SecScore: оценка безопасности сборки
Всем привет!
SecScore – open-source утилита, которая позволяет описать правила (не) прохождения сборки, основываясь на критериях.
Да, по факту это некий аналог Security/Quality Gate.
Работает это примерно так:
🍭 Вы определяется «оценку», по достижении которой сборка считается «неудачной» (например, 100)
🍭 Для разных уровней критичности определяются свои веса (например, High – 20, Medium – 7 и т.д.)
🍭 Кроме этого, можно указать «Hard Fails» - т.е. нечто, чего попросту не должно быть. Да, даже если «оценка» не достигнута
🍭 Дополнительно можно указать условия. Например, реагировать только на новые ИБ-дефекты
По результатам работы, в том числе, создается комментарий в PR. В нём отображается информация о «принятом решении» и причины, на основании которых оно было сделано.
Больше подробностей о SecScore можно прочесть в GitHub-репозитории проекта.
Всем привет!
SecScore – open-source утилита, которая позволяет описать правила (не) прохождения сборки, основываясь на критериях.
Да, по факту это некий аналог Security/Quality Gate.
Работает это примерно так:
🍭 Вы определяется «оценку», по достижении которой сборка считается «неудачной» (например, 100)
🍭 Для разных уровней критичности определяются свои веса (например, High – 20, Medium – 7 и т.д.)
🍭 Кроме этого, можно указать «Hard Fails» - т.е. нечто, чего попросту не должно быть. Да, даже если «оценка» не достигнута
🍭 Дополнительно можно указать условия. Например, реагировать только на новые ИБ-дефекты
По результатам работы, в том числе, создается комментарий в PR. В нём отображается информация о «принятом решении» и причины, на основании которых оно было сделано.
Больше подробностей о SecScore можно прочесть в GitHub-репозитории проекта.
SecScore
SecScore | Security Score that matters for CI/CD
Open-source security scoring engine for CI/CD pipelines.
❤3👍1
ENISA Package_Managers.pdf
1.4 MB
Безопасное использование пакетных менеджеров
Всем привет!
В марте 2026 года ENISA выпустила руководство «Technical Advisory for Secure Use of Package Managers», (~ 28 страниц), которое можно найти в приложении.
В нём приводятся практики, позволяющие повысить уровень информационной безопасности при работе с пакетными менеджерами.
Материал структурирован по разделам:
🍭 Solution architecture and data flows. Общее описание принципов работы пакетных менеджеров
🍭 Security risks in package consumption. Основная проблематика, с которой можно столкнуться (уязвимости, атаки на цепочку поставок и т.д.)
🍭 Best practices – secure package consumption. Рекомендации по безопасному использованию пакетных менеджеров
Материал описывает общие рекомендации (т.е. отдельных рекомендаций для «конкретного» пакетного менеджера нет).
Всё довольно лаконично, понятно и достаточно подробно описано для того, чтобы реализовать это у себя.
Останется только понять «как именно» это можно сделать. Но здесь уникального ответа нет – каждый найдет свой собственный путь.
Всем привет!
В марте 2026 года ENISA выпустила руководство «Technical Advisory for Secure Use of Package Managers», (~ 28 страниц), которое можно найти в приложении.
В нём приводятся практики, позволяющие повысить уровень информационной безопасности при работе с пакетными менеджерами.
Материал структурирован по разделам:
🍭 Solution architecture and data flows. Общее описание принципов работы пакетных менеджеров
🍭 Security risks in package consumption. Основная проблематика, с которой можно столкнуться (уязвимости, атаки на цепочку поставок и т.д.)
🍭 Best practices – secure package consumption. Рекомендации по безопасному использованию пакетных менеджеров
Материал описывает общие рекомендации (т.е. отдельных рекомендаций для «конкретного» пакетного менеджера нет).
Всё довольно лаконично, понятно и достаточно подробно описано для того, чтобы реализовать это у себя.
