Red Hat OpenShift в облачную инфраструктуру Oracle Red Hat OpenShift внедрят в облачную инфраструктуру Oracle, чтобы предложить клиентам более широкий выбор при развертывании приложений в Oracle Cloud Infrastructure (OCI).
#devops #opentofu #gitlab #redhat #oci #oracle
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥4⚡2❤2
C выпуском новой функции "пути атаки" ARMO позволяет пользователям Kubernetes легко найти и исправить самые уязвимые места в ваших кластерах, чтобы не допустить к ним злоумышленников.
👉 Рассказываем, какие типы атак бывают и как их блокировать в нашей новой мини-статье.
#devops #kubernetes #devsecops
@DevOpsKaz
👉 Рассказываем, какие типы атак бывают и как их блокировать в нашей новой мини-статье.
#devops #kubernetes #devsecops
@DevOpsKaz
👍4😎1
Начинается конференция о кибербезопасности в Казахстане — Profit Security Day.
👉 Присоединяйтесь к прямому эфиру
Ведущие эксперты по ИБ расскажут, на что обратить внимание в первую очередь, как избежать серьезных потерь от взломов, какие решения использовать.
#devops #devsecops #cyberbez #cybersec
👉 Присоединяйтесь к прямому эфиру
Ведущие эксперты по ИБ расскажут, на что обратить внимание в первую очередь, как избежать серьезных потерь от взломов, какие решения использовать.
#devops #devsecops #cyberbez #cybersec
YouTube
Profit Security Day 2023. Прямой эфир конференции об информационной безопасности в Казахстане
Прямая онлайн-трансляция конференции Profit Security Day 2023, которая прошла 22 ноября 2023 года. Конференция была посвящена информационной безопасности в Казахстане.
Партнеры:
PS Cloud Services — Золотой партнер
https://www.ps.kz/soc
info@ps.kz
Check…
Партнеры:
PS Cloud Services — Золотой партнер
https://www.ps.kz/soc
info@ps.kz
Check…
👍4🔥2🏆2
Вы уверены, что на 100% знаете, как обеспечить безопасность цепочки поставок? Автор подборки на GitHub с вами не согласен 😢
➖ Отчёты, стандарты, фреймворки и лучшие практики
➖ Угрозы в цепочке поставок
➖ Управление уязвимостями + база данных
➖ Статьи про атаки и критические дыры
➖ Репозитории и проекты GitHub
➖ Блоги, книги, подкасты
Всё это стоит как минимум места в ваших закладках 😊
Пользуйтесь и делитесь с коллегами 🤝
#devops #devsecops #appsec #supplychain #software
@DevOpsKaz
➖ Отчёты, стандарты, фреймворки и лучшие практики
➖ Угрозы в цепочке поставок
➖ Управление уязвимостями + база данных
➖ Статьи про атаки и критические дыры
➖ Репозитории и проекты GitHub
➖ Блоги, книги, подкасты
Всё это стоит как минимум места в ваших закладках 😊
Пользуйтесь и делитесь с коллегами 🤝
#devops #devsecops #appsec #supplychain #software
@DevOpsKaz
👍3❤2🔥2
Принесли вам подробный обзор различных рабочих процессов конвейера DevSecOps на базе Python.
👉 Читайте в нашей новой статье
Рассмотрели:
➖ рабочий процесс проверки кода
➖ конвейер статического тестирования безопасности приложений (SAST)
➖ конвейер динамического тестирования безопасности приложений (DAST)
➖ рабочий процесс сканирования контейнеров
➖ конвейер безопасности IaC
➖ рабочий процесс управления секретами
Каждый рабочий процесс включает примеры кода на Python и инструменты с открытым исходным кодом для демонстрации их реализации.
Забирайте себе и делитесь с коллегами 🤝
#devops #devsecops
@DevOpsKaz
👉 Читайте в нашей новой статье
Рассмотрели:
➖ рабочий процесс проверки кода
➖ конвейер статического тестирования безопасности приложений (SAST)
➖ конвейер динамического тестирования безопасности приложений (DAST)
➖ рабочий процесс сканирования контейнеров
➖ конвейер безопасности IaC
➖ рабочий процесс управления секретами
Каждый рабочий процесс включает примеры кода на Python и инструменты с открытым исходным кодом для демонстрации их реализации.
Забирайте себе и делитесь с коллегами 🤝
#devops #devsecops
@DevOpsKaz
❤7👍3
Хотя внедрение практик DevOps повышает эффективность и скорость выпуска приложений, оно не лишено недостатков. Если относиться к безопасности как к чему-то второстепенному, то увеличивается риск кибератак и утечки данных.
По прогнозу Gartner, к 2027 году практика DevSecOps будет внедрена в 85% команд по разработке продуктов (по сравнению с 30% в 2022 году). И уже сейчас аналитики рекомендуют подготовиться к этим изменениям.
