The Agentic Coding Security Report - Technical Paper.pdf
561.3 KB
The Agentic Coding Security Report
Всем привет!
В приложении можно найти небольшой отчёт (~ 14 страниц) от DryRun Security – The Agentic Coding Security Report.
В нём отражена точка зрения на вопрос: «AI-агенты всё чаще и чаще используются для разработки ПО. Но как это влияет на уровень информационной безопасности?».
Для этого команда «поставила задачу» трём агентам – Claude, Codex и Gemini – по разработке ПО с последующей его «доработкой» через PR.
По завершению «работы» итоговые варианты программного обеспечения были проанализированы на наличие ИБ-дефектов.
Если кратко, то:
🍭 87% PR содержали ИБ-дефекты
🍭 Большинство ИБ-дефектов были «Высокого» уровня критичности
🍭 Разные агенты допускали идентичные ошибки (Broken Access Control, TOCTOU, XSS, User Enumeration и т.д.)
🍭 Codex показал лучшие результаты ☺️
Больше деталей, включая описание подхода к реализации поставленной задачи и описание итоговых результатов, можно найти в отчёте.
Всем привет!
В приложении можно найти небольшой отчёт (~ 14 страниц) от DryRun Security – The Agentic Coding Security Report.
В нём отражена точка зрения на вопрос: «AI-агенты всё чаще и чаще используются для разработки ПО. Но как это влияет на уровень информационной безопасности?».
Для этого команда «поставила задачу» трём агентам – Claude, Codex и Gemini – по разработке ПО с последующей его «доработкой» через PR.
По завершению «работы» итоговые варианты программного обеспечения были проанализированы на наличие ИБ-дефектов.
Если кратко, то:
🍭 87% PR содержали ИБ-дефекты
🍭 Большинство ИБ-дефектов были «Высокого» уровня критичности
🍭 Разные агенты допускали идентичные ошибки (Broken Access Control, TOCTOU, XSS, User Enumeration и т.д.)
🍭 Codex показал лучшие результаты ☺️
Больше деталей, включая описание подхода к реализации поставленной задачи и описание итоговых результатов, можно найти в отчёте.
❤6
Forwarded from CyberCamp
Митап по DevSecOps от СyberCamp — скоро начинаем 😄
😎 😎 😎 😎 😎
😎 😎 😎 😎 😎
Подключайтесь к трансляции в VK Видео в 12:00 МСК. Топовые ведущие — Полина и Антон! Вместе с нашими гостями поговорим про:
12:10 SAST в DevSecOps
12:50 Моделирование угроз при разработке ПО
13:25 Композиционный анализ ПО
14:05 Будни AppSec
15:20 Анализ состава образов контейнеров
15:50 Защиту мобильных устройств
16:30 Динамический анализ ПО
17:25 Масштабирование анализа уязвимостей в AppSec
18:10 Безопасность контейнерной инфраструктуры
Смотрите эфир в VK Видео, задавайте вопросы спикерам и следите за событиями митапа в чате комьюнити CyberCamp.
⚠️ Киберучения на платформе Jet CyberCamp стартуют завтра в 10:00 МСК. Сегодня мы пришлем всем участникам инструкцию по доступу — скачайте заранее необходимые для заданий материалы.
🧿 Регистрация l 👋 Комьюнити
🥰 Буст для чата
Подключайтесь к трансляции в VK Видео в 12:00 МСК. Топовые ведущие — Полина и Антон! Вместе с нашими гостями поговорим про:
12:10 SAST в DevSecOps
12:50 Моделирование угроз при разработке ПО
13:25 Композиционный анализ ПО
14:05 Будни AppSec
15:20 Анализ состава образов контейнеров
15:50 Защиту мобильных устройств
16:30 Динамический анализ ПО
17:25 Масштабирование анализа уязвимостей в AppSec
18:10 Безопасность контейнерной инфраструктуры
Смотрите эфир в VK Видео, задавайте вопросы спикерам и следите за событиями митапа в чате комьюнити CyberCamp.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍7❤6🖕2👎1
Атака на цепочку поставки: LiteLLM
Всем привет!
Атака на Trivy – вероятно самая обсуждаемая тема нескольких последних недель.
Но не ей единой. Компрометации подверглась и LiteLLM.