Останется только понять «как именно» это можно сделать. Но здесь уникального ответа нет – каждый найдет свой собственный путь.
❤6👍1🔥1
Forwarded from DevSecOps Assessment Framework (DAF)
Media is too big
VIEW IN TELEGRAM
Видеообзор с инструкцией по использованию DAF
Всем привет! Мы стараемся сделать наш фреймворк понятным и доступным, поэтому решили записать небольшой видеоролик, в котором разбираем все основные компоненты DAF, рассказываем как им пользоваться и на что обращать внимание.
Осветили в обзоре следующие пункты:
- описание фреймворка на github
- все вкладки фреймворка, их структура и назначение
- принципы и процесс заполнения практик на листе "Практики", интерпретация результатов заполнения.
Пишите нам обратную связь по ролику и дайте нам знать, что еще хотелось бы увидеть в следующих роликах!
Всем привет! Мы стараемся сделать наш фреймворк понятным и доступным, поэтому решили записать небольшой видеоролик, в котором разбираем все основные компоненты DAF, рассказываем как им пользоваться и на что обращать внимание.
Осветили в обзоре следующие пункты:
- описание фреймворка на github
- все вкладки фреймворка, их структура и назначение
- принципы и процесс заполнения практик на листе "Практики", интерпретация результатов заполнения.
Пишите нам обратную связь по ролику и дайте нам знать, что еще хотелось бы увидеть в следующих роликах!
34🔥9🥰5❤4
Trajan: анализ безопасности CI/CD
Всем привет!
Trajan – open-source утилита от Praetorian, которая позволяет анализировать настройки CI/CD и идентифицировать в них ИБ-дефекты.
«Из коробки» доступна следующая функциональность:
🍭 32 плагина для идентификации небезопасных настроек
🍭 24 плагина для идентификации атак
🍭 Несколько «режимов работы»: enumerate, scan и attack
🍭 Наличие графического web-интерфейса
На текущий момент поддерживается GitHub Actions, GitLab CI, Azure DevOps и Jenkins.
Количество плагинов для идентификации небезопасных настроек и атак варьируется в зависимости от рассматриваемой CI-системы.
Больше подробностей про проект можно найти в GitHub-репозитории или вот в этой статье от Авторов Trajan.
Всем привет!
Trajan – open-source утилита от Praetorian, которая позволяет анализировать настройки CI/CD и идентифицировать в них ИБ-дефекты.
«Из коробки» доступна следующая функциональность:
🍭 32 плагина для идентификации небезопасных настроек
🍭 24 плагина для идентификации атак
🍭 Несколько «режимов работы»: enumerate, scan и attack
🍭 Наличие графического web-интерфейса
На текущий момент поддерживается GitHub Actions, GitLab CI, Azure DevOps и Jenkins.
Количество плагинов для идентификации небезопасных настроек и атак варьируется в зависимости от рассматриваемой CI-системы.
Больше подробностей про проект можно найти в GitHub-репозитории или вот в этой статье от Авторов Trajan.
GitHub
GitHub - praetorian-inc/trajan: A multi-platform CI/CD vulnerability detection and attack automation tool for identifying security…
A multi-platform CI/CD vulnerability detection and attack automation tool for identifying security weaknesses in pipeline configurations. - praetorian-inc/trajan
👍8🔥2
Поиск вредоносных contributors в open-source: опыт DataDog
Всем привет!
DataDog – компания, которая много сил вкладывает в развитие open-source. Включая собственные разработки, которые ребята дают миру.
Когда «идешь в public» - будь готов к тому, что тебя могут «исследовать» и пытаться атаковать. DataDog – не исключение.
Supply chain атаки особенно популярны в наше время: от «воздействия» на название PR до различного вида инъекций, в результате чего может быть украдена информация, подменён артефакт и т.д.
Недавно мы писали о BewAIre – наработке Компании, которая позволяет определить, является ли PR вредоносным или нет.
