DevSecOps Talks

Kubewatch: оповещения о событиях в кластерах Kubernetes Всем привет! Kubewatch – утилита, которая позволяет получать оповещения о событиях в кластерах Kubernetes, связанных с ресурсами. Например, создание Service, присвоение ClusterRoleBinding, изменение параметров Deployment и т.д. Это может быть полезно команде информационной безопасности: узнать, что кому-то был предоставлен доступ или где-то изменили параметры Security Context. Сейчас Kubewatch поддерживает «основные» ресурсы: 🍭 Deployment 🍭 Service 🍭 ClusterRole 🍭 Secret 🍭 ConfigMap и т.д. Также можно реализовать настройку оповещений для CRD. Данные можно отправлять в различные средства коммуникации, например, Slack, Mattermost, Teams, электронная почта и т.д. А если нужно «что-то свое», то можно использовать обычный webhook.

Wormable XSS в Atlassian Всем привет! Команда Snapsec проводила аудит информационной безопасности Atlassian и обнаружила очень интересное поведение одной функции. С одной стороны – обычная XSS, с другой стороны ее эксплуатация в определённых условиях позволяла получать повышенные привилегии в организациях, отличных от собственной. В статье Авторы рассказывают про: 🍭 Что такое link-based XSS и как их реализовать 🍭 Поиск «чего-то подходящего в продуктах Atlassian» для реализации link-based XSS 🍭 Повышение привилегий с помощью XSS в рамках одной организации 🍭 Повышение привилегий с помощью XSS в рамках нескольких организаций Каждый шаг детально описан, есть примеры payloads, скриншоты и комментарии.

Stratoshark: анализ сетевого трафика …! Всем привет! Если вам показалось, что название чем-то напоминает Wireshark, то… Вы правы! Stratoshark – новая утилита от той же команды, что создала Wireshark! С ее помощью можно анализировать нет, не сетевой трафик, но системные вызовы. Например, взаимодействие с файлами, выполнение команд, сетевую активность, взаимодействие между процессами и т.д. Как и его старший брат, Stratoshark позволяет: 🍭 Просматривать результаты в UI 🍭 Использовать гибкую систему фильтрации для того, что нужно именно вам 🍭 Анализировать записи, созданные Falco 🍭 Изменять отображение информации в соответствии с вашими потребностями Согласно заверениям разработчиков, если вы пользовались Wireshark, то со Stratoshark вы будете «чувствовать себя, как дома» 😊 Подробнее о проекте – документация, установка, quick start guide, исходный код, немного видео – все это можно найти вот по этой ссылке.

Небезопасное извлечение архива Всем привет! Еще одна отличная статья от Doyensec. В этот раз специалист проводил исследование, связанное с возможностью эксплуатации уязвимостей в функциях, используемых для разархивирования. Анализу подлежали следующие языки программирования: Python, Ruby, Swift, Java, PHP и JavaScript. Для того, чтобы лучше в этом разобраться, Автор сделал PoC, в котором были реализовал Archive Path Traversal. Помимо этого, он подготовил набор Semgrep-правил, при помощи которых можно идентифицировать указанные уязвимости. Но и это далеко не все! Больше информации и материалов можно найти в статье или по ссылке на вот это repo. В нем, помимо прочего, Автор приводит результаты анализа безопасности часто встречающихся функций языков программирования для (раз) архивирования.

Новый фреймворк по аудиту и защите контейнерной инфраструктуры JCSF! Друзья, это, наконец, свершилось: мы нашли время и силы, чтобы объединить рекомендации производителей, лучшие практики и наш опыт в области безопасности контейнеров в едином фреймворке Jet Container Security Framework (JCSF). Благодаря ему можно как провести аудит собственной контейнерной инфраструктуры, так и запланировать дальнейшие действия в области защиты контейнеров. Детальная информация и сам фреймворк доступны по ссылке. Фреймворк JCSF общедоступный. Навсегда 🙂 Также мы будем очень рады, если вы присоединитесь к совершенствованию JCSF и станете его контрибьютором.

Настройка HPA с использованием Custom Metrics Всем привет! Одним из преимуществ использования Kubernetes является возможность настройки автоматического масштабирования (как горизонтального, так и вертикального). По умолчанию горизонтальное масштабирование настраивается с учетом достаточно ограниченного набора метрик – потребление CPU и памяти. Но что, если хочется большего? Как раз этому и посвящена статья. В ней Авторы демонстрируют как можно «расширить» возможности Horizontal Pod Autoscaler (HPA) через использование произвольных метрик. Команда предлагает реализовать схему: 🍭 Допустим у нас есть приложение, которое генерирует метрики 🍭 В кластере Kubernetes установлен 🍭 Prometheus, который эти метрики «собирает» 🍭 Prometheus Adapter «забирает» только нужные нам метрики из предыдущего пункта 🍭 HPA принимает решение о масштабировании исходя из данных, предоставляемых Prometheus Adapter В статье описан весь путь, примеры, комментарии и ссылки на необходимый инструментарий. В завершении ребята подвергают конструкцию нагрузочному тестированию с помощью Vegeta 😊