47 000 скачиваний уязвимых версий (1.82.7, 1.82.8) за 46 минут.
Вредоносное ПО делает следующее:
🍭 Сбор чувствительных данных (SSH-ключи, информация из конфигурационных файлов, shell-история и т.д.)
🍭 Собранные данные зашифровываются и передаются на
🍭 Кроме этого, если присутствует Kubernetes Service Account Token, то вредоносное ПО пытается получить доступ о всех секретах кластера и создать
Подробнее об атаке на LiteLLM можно прочесть в статьях: первая посвящена общему анализу и хронологии событий, вторая – описанию вредоносного ПО.
Всем привет!
Атака на Trivy – вероятно самая обсуждаемая тема нескольких последних недель.
Но не ей единой. Компрометации подверглась и LiteLLM.
47 000 скачиваний уязвимых версий (1.82.7, 1.82.8) за 46 минут.
Вредоносное ПО делает следующее:
🍭 Сбор чувствительных данных (SSH-ключи, информация из конфигурационных файлов, shell-история и т.д.)
🍭 Собранные данные зашифровываются и передаются на
https://models.litellm.cloud🍭 Кроме этого, если присутствует Kubernetes Service Account Token, то вредоносное ПО пытается получить доступ о всех секретах кластера и создать
pod и сделать некоторый mount на узел кластераПодробнее об атаке на LiteLLM можно прочесть в статьях: первая посвящена общему анализу и хронологии событий, вторая – описанию вредоносного ПО.
FutureSearch
LiteLLM Hack: Were You One of the 47,000?
The litellm 1.82.7 and 1.82.8 supply chain attack on PyPI hit 47,000 downloads in 46 minutes. We analyzed all 2,337 dependent packages - 88% had version specs that allowed the compromised versions.
🤯5❤2
Kubelet: зачем он нужен и как устроен
Всем привет!
Kubelet – основной «агент» узлов кластера, который отвечает за жизненный цикл запускаемых на нём
Поэтому понимание принципов его работы крайне важно. Особенно, если
Помочь в этом сможет статья, в которой Автор сделал очень неплохой «обзор» на Kubelet.
Материал содержит разделы:
🍭 Архитектура Kubelet
🍭 Основные (core) компоненты Kubelet
🍭 Описание процесса создания
Механизм синхронизации
🍭 Описание основных причин «падения» контейнеров и не только
Очень много различных схем, диаграмм последовательностей, примеров команд, позволяющих разобраться в происходящем.
Самое «то» для того, чтобы лучше представлять себе процесс создания
Всем привет!
Kubelet – основной «агент» узлов кластера, который отвечает за жизненный цикл запускаемых на нём
pod’ов.Поэтому понимание принципов его работы крайне важно. Особенно, если
pod постоянно находится в состояниях Pending или ContainerCreating.Помочь в этом сможет статья, в которой Автор сделал очень неплохой «обзор» на Kubelet.
Материал содержит разделы:
🍭 Архитектура Kubelet
🍭 Основные (core) компоненты Kubelet
🍭 Описание процесса создания
podМеханизм синхронизации
🍭 Описание основных причин «падения» контейнеров и не только
Очень много различных схем, диаграмм последовательностей, примеров команд, позволяющих разобраться в происходящем.
Самое «то» для того, чтобы лучше представлять себе процесс создания
pod и его основных «участников».Medium
The Kubelet Deep Dive: Understanding Pod Startup Failures
A comprehensive guide to kubelet architecture, pod lifecycle management, and systematic troubleshooting of container startup issues
👍6
Infralens: анализ service-to-service взаимодействия
Всем привет!
Infralens – open-source проект, который использует eBPF для автоматического обнаружения и визуализации взаимодействия service-to-service в кластерах Kubernetes.
Из ключевых функций можно отметить:
🍭 Отсутствие инструментации: никаких sidecars, изменения кодовой базы
🍭 Отображение топологии в режиме реального времени
🍭 Поддержка IPv4 и IPv6
🍭 Аналитика потребляемых ресурсов (CPU, RAM) узлами кластера
🍭 Интерактивная визуализация и не только
Кроме этого, Infralens позволяет генерировать автоматическое описание используемых сервисов при помощи AI.