Ребята пошли дальше и теперь направляют результаты работы BewAIre в свой SIEM для последующего реагирования со стороны их SIRT-команды.
И именно это помогло им найти несколько атак на их open-source проекты.
Случилось примерно следующее:
🍭 BewAIre указал на то, что один из PR в IaC Scanner(который, кстати, open-source ) может быть вредоносным
🍭 Команда отреагировала и выяснила, что злоумышленник пытался внедрить вредоносный код в название файла
🍭 Инъекция заключалась в том, чтобы скачать подконтрольный злоумышленнику файл и выполнить его
🍭 На этом приключение не закончилось. Спустя несколько часов было открыто несколько issues, в описании которых содержался prompt injection
Хорошие новости в том, что подход DataDog показал свою результативность на практике и действия злоумышленника удалось предотвратить.
Что было в том prompt injection и что за файл надо было скачать и запустить – обо всём этом и не только можно прочесть в статье.
Timeline, анализ действий злоумышленника, используемые им подходы, рекомендации по повышению уровня безопасности – всё на месте!
Рекомендуем!
Всем привет!
DataDog – компания, которая много сил вкладывает в развитие open-source. Включая собственные разработки, которые ребята дают миру.
Когда «идешь в public» - будь готов к тому, что тебя могут «исследовать» и пытаться атаковать. DataDog – не исключение.
Supply chain атаки особенно популярны в наше время: от «воздействия» на название PR до различного вида инъекций, в результате чего может быть украдена информация, подменён артефакт и т.д.
Недавно мы писали о BewAIre – наработке Компании, которая позволяет определить, является ли PR вредоносным или нет.
Ребята пошли дальше и теперь направляют результаты работы BewAIre в свой SIEM для последующего реагирования со стороны их SIRT-команды.
И именно это помогло им найти несколько атак на их open-source проекты.
Случилось примерно следующее:
🍭 BewAIre указал на то, что один из PR в IaC Scanner
🍭 Команда отреагировала и выяснила, что злоумышленник пытался внедрить вредоносный код в название файла
🍭 Инъекция заключалась в том, чтобы скачать подконтрольный злоумышленнику файл и выполнить его
🍭 На этом приключение не закончилось. Спустя несколько часов было открыто несколько issues, в описании которых содержался prompt injection
Хорошие новости в том, что подход DataDog показал свою результативность на практике и действия злоумышленника удалось предотвратить.
Что было в том prompt injection и что за файл надо было скачать и запустить – обо всём этом и не только можно прочесть в статье.
Timeline, анализ действий злоумышленника, используемые им подходы, рекомендации по повышению уровня безопасности – всё на месте!
Рекомендуем!
Datadog
When an AI agent came knocking: Catching malicious contributions in Datadog’s open source repos | Datadog
Learn how Datadog detected and resolved issues from hackerbot-claw, an AI-powered automated attack campaign.
❤2
Изучаем Istio: the Hard Way
Всем привет!
Если вы хотели притронуться к технологии Service Mesh и руки всё никак не могли дойти, то, возможно, эта статья сможет вам помочь.
В ней Автор на примере Istio разбирает что это такое, как это работает и как настраивается.
Статья содержит разделы
🍭 Описание «лаборатории» (все материалы можно найти в этом репозитории)
🍭 Краткое описание логики работы Istio
Управление трафиком (
🍭 Реализация ZeroTrust-концепта с использованием mTLS
🍭 Балансировка нагрузки и не только
Краткое описание того, что происходит приводится в статье.
Если нужно больше информации (например, для самостоятельного воспроизведения), то её можно найти в GitHub-репозитории.
Всем привет!
Если вы хотели притронуться к технологии Service Mesh и руки всё никак не могли дойти, то, возможно, эта статья сможет вам помочь.
В ней Автор на примере Istio разбирает что это такое, как это работает и как настраивается.