Внедрение DevSecOps включает три ключевых этапа:
1. Сделать безопасность общей обязанностью с помощью корпоративной программы обучения.
2. Внедрить практики безопасности на раннем этапе разработки (подход Shift-Left), а не только постфактум (Shift-Right).
3. Интегрировать инструменты безопасности в рабочий процесс DevOps, как показано на картинке.
Это выжимка из статьи на Хабре об исследовании Gartner.
#devops #devsecops
@DevOpsKaz
По прогнозу Gartner, к 2027 году практика DevSecOps будет внедрена в 85% команд по разработке продуктов (по сравнению с 30% в 2022 году). И уже сейчас аналитики рекомендуют подготовиться к этим изменениям.
Внедрение DevSecOps включает три ключевых этапа:
1. Сделать безопасность общей обязанностью с помощью корпоративной программы обучения.
2. Внедрить практики безопасности на раннем этапе разработки (подход Shift-Left), а не только постфактум (Shift-Right).
3. Интегрировать инструменты безопасности в рабочий процесс DevOps, как показано на картинке.
Это выжимка из статьи на Хабре об исследовании Gartner.
#devops #devsecops
@DevOpsKaz
⚡3🔥2🏆1
Как измерить уровень зрелости ваших процессов DevSecOps?
👉🏻 В статье наших коллег описаны этапы зрелости DevSecOps, компетенции по уровням, шаги для измерения этой зрелости и ключевые метрики, по которым можно оценивать команды.
🚀 Проверьте свою команду и процессы в 2023 году, чтобы разработать план на будущее и укрепить безопасность всей цепочки. В статье даже таблички для вас подготовили — остается только заполнить 😉
Напомним ключевые аспекты интеграции DevSecOps:
➖ Сотрудничество: устранение разрозненности между командами безопасности и DevOps.
➖ Shift-Left Security: интеграция безопасности на ранних этапах процесса разработки.
➖ Непрерывная обратная связь и улучшение: циклы обратной связи для постоянного совершенствования безопасности.
➖ Автоматизация задач безопасности для повышения эффективности и уменьшения человеческих ошибок.
➖ Регулярные и надежные выпуски.
➖ Комплексный подход к безопасности: учет на каждом этапе SDLC.
#devops #devsecops
@DevOpsKaz
👉🏻 В статье наших коллег описаны этапы зрелости DevSecOps, компетенции по уровням, шаги для измерения этой зрелости и ключевые метрики, по которым можно оценивать команды.
🚀 Проверьте свою команду и процессы в 2023 году, чтобы разработать план на будущее и укрепить безопасность всей цепочки. В статье даже таблички для вас подготовили — остается только заполнить 😉
Напомним ключевые аспекты интеграции DevSecOps:
➖ Сотрудничество: устранение разрозненности между командами безопасности и DevOps.
➖ Shift-Left Security: интеграция безопасности на ранних этапах процесса разработки.
➖ Непрерывная обратная связь и улучшение: циклы обратной связи для постоянного совершенствования безопасности.
➖ Автоматизация задач безопасности для повышения эффективности и уменьшения человеческих ошибок.
➖ Регулярные и надежные выпуски.
➖ Комплексный подход к безопасности: учет на каждом этапе SDLC.
#devops #devsecops
@DevOpsKaz
🔥6⚡2❤2
Силовое поле для экосистемы Kubernetes. Постоянно отслеживает подозрительную активность и потенциальные угрозы в кластерах, выявляет сложные угрозы и реагирует на них до того, как они нанесут ущерб.
Помощник для занятых команд DevOps, которые хотят защитить свои среды Kubernetes, не жертвуя временем. Shift Security Left, автоматическое исправление уязвимостей и непрерывный мониторинг.
Швейцарский нож безопасности Kubernetes. Сканирует образы контейнеров и ресурсы, выявляет небезопасные конфигурации, проверяет на соответствие безопасности.
Рентген мира контейнеров, помогает увидеть уязвимости до того, как они станут проблемами. Сканирует образы контейнеров, анализирует состав ПО. Легко подключается к вашему конвейеру CI/CD.
Cканирует шаблоны IaC на предмет неправильных конфигураций и проблем безопасности, проверяет на соответствие безопасности, поддерживает несколько облаков.
#devops #devsecops #kubernetes #k8s
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥4👍3
👉 В статье вы узнаете про:
Пользуйтесь и делитесь с коллегами 🤝
#devsecops #devops #api #apisecurity
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3⚡2❤2👾2
Почему защитой Kubernetes должно заниматься целое подразделение?
Так называется доклад Артема Мерец на конференции БеКон 2024, которая пройдет в июне в Москве (если будет запись доклада, обязательно поделимся). Спикер раскроет важную тему про выделенный отдел для защиты безопасности и регулировки нагрузки в кластерах.