Такая документация включает в себя: что делает сервис, какие используются технологии для его создания, описание сетевого поведения и т.д.
Подробности про возможности Infralens, его архитектуру, способы установки и настройки можно найти в GitHub-репозитории проекта.
Всем привет!
Infralens – open-source проект, который использует eBPF для автоматического обнаружения и визуализации взаимодействия service-to-service в кластерах Kubernetes.
Из ключевых функций можно отметить:
🍭 Отсутствие инструментации: никаких sidecars, изменения кодовой базы
🍭 Отображение топологии в режиме реального времени
🍭 Поддержка IPv4 и IPv6
🍭 Аналитика потребляемых ресурсов (CPU, RAM) узлами кластера
🍭 Интерактивная визуализация и не только
Кроме этого, Infralens позволяет генерировать автоматическое описание используемых сервисов при помощи AI.
Такая документация включает в себя: что делает сервис, какие используются технологии для его создания, описание сетевого поведения и т.д.
Подробности про возможности Infralens, его архитектуру, способы установки и настройки можно найти в GitHub-репозитории проекта.
GitHub
GitHub - Herenn/Infralens: InfraLens is a next-generation observability tool that uses eBPF to automatically discover and visualize…
InfraLens is a next-generation observability tool that uses eBPF to automatically discover and visualize service-to-service communication in Kubernetes clusters—without requiring any code changes o...
❤2
Безопасная работа с npm
Всем привет!
В GitHub-репозитории собраны лучшие практики, позволяющие повысить уровень информационной безопасности при работе с
Глобально материал «разбит» на разделы:
🍭
🍭 Secure Local Development Best Practices
🍭
🍭
Каждый из описанных выше разделов состоит из набора рекомендаций, перечень которых варьируется.
Для каждой рекомендации приводятся некоторые советы и набор команд, в которых указано как её можно реализовать на практике.
Кратко, по делу и ничего лишнего. Рекомендуем!
Всем привет!
В GitHub-репозитории собраны лучшие практики, позволяющие повысить уровень информационной безопасности при работе с
npm.Глобально материал «разбит» на разделы:
🍭
npm Security Best Practices🍭 Secure Local Development Best Practices
🍭
npm Maintainer Security Best Practices🍭
npm Package Health Best PracticesКаждый из описанных выше разделов состоит из набора рекомендаций, перечень которых варьируется.
Для каждой рекомендации приводятся некоторые советы и набор команд, в которых указано как её можно реализовать на практике.
Кратко, по делу и ничего лишнего. Рекомендуем!
GitHub
GitHub - lirantal/npm-security-best-practices: Collection of npm package manager Security Best Practices
Collection of npm package manager Security Best Practices - lirantal/npm-security-best-practices
👍7❤2
GitHub Actions: Security Roadmap
Всем привет!
События последних недель ясно дали понять, что безопасность цепочки поставки ПО – вещь достаточно важная и значимая.
Команда GitHub это понимает и ведёт работы в этом направлении. Недавно они опубликовали перечень нововведений, которые будут реализованы для повышения уровня информационной безопасности.
Ознакомиться с получившимся Security Roadmap можно по ссылке.
Если говорить в общем, то работа ведётся в трёх направлениях:
🍭 Ecosystem. Явное определение зависимостей и безопасная публикация
🍭 Attack Surface. Управление политиками, настройками по умолчанию и ограничение области действий учётных данных
🍭 Infrastructure. Контроль действий в реальном времени, ограничение сетевого взаимодействия runner’ов
Для каждой области в статье описано что именно планируется реализовать. Например, раздел
Или же создание политик, которые явно определяет кто именно/какое событие может запускать сборку.
И, конечно же, какой Roadmap без сроков – информацию о доступности нововведений можно найти в статье.
Всем привет!
События последних недель ясно дали понять, что безопасность цепочки поставки ПО – вещь достаточно важная и значимая.
Команда GitHub это понимает и ведёт работы в этом направлении. Недавно они опубликовали перечень нововведений, которые будут реализованы для повышения уровня информационной безопасности.
Ознакомиться с получившимся Security Roadmap можно по ссылке.