Статья содержит разделы
🍭 Описание «лаборатории» (все материалы можно найти в этом репозитории)
🍭 Краткое описание логики работы Istio
Управление трафиком (
VirtualServices, DestinationRules, Subsets)🍭 Реализация ZeroTrust-концепта с использованием mTLS
🍭 Балансировка нагрузки и не только
Краткое описание того, что происходит приводится в статье.
Если нужно больше информации (например, для самостоятельного воспроизведения), то её можно найти в GitHub-репозитории.
DEV Community
Learning Istio the Hard Way: A Real Service Mesh Lab with Canary, mTLS, and Tracing.
Table of Contents Why I Built a Service Mesh Lab Instead of Just Reading Docs The...
❤6
The Agentic Coding Security Report - Technical Paper.pdf
561.3 KB
The Agentic Coding Security Report
Всем привет!
В приложении можно найти небольшой отчёт (~ 14 страниц) от DryRun Security – The Agentic Coding Security Report.
В нём отражена точка зрения на вопрос: «AI-агенты всё чаще и чаще используются для разработки ПО. Но как это влияет на уровень информационной безопасности?».
Для этого команда «поставила задачу» трём агентам – Claude, Codex и Gemini – по разработке ПО с последующей его «доработкой» через PR.
По завершению «работы» итоговые варианты программного обеспечения были проанализированы на наличие ИБ-дефектов.
Если кратко, то:
🍭 87% PR содержали ИБ-дефекты
🍭 Большинство ИБ-дефектов были «Высокого» уровня критичности
🍭 Разные агенты допускали идентичные ошибки (Broken Access Control, TOCTOU, XSS, User Enumeration и т.д.)
🍭 Codex показал лучшие результаты ☺️
Больше деталей, включая описание подхода к реализации поставленной задачи и описание итоговых результатов, можно найти в отчёте.
Всем привет!
В приложении можно найти небольшой отчёт (~ 14 страниц) от DryRun Security – The Agentic Coding Security Report.
В нём отражена точка зрения на вопрос: «AI-агенты всё чаще и чаще используются для разработки ПО. Но как это влияет на уровень информационной безопасности?».
Для этого команда «поставила задачу» трём агентам – Claude, Codex и Gemini – по разработке ПО с последующей его «доработкой» через PR.
По завершению «работы» итоговые варианты программного обеспечения были проанализированы на наличие ИБ-дефектов.
Если кратко, то:
🍭 87% PR содержали ИБ-дефекты
🍭 Большинство ИБ-дефектов были «Высокого» уровня критичности
🍭 Разные агенты допускали идентичные ошибки (Broken Access Control, TOCTOU, XSS, User Enumeration и т.д.)
🍭 Codex показал лучшие результаты ☺️
Больше деталей, включая описание подхода к реализации поставленной задачи и описание итоговых результатов, можно найти в отчёте.
❤6
Forwarded from CyberCamp
Митап по DevSecOps от СyberCamp — скоро начинаем 😄
😎 😎 😎 😎 😎
😎 😎 😎 😎 😎
Подключайтесь к трансляции в VK Видео в 12:00 МСК. Топовые ведущие — Полина и Антон! Вместе с нашими гостями поговорим про:
12:10 SAST в DevSecOps
12:50 Моделирование угроз при разработке ПО
13:25 Композиционный анализ ПО
14:05 Будни AppSec
15:20 Анализ состава образов контейнеров
15:50 Защиту мобильных устройств
16:30 Динамический анализ ПО
17:25 Масштабирование анализа уязвимостей в AppSec
18:10 Безопасность контейнерной инфраструктуры
Смотрите эфир в VK Видео, задавайте вопросы спикерам и следите за событиями митапа в чате комьюнити CyberCamp.
⚠️ Киберучения на платформе Jet CyberCamp стартуют завтра в 10:00 МСК. Сегодня мы пришлем всем участникам инструкцию по доступу — скачайте заранее необходимые для заданий материалы.