CodeQL: From zero to hero, Part 4 Всем привет! Продолжение цикла статей, посвященных вопросам использования CodeQL. В первых частях (про которые мы писали тут, тут и тут) Автор рассказывал про то, что такое CodeQL, как он работает и как его можно использовать для поиска ИБ-дефектов в ПО. Четвертая часть посвящена анализу Gradio: 🍭 Краткое описание что это такое, примеры интерфейсов 🍭 Определение поверхности атаки 🍭 «Моделирование» Gradio с использованием CodeQL 🍭 Поиск уязвимостей, в том числе с использованием Multi-Repository Variant Analysis (запуск query на множестве проектов, подробности можно найти в третьей части) Статья очень большая и подробная, в ней много примеров кода, отсылок к логике работы CodeQL, комментариев Автора о том, что происходит. Рекомендуем! P.S. С использованием описанного подхода Автору удалось найти 11 уязвимостей в нескольких Gradio-проектах. Подробнее об этом можно прочесть тут (проще всего искать по имени - Sylwia Budzynska)

Cyclops – UI для Kubernetes Всем привет! Небольшой пятничный пост, посвященный еще одной «графической обертке» для Kubernetes – Cyclops. Open Source! Free now and forever! Если кратко, то он позволяет делать следующее: 🍭 Предоставляет информацию о ресурсах Kubernetes 🍭 Просматривать разницу (diff) в манифестах 🍭 Создавать ресурсы Kubernetes 🍭 Просматривать журналы событий ресурсов кластера 🍭 Изменять параметры конфигурации существующих ресурсов и не только «В комплекте» идет Cyclops CLI (cyctl), при помощи которой можно автоматизировать действия, доступные через UI. С подробностями (установка, внешний вид, настройка, расширенное описание возможностей) можно ознакомиться в repo проекта или в документации.

Что такое DevOps? Всем привет! Если вам всегда было интересно, и вы боялись спросить… 😊 То вот этот материал может вас заинтересовать – DevOps Engineering Handbook. В нем собрано много информации по темам: 🍭 Continuous Delivery & Deployment 🍭 Platform Engineering 🍭 Software Deployments 🍭 Metrics и не только Данные варьируются в зависимости от раздела. Это может быть общее описание, примеры, средства автоматизации, (анти) паттерны. Главное, что их много и они хорошо структурированы 😊

Intigriti Hackademy Всем привет! Еще одна подборка обучающих материалов, посвященная тематике Web Application Security от Intigriti. По большей части доступна теория в виде статей и обучающих роликов. За основу взяты угрозы из OWASP Top 10. Да, «еще один материал», но, возможно, лишним не будет. Да и не это самое интересное! Помимо указанных курсов команда проводит регулярные challenges, которые можно найти вот тут. На текущий момент их доступно 38 штук, и они продолжают появляться с определенной периодичностью. Каждый из них представляет из себя небольшое CTF-задание, которое можно решить самостоятельно или изучить writeup’ы, подготовленные сообществом.

Анализ кода в Reddit Всем привет! В статье описан опыт команды Reddit по созданию собственной AppSec-платформы. Они хотели, чтобы было: 🍭 Что-то, что настраивается и управляется командой 🍭 Что-то, что позволит быстро подключать новые сканеры 🍭 Что-то, что является централизованным и позволяет быстро вносить изменения 🍭 Что-то, что является масштабируемым, т.к. количество сканирований будет только расти (в Reddit ~ 2000 repository) Определив «примерные функциональные требования», был выбран и технологический стек: Golang, Async, Redis и Kubernetes. Что же получилось в итоге? Если кратко, то процесс выглядит следующим образом: 🍭 Разработчик делает commit в repo Информация о commit направляется в Code Scanner Server 🍭 На основании данных commit’a и метаданных repo подбираются сканеры и их конфигурация 🍭 Сканеры анализируют проект и сохраняют результат Более полное описание процесса представлено в статье, включаю схему высокоуровневой архитектуры предлагаемого решения. В завершение статьи представлены планы дальнейшего развития получившейся платформы.

Доступ к удаленным данным на GitHub Всем привет! Интересное исследование провела команда Truffle Security (авторы известного решения по поиску секретов – Trufflehog). Их интересовал вопрос: «Можно ли получить доступ к данным GitHub, которые уже удалены или должны быть недоступны?» Для этого ребята рассмотрели сценарии: 🍭 Доступ к данным удаленного fork’a 🍭 Доступ к данным удаленного репозитория 🍭 Доступ к данным закрытого (private) репозитория В итоге оказалось, что да, можно. Не без нюансов, но все-таки. Для каждого из рассмотренных сценариев описывается последовательность действий, которые предпринимались и комментарии о том, что происходит. Интересно еще и то, что согласно политикам GitHub все работает так, как и ожидалось. Этому в статье посвящен отдельный раздел.