Если говорить в общем, то работа ведётся в трёх направлениях:
🍭 Ecosystem. Явное определение зависимостей и безопасная публикация
🍭 Attack Surface. Управление политиками, настройками по умолчанию и ограничение области действий учётных данных
🍭 Infrastructure. Контроль действий в реальном времени, ограничение сетевого взаимодействия runner’ов
Для каждой области в статье описано что именно планируется реализовать. Например, раздел
dependencies, в котором можно явно указать необходимый перечень для сборки.Или же создание политик, которые явно определяет кто именно/какое событие может запускать сборку.
И, конечно же, какой Roadmap без сроков – информацию о доступности нововведений можно найти в статье.
The GitHub Blog
What's coming to our GitHub Actions 2026 security roadmap
A look at GitHub Actions’ 2026 roadmap, outlining how secure defaults, policy controls, and CI/CD observability harden the software supply chain end to end.
👍2💯2
Регистрация на Альфа ЦТФ уже открыта ⚡️
25 апреля Альфа-Банк проводит соревнование по захвату флага — Цепляй Трофейный Флаг. Будете искать уязвимости на городских высотах и бороться за призовой фонд 3 100 000 рублей.
Что нужно сделать:
➡ Выпить бодрящий кофе перед стартом и настроиться на маршрут
➡ Сгонять на велозаезд — или хотя бы сделать вид
➡ Искать флаги как в городе, так и внутри систем
➡ Не теряться на сложных участках
➡ Находить и разбирать уязвимости
Во время соревнования будут доступны ИТ-хабы в Москве, Санкт-Петербурге, Екатеринбурге и Сочи, а также коворкинги в вузах-партнёрах: Финансовом университете, ИТМО и Сириусе.
Будет 4 направления:
🚩 ЦТФ-трек для специалистов по ИБ и опытных игроков, которые готовы к сложным заданиям
🔢 ИТ-трек для ИТ-специалистов кроме тех, кто работает в кибербезопасности или участвовал в соревнованиях по спортивному хакингу
😁 Студенческий трек для учащихся вузов и колледжей
👟 Школьный трек — впервые могут участвовать подростки 14–18 лет
Регистрируйтесь, собирайте команду или залетайте в соло!
25 апреля Альфа-Банк проводит соревнование по захвату флага — Цепляй Трофейный Флаг. Будете искать уязвимости на городских высотах и бороться за призовой фонд 3 100 000 рублей.
Что нужно сделать:
Во время соревнования будут доступны ИТ-хабы в Москве, Санкт-Петербурге, Екатеринбурге и Сочи, а также коворкинги в вузах-партнёрах: Финансовом университете, ИТМО и Сириусе.
Будет 4 направления:
Регистрируйтесь, собирайте команду или залетайте в соло!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥2🥰1🖕1
Безопасность CI/CD: рекомендации Latio
Всем привет!
Сканирование зависимостей и образов контейнеров на наличие уязвимостей практика, безусловно, полезная, но не всегда достаточная.
Особенно, когда речь касается безопасности процесса сборки. Причина проста – поверхность атаки гораздо больше.
Чтобы разобраться что к чему и с чего начать, можно воспользоваться рекомендациями от Latio.
Ребята собрали набор практик по следующим разделам:
🍭 Third-Party Packages
🍭 Container Images
🍭 GitHub Actions
🍭 Infrastructure-as-Code Modules
🍭 AI/ML Modules
🍭 IDE Extensions and Developer Tools
Для каждого раздела приведен checklist, состоящий из двух разделов.
Первый – Immediate Actions – описывает высокоприоритетные задачи, которые помогут значительно «сократить» поверхность атаки.
Второй – Long-term Initiatives – предлагает набор практик для развития и дальнейшего улучшения.
В завершении статьи можно найти примеры атак по рассмотренным выше областям.
Кстати, проверки всех checklist’ов можно автоматизировать с использованием Claude Code Plugin, ссылку на который можно найти в статье.
Всем привет!
Сканирование зависимостей и образов контейнеров на наличие уязвимостей практика, безусловно, полезная, но не всегда достаточная.
Особенно, когда речь касается безопасности процесса сборки. Причина проста – поверхность атаки гораздо больше.
Чтобы разобраться что к чему и с чего начать, можно воспользоваться рекомендациями от Latio.