🧿 Регистрация l 👋 Комьюнити
🥰 Буст для чата
Подключайтесь к трансляции в VK Видео в 12:00 МСК. Топовые ведущие — Полина и Антон! Вместе с нашими гостями поговорим про:
12:10 SAST в DevSecOps
12:50 Моделирование угроз при разработке ПО
13:25 Композиционный анализ ПО
14:05 Будни AppSec
15:20 Анализ состава образов контейнеров
15:50 Защиту мобильных устройств
16:30 Динамический анализ ПО
17:25 Масштабирование анализа уязвимостей в AppSec
18:10 Безопасность контейнерной инфраструктуры
Смотрите эфир в VK Видео, задавайте вопросы спикерам и следите за событиями митапа в чате комьюнити CyberCamp.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍7❤6🖕2👎1
Атака на цепочку поставки: LiteLLM
Всем привет!
Атака на Trivy – вероятно самая обсуждаемая тема нескольких последних недель.
Но не ей единой. Компрометации подверглась и LiteLLM.
47 000 скачиваний уязвимых версий (1.82.7, 1.82.8) за 46 минут.
Вредоносное ПО делает следующее:
🍭 Сбор чувствительных данных (SSH-ключи, информация из конфигурационных файлов, shell-история и т.д.)
🍭 Собранные данные зашифровываются и передаются на
🍭 Кроме этого, если присутствует Kubernetes Service Account Token, то вредоносное ПО пытается получить доступ о всех секретах кластера и создать
Подробнее об атаке на LiteLLM можно прочесть в статьях: первая посвящена общему анализу и хронологии событий, вторая – описанию вредоносного ПО.
Всем привет!
Атака на Trivy – вероятно самая обсуждаемая тема нескольких последних недель.
Но не ей единой. Компрометации подверглась и LiteLLM.
47 000 скачиваний уязвимых версий (1.82.7, 1.82.8) за 46 минут.
Вредоносное ПО делает следующее:
🍭 Сбор чувствительных данных (SSH-ключи, информация из конфигурационных файлов, shell-история и т.д.)
🍭 Собранные данные зашифровываются и передаются на
https://models.litellm.cloud🍭 Кроме этого, если присутствует Kubernetes Service Account Token, то вредоносное ПО пытается получить доступ о всех секретах кластера и создать
pod и сделать некоторый mount на узел кластераПодробнее об атаке на LiteLLM можно прочесть в статьях: первая посвящена общему анализу и хронологии событий, вторая – описанию вредоносного ПО.
FutureSearch
LiteLLM Hack: Were You One of the 47,000?
The litellm 1.82.7 and 1.82.8 supply chain attack on PyPI hit 47,000 downloads in 46 minutes. We analyzed all 2,337 dependent packages - 88% had version specs that allowed the compromised versions.
🤯5❤2
Kubelet: зачем он нужен и как устроен
Всем привет!
Kubelet – основной «агент» узлов кластера, который отвечает за жизненный цикл запускаемых на нём
Поэтому понимание принципов его работы крайне важно. Особенно, если
Помочь в этом сможет статья, в которой Автор сделал очень неплохой «обзор» на Kubelet.
Материал содержит разделы:
🍭 Архитектура Kubelet
🍭 Основные (core) компоненты Kubelet
🍭 Описание процесса создания
Механизм синхронизации
🍭 Описание основных причин «падения» контейнеров и не только
Очень много различных схем, диаграмм последовательностей, примеров команд, позволяющих разобраться в происходящем.
Самое «то» для того, чтобы лучше представлять себе процесс создания
Всем привет!
Kubelet – основной «агент» узлов кластера, который отвечает за жизненный цикл запускаемых на нём
pod’ов.Поэтому понимание принципов его работы крайне важно. Особенно, если
pod постоянно находится в состояниях Pending или ContainerCreating.Помочь в этом сможет статья, в которой Автор сделал очень неплохой «обзор» на Kubelet.