А так ли всем нужен Kubernetes? Всем привет! Не Kubernetes’ом единым! Да, если искать информацию об оркестрации контейнеров, то в 99% (согласно правилу, что 70% статистики берется «с потолка») это будет Kubernetes. Но, это не единственный оркестратор, который существует. И нет, мы не говорим про различные платформы, построенные «вокруг него». Например, есть еще достаточно известный, но реже встречаемый в РФ Nomad. В статье можно ознакомиться с опытом небольшой команды о том, как они собираются «переезжать» с Kubernetes на Nomad. Если кратко, то история следующая: 🍭 Некоторое время все было хорошо, но потом команда столкнулась со сложностями (регулярные проблемы с доступностью узлов оркестратора, технические сложности и задержки в развертывании приложений, регулярные, проблемы с аварийной остановкой pod’ов) 🍭 Поддержка Kubernetes силами небольшой команды оказалась крайне сложной. Казалось, что команда больше времени тратит на инфраструктуру, чем на создание продукта 🍭 Было принято решение о том, чтобы рассмотреть альтернативы. Им стал Nomad. Он проще, он дает нужную гибкость, масштабируемость и т.д. И самое главное – прощай YAML, привет HCL! 🍭 PoC прошло успешно и команда планирует полноценный «переезд» «Да они просто не умеют правильно готовить Kubernetes» - мысль, которая может посетить при прочтении статьи. Возможно. С другой стороны, а надо ли «преодолевать себя», если рядом есть более простой вариант, который всецело соответствует требованиям? Может быть не всем нужен Kubernetes? Возможно, что для небольших команд он и правда избыточен и стоит посмотреть на что-то иное? А что вы думаете по этому поводу?

Helm Dashboard! Всем привет! Начинаем 2025 год постепенно, начиная с чего-то простого (не всем же надо с места в карьер 😊). Поэтому сегодня хотим рассказать вам про Helm Dashboard. Да, все как в названии – это некоторый «графический справочник» по всем установленным Helm Charts. С его помощью можно: 🍭 Получить информацию о всех установленных charts и их revision history 🍭 Узнать разницу (diff) в манифестах, в сравнении с предыдущими версиями 🍭 Откатиться к предыдущей версии или установить новую 🍭 Сканировать ресурсы с использованием Trivy и/или Checkov и многое другое Полное описание возможностей Helm Dashboard можно найти тут. Устанавливается через binary, через Helm Plugin Manager или через Helm Chart, который можно найти в repo. И в завершении хочется пожелать отличного начала 2025 года, чтобы оно было плавным и максимально приятным ☺️

С Наступающим!!! 🍾🍾🍾 Всем привет! Сегодня никаких утилит, статей, безопасной разработки, Kubernetes и всего вот этого 😊 Сегодня только поздравления с наступающим Новым Годом и пожелания встретить его в кругу самых родных и близких 🏡 Чтобы Новогодняя Ночь была поистине волшебной 🎄🎄🎄, настроение бодрым, а сердце – умиротворенным 🥛🥛🥛 Самое время отдохнуть, вспомнить что было, подумать о том, что будет, и набраться сил для покорения новых высот в 2025!!! До встречи!!! Уже скучаем ❤️ Ваша Редакция DevSecOps Talks

Новая версия DAF! Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅 В этой версии: — добавили новый домен "Безопасность заказной разработки" — добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения — актуализировали маппинг практик DAF на SAMM — сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies — добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными. Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺

Semgrep Dependency Graph Всем привет! Недавно команда Semgrep анонсировала новый функционал их Supply Chain решения, а именно – построение графа зависимостей (dependency graph). Увы, это не open source (разве что можно попробовать «for free»). Однако, в дополнение к анонсу ребята написали отличную статью, посвященную нюансам анализа open source зависимостей. В ней предоставлена информация: 🍭 Что такое dependency graph и зачем он нужен 🍭 Как он помогает оптимизировать процесс анализа open source компонентов 🍭 Использование lockfiles – что это и нужны ли они Все это рассмотрено на понятных и наглядных примерах. Материал может быть полезен, если вы начинаете разбираться с тонкостями композиционного анализа и вам интересно на что стоит обращать внимание.

Использованием LLM/AI для нужд AppSec Всем привет! Использование LLM/AI – вопрос времени. Можно сопротивляться, можно отрицать, но рано или поздно (если не уже) все начнут их использовать в какой-то степени. В статье Автор предлагает рассмотреть возможность и целесообразность их использования для нужд Application Security. И нет, не для автоматической разметки или чего-то, связанного с работой сканеров. А для… оценки рисков. Автор реализовал автоматизацию следующих шагов: 🍭 Классификация рисков 🍭 Rapid Risk Assessment (согласно руководству Mozilla) 🍭 Security Review Единственное, что надо подать «на вход» - техническую спецификацию планируемого изменения. После этого все шаги выполняются автоматически, и пользователь получает готовый отчет. Пример того, как это работает, можно посмотреть в видео, которое приложено к статье. С точки зрения Автора указанный подход позволяет не заменить, но «дополнить» AppSec-специалиста. В завершении статьи есть интересный раздел Learning and Observations, в котором описаны нюансы работы PoC и что с ними можно сделать для улучшения результатов. P.S. А как вы думаете – нужно ли пользоваться LLM/AI для нужд AppSec или все это «только сгенерирует больше шума, который нужно проверять»?