Ребята собрали набор практик по следующим разделам:
🍭 Third-Party Packages
🍭 Container Images
🍭 GitHub Actions
🍭 Infrastructure-as-Code Modules
🍭 AI/ML Modules
🍭 IDE Extensions and Developer Tools
Для каждого раздела приведен checklist, состоящий из двух разделов.
Первый – Immediate Actions – описывает высокоприоритетные задачи, которые помогут значительно «сократить» поверхность атаки.
Второй – Long-term Initiatives – предлагает набор практик для развития и дальнейшего улучшения.
В завершении статьи можно найти примеры атак по рассмотренным выше областям.
Кстати, проверки всех checklist’ов можно автоматизировать с использованием Claude Code Plugin, ссылку на который можно найти в статье.
pulse.latio.tech
The Complete Guide to Preventing Open Source Malware
Prevent open source malware with Latio’s complete guide, including checklists and a Claude Code plugin.
👍2
Self Deployment.pdf
21.4 MB
Self-Deployment: работа с ИТ-инфраструктурой
Всем привет!
В приложении можно найти полноценную книгу (~ 774 страницы), в которой собрана информация, которая может помочь погрузить в тематику работы с ИТ-инфраструктурой и Kubernetes в частности.
Автор написал её для разработчиков, чтобы они понимали не только «свою часть», но и «всю картину» в общем.
Книга содержит главы:
🍭 Introduction to Linux
🍭 Basics of the Shell Environment
🍭 Basic Linux Commands
🍭 Containerization and Docker
🍭 Kubernetes и не только
Материал хорошо структурирован и точно может быть полезен для тех, кто только начинает свой путь.
Примеры, пояснения, немного истории, ссылки на полезные материалы по рассматриваемой теме – всё внутри!
P.S. Если кто-то хочет материально отблагодарить Автора, то сделать это можно по ссылке
Всем привет!
В приложении можно найти полноценную книгу (~ 774 страницы), в которой собрана информация, которая может помочь погрузить в тематику работы с ИТ-инфраструктурой и Kubernetes в частности.
Автор написал её для разработчиков, чтобы они понимали не только «свою часть», но и «всю картину» в общем.
Книга содержит главы:
🍭 Introduction to Linux
🍭 Basics of the Shell Environment
🍭 Basic Linux Commands
🍭 Containerization and Docker
🍭 Kubernetes и не только
Материал хорошо структурирован и точно может быть полезен для тех, кто только начинает свой путь.
Примеры, пояснения, немного истории, ссылки на полезные материалы по рассматриваемой теме – всё внутри!
P.S. Если кто-то хочет материально отблагодарить Автора, то сделать это можно по ссылке
👍6❤4
Vibe Security Radar
Всем привет!
Vibe Security Radar – проект, который помогает определить, что определённая уязвимость была добавлена в исходный код с использованием LLM.
Работает по следующему принципу:
🍭 Анализ уязвимости и поиск commit’a с исправлением
🍭 Идентификация «автора изменения»
🍭 Поиск AI-«сигналов»
🍭 Уточнение данных для того, чтобы убедиться, что «автор» - ИИ
На текущий момент было выявлено 78 таких уязвимостей, 43 из которых имеют уровень критичности High и Critical.
Для каждой такой уязвимости можно посмотреть информацию об LLM, которая её «добавила» и общие данные («сигналы», commit’ы с исправлениями и результаты анализа и т.д.).
Если хочется больше подробностей, то они представлены в GitHub-репозитории проекта.
Всем привет!
Vibe Security Radar – проект, который помогает определить, что определённая уязвимость была добавлена в исходный код с использованием LLM.
Работает по следующему принципу:
🍭 Анализ уязвимости и поиск commit’a с исправлением
🍭 Идентификация «автора изменения»
🍭 Поиск AI-«сигналов»
🍭 Уточнение данных для того, чтобы убедиться, что «автор» - ИИ
На текущий момент было выявлено 78 таких уязвимостей, 43 из которых имеют уровень критичности High и Critical.
Для каждой такой уязвимости можно посмотреть информацию об LLM, которая её «добавила» и общие данные («сигналы», commit’ы с исправлениями и результаты анализа и т.д.).
Если хочется больше подробностей, то они представлены в GitHub-репозитории проекта.
vibe-radar-ten.vercel.app
Vibe Security Radar
Tracking the security cost of vibe coding
❤4