Материал содержит разделы:
🍭 Архитектура Kubelet
🍭 Основные (core) компоненты Kubelet
🍭 Описание процесса создания
podМеханизм синхронизации
🍭 Описание основных причин «падения» контейнеров и не только
Очень много различных схем, диаграмм последовательностей, примеров команд, позволяющих разобраться в происходящем.
Самое «то» для того, чтобы лучше представлять себе процесс создания
pod и его основных «участников».Medium
The Kubelet Deep Dive: Understanding Pod Startup Failures
A comprehensive guide to kubelet architecture, pod lifecycle management, and systematic troubleshooting of container startup issues
👍6
Infralens: анализ service-to-service взаимодействия
Всем привет!
Infralens – open-source проект, который использует eBPF для автоматического обнаружения и визуализации взаимодействия service-to-service в кластерах Kubernetes.
Из ключевых функций можно отметить:
🍭 Отсутствие инструментации: никаких sidecars, изменения кодовой базы
🍭 Отображение топологии в режиме реального времени
🍭 Поддержка IPv4 и IPv6
🍭 Аналитика потребляемых ресурсов (CPU, RAM) узлами кластера
🍭 Интерактивная визуализация и не только
Кроме этого, Infralens позволяет генерировать автоматическое описание используемых сервисов при помощи AI.
Такая документация включает в себя: что делает сервис, какие используются технологии для его создания, описание сетевого поведения и т.д.
Подробности про возможности Infralens, его архитектуру, способы установки и настройки можно найти в GitHub-репозитории проекта.
Всем привет!
Infralens – open-source проект, который использует eBPF для автоматического обнаружения и визуализации взаимодействия service-to-service в кластерах Kubernetes.
Из ключевых функций можно отметить:
🍭 Отсутствие инструментации: никаких sidecars, изменения кодовой базы
🍭 Отображение топологии в режиме реального времени
🍭 Поддержка IPv4 и IPv6
🍭 Аналитика потребляемых ресурсов (CPU, RAM) узлами кластера
🍭 Интерактивная визуализация и не только
Кроме этого, Infralens позволяет генерировать автоматическое описание используемых сервисов при помощи AI.
Такая документация включает в себя: что делает сервис, какие используются технологии для его создания, описание сетевого поведения и т.д.
Подробности про возможности Infralens, его архитектуру, способы установки и настройки можно найти в GitHub-репозитории проекта.
GitHub
GitHub - Herenn/Infralens: InfraLens is a next-generation observability tool that uses eBPF to automatically discover and visualize…
InfraLens is a next-generation observability tool that uses eBPF to automatically discover and visualize service-to-service communication in Kubernetes clusters—without requiring any code changes o...
❤2
Безопасная работа с npm
Всем привет!
В GitHub-репозитории собраны лучшие практики, позволяющие повысить уровень информационной безопасности при работе с
Глобально материал «разбит» на разделы:
🍭
🍭 Secure Local Development Best Practices
🍭
🍭
Каждый из описанных выше разделов состоит из набора рекомендаций, перечень которых варьируется.
Для каждой рекомендации приводятся некоторые советы и набор команд, в которых указано как её можно реализовать на практике.
Кратко, по делу и ничего лишнего. Рекомендуем!
Всем привет!
В GitHub-репозитории собраны лучшие практики, позволяющие повысить уровень информационной безопасности при работе с
npm.Глобально материал «разбит» на разделы:
🍭
npm Security Best Practices🍭 Secure Local Development Best Practices
🍭
npm Maintainer Security Best Practices🍭
npm Package Health Best PracticesКаждый из описанных выше разделов состоит из набора рекомендаций, перечень которых варьируется.
Для каждой рекомендации приводятся некоторые советы и набор команд, в которых указано как её можно реализовать на практике.
Кратко, по делу и ничего лишнего. Рекомендуем!
GitHub
GitHub - lirantal/npm-security-best-practices: Collection of npm package manager Security Best Practices
Collection of npm package manager Security Best Practices - lirantal/npm-security-best-practices
👍6❤1