Но уже сейчас можно дать короткое заключение. Часто в компаниях, где фокус у каждого специалиста размыт на разноплановые задачи, ресурсов на безопасность попросту не хватает. А эта задача требует постоянного внимания к деталям и умения смотреть на ситуацию в комплексе. И команда на аутсорсе даст намного больше выхлопа, чем один специалист в штате, причем за те же деньги.
Выходит, что при недостатке ресурсов лучше делегировать безопасность кластеров специализированной команде.
#k8s #kubernetes #devops #devsecops
@DevOpsKaz
Так называется доклад Артема Мерец на конференции БеКон 2024, которая пройдет в июне в Москве (если будет запись доклада, обязательно поделимся). Спикер раскроет важную тему про выделенный отдел для защиты безопасности и регулировки нагрузки в кластерах.
Но уже сейчас можно дать короткое заключение. Часто в компаниях, где фокус у каждого специалиста размыт на разноплановые задачи, ресурсов на безопасность попросту не хватает. А эта задача требует постоянного внимания к деталям и умения смотреть на ситуацию в комплексе. И команда на аутсорсе даст намного больше выхлопа, чем один специалист в штате, причем за те же деньги.
Выходит, что при недостатке ресурсов лучше делегировать безопасность кластеров специализированной команде.
Наша компания Core 24/7 внедряет и поддерживает Kubernetes в режиме 24/7 для МСБ, стартапов и крупного бизнеса. Мы автоматизируем развертывание, масштабирование и управление вашими приложениями — всё в лучших практиках DevSecOps. Обращайтесь за консультацией, а результат и конфиденциальность данных мы гарантируем.
#k8s #kubernetes #devops #devsecops
@DevOpsKaz
👍6⚡3🔥2👾2
На платформе TryHackMe нашли раздел K8s Best Security Practices — он помогает изучить важные аспекты безопасности в Kubernetes-кластерах и научиться защищать свои приложения и данные. Здесь есть учебные материалы, лабораторные и практические задания.
📌 На все про все уйдет около 1 часа.
Раздел покрывает темы:
—
Service Accounts—
RBAC—
API запросы—
Сканирование образов, SecurityContext и т.д#devsecops #kubernetes
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥15👍9😎2
Content Security Policy (CSP) для предотвращения XSS-атак, HTTP Strict Transport Security (HSTS) для принудительного использования HTTPS, и другие заголовки на реальных проектах.
👉 Руководство построено по структуре:
— Политики
— Сценарий атаки
— Защита на Apache
— Защита на Nginx
Гайд поможет улучшить защиту веб-приложений и разобраться во взаимодействии заголовков с другими компонентами безопасности.
Пользуйтесь и делитесь с коллегами
#devsecops #http
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥6❤2😎2
В продолжение поста про заголовки безопасности HTTP, рассказываем про безопасность платежей. Уязвимости в платежных системах могут проявляться по-разному:
👉 Руководство построено по структуре:
— Сценарий атаки
— Пример несоответствующего кода
— Поток атаки в несоответствующем коде
— Пример совместимого кода
Зная эти сценарии и используя примеры, вы сможете обезопасить платежные данные и узлы своих клиентов. Пользуйтесь и делитесь с коллегами
#devsecops
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥4😎3
👉 Сохраняйте в закладки советы по настройке безопасной инфраструктуры на базе Kubernetes.
Содержание гайда:
— DNS
— Node
— Pod
— Etcd
— Kube-proxy
— Role-Based Access Control
— Стороннее ПО
— Облака
— Автоматизация эксплуатации
Эта
wiki-страница поможет защитить ваши кластеры и их компоненты уже на самых ранних этапах развертывания.#k8s #kubernetes #devsecops
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍3🔥3😎2
👉 Нашли для вас интересную шпаргалку, которая поможет усилить безопасность Kubernetes — в ней советы по 4 основным разделам:
— Безопасность компонентов Kubernetes
— Network Security
— Безопасность pods и других объектов
— Kubernetes credentials и data security
Также в нашем блоге вы можете прочесть статью «Лучшие практики безопасности Kubernetes за 5 шагов» , чтобы уж точно не пропустить никакую деталь.
#kubernetes #k8s #k8ssec #devsecops
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3😎3⚡2
Forwarded from Похек
Abusing GitLab Runners
#gitlab #devsecops
Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.
➡️ Research
➡️ Github PoC
Использование:
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#gitlab #devsecops
Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.
Использование:
usage: hijack-runner.py [-h] [--target TARGET] [--register REGISTER] [--attack ATTACK] [--tag TAG]
[--clone]
Abuse GitLab Runners
optional arguments:
-h, --help show this help message and exit
--target TARGET The GitLab instance to target
--register REGISTER Register a token
--attack ATTACK Use Runner token to steal data
--tag TAG Taglist separated with commas
--clone Will clone the repo locally
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥4❤2⚡2