Безопасность CI/CD: рекомендации Latio
Всем привет!
Сканирование зависимостей и образов контейнеров на наличие уязвимостей практика, безусловно, полезная, но не всегда достаточная.
Особенно, когда речь касается безопасности процесса сборки. Причина проста – поверхность атаки гораздо больше.
Чтобы разобраться что к чему и с чего начать, можно воспользоваться рекомендациями от Latio.
Ребята собрали набор практик по следующим разделам:
🍭 Third-Party Packages
🍭 Container Images
🍭 GitHub Actions
🍭 Infrastructure-as-Code Modules
🍭 AI/ML Modules
🍭 IDE Extensions and Developer Tools
Для каждого раздела приведен checklist, состоящий из двух разделов.
Первый – Immediate Actions – описывает высокоприоритетные задачи, которые помогут значительно «сократить» поверхность атаки.
Второй – Long-term Initiatives – предлагает набор практик для развития и дальнейшего улучшения.
В завершении статьи можно найти примеры атак по рассмотренным выше областям.
Кстати, проверки всех checklist’ов можно автоматизировать с использованием Claude Code Plugin, ссылку на который можно найти в статье.
Всем привет!
Сканирование зависимостей и образов контейнеров на наличие уязвимостей практика, безусловно, полