет! В статье команда Orca делится своим опытом использования Nuclei для поиска уязвимостей с использованием templates. Рассматриваются сценарии: 🍭 Уязвимость в web-приложении. Неавторизованные запросы и получение метаданных сервиса 🍭 Уязвимость в CI/CD. Эксплуатация CVE-2024-2791: обход аутентификации в TeamCity После небольшого описания того, что из себя представляет Nuclei и как он работает, Команда разбирает каждый вышеописанный сценарий. Описывается логика атаки/уязвимости, принципы ее работы, используемый шаблон Nuclei (и то, где и как их можно делать/искать). Много комментариев и пояснений, может быть полезно для тех, кто еще не работал с Nuclei, но уже интересуется 😊

Kubernetes… это просто Linux! Всем привет! Согласны ли вы с таким утверждением? Предлагаем вам легкое пятничное чтиво с интересной мыслью, в котором приводятся аргументы «За» эту точку зрения. В начале изучения Kubernetes Автор думал, что это мощная технология, созданная практически «с нуля», при этом обладая большим количество функций. Но, чем дальше он «углублялся», тем больше понимал: 🍭 Использование cgroups для управления ресурсами 🍭 Изоляция практически всего с использованием Linux namespaces 🍭 Фильтрация трафика с использованием iptables 🍭 Использование возможностей Linux для хранения данных и многое другое Все это привело Автора к мысли, что Kubernetes – не что иное, как «супер-обертка» над и без того сильной функциональностью Linux. Да, слегка утрированно, но что-то интересное в этой мысли есть. А что вы думаете по этому поводу?

Моделирование угроз с Gram Всем привет! Иногда случается так, что Компании, перепробовав все, что есть на рынке не могут найти подходящее решение для задачи. Не можешь найти? Сделай сам! Именно так и поступила Klarna (Шведская fintech компания) по отношению к средству для моделирования угроз. Так появился проект Gram, который был отдан в community! Из возможностей: 🍭 Совместная работа нескольких пользователей 🍭 Возможность указания необходимых ИБ-контролей для нивелирования угроз 🍭 Web UI, в котором можно создавать диаграммы компонентов и их взаимосвязей 🍭 Интеграция с JIRA и SSO (Okta) Да, это мало чем отличается от условного Draw.io, за исключением того, что в Gram убрали все лишнее и оставили только нужное для моделирования угроз. Возможно, что кому-то из вас это пригодится 😊 С тем, как можно запустить Gram и всеми необходимыми для этого параметрами можно ознакомиться в Quick Start Guide

Semgrep Academy! Всем привет! Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других. Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии. На текущий момент доступен небольшой набор: 🍭 Application Security Foundations Level 1 🍭 Application Security Foundations Level 2 🍭 Application Security Foundations Level 3 🍭 Principles of Functional Programming В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!

Kubenomicon: угрозы безопасности Kubernetes Всем привет! Kubenomicon – проект, цель которого составить полную матрицу возможных атак на кластеры Kubernetes с указанием возможных мер по противодействию. На текущий момент сильно пересекается с аналогичным материалом от Microsoft, но есть и отличия. Структура материала «привязана» к классическому kill chain: 🍭 Initial access 🍭 Execution 🍭 Persistence 🍭 Privilege escalation и далее до Impact Для каждой угрозы приводится описание с примерами и пояснениями. Проект относительно молодой, поэтому в разделе «Defending» часто можно увидеть «Pull request needed». Возможно, вас это заинтересует и этот самый PR напишите как раз вы! А мы, в свою очередь, будем держать вас в курсе по обновлению этого материала. P.S. Кстати, его можно "распечатать", как pdf книгу для локального доступа ☺️

AppSecFest 2024 Almaty! Всем привет! Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются. В программе: 🖥 Две конф-зоны: App и Sec 🎤 35+ спикеров 💬 Панельные дискуссии с экспертами 👥 500+ участников, объединенных общей целью 🤝 Встреча с ведущими представителями рынка 🎉 Развлекательные активности, подарки и розыгрыши Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции. Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊 PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!

Как подготовиться к собеседованию в Google? Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍 Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции. В этой подборке вы найдете вопросы по темам: 🎹 Networking 🎹 Practical Coding / Scripting 🎹 Non-Abstract Systems Design 🎹 Operating Systems ...а так же ответы на них! Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁 Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!

Стань спикером CyberCamp 2024!!! Всем привет! Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp! Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни. А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками (и даже получить приятные призы 😊) Интересное найдется абсолютно всем! В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!! Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами! P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок! P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️

Attacking Supply Chain Всем привет! По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения. Рассматриваются такие сценарии, как: 🍭 Code Injection via Git Repository 🍭 Infrastructure as Code Injection 🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub 🍭 Compromised build artifacts и не только Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками

imagePullPolicy что это и как она работает? Всем привет! В статье на простых примерах рассказывают и демонстрируют принципы работы разных вариантов imagePullPolicy. Рассматриваются следующие возможности: 🍭 IfNotPresent 🍭 Always (название может быть обманчиво 😊) 🍭 Never Для каждой политики приводится схема ее работы, рассматриваются вопросы использования Image Tag и Digest и описываются нюансы использования

Kubernetes: the harder way! Всем привет! Возможно, Вы слышали или даже «проходили» путь Kubernetes: the hard way, в котором автоматизация процесса создания кластеров сведена к минимуму. Показалось, что это было слишком просто? Тогда попробуйте Kubernetes: the harder way! Автор предлагает следующее: 🍭 Preparing environments for a VM Cluster 🍭 Bootstrapping Kubernetes Security 🍭 Installing Kubernetes Control Plane 🍭 Simplifying Network Setup with Cilium и не только Для каждого раздела приведена детальная инструкция, примеры команд и пояснений того, что происходит. Подобное «упражнение» позволит лучше понять внутреннее устройство Kubernetes и принципы его работы.

10 000 bugs за 10 000 дней! Всем привет! Сегодня не совсем обычный пост, но хочется этим поделиться 😊 Наверное, каждый (по крайней мере в этом канале) сталкивался с… cURL! Оказывается, что недавно общее количество bugs, которые были исправлены в cURL, превысило 10 000! Если не верится, то вот тут можно найти статистику. В ней также указано общее количество CVE и история их изменений. Немного подробней про эту новость можно прочесть вот тут. А cURL хочется лишь пожелать дальнейшего развития и поддержки от community 😊 (если посчитать, то ему 28 лет 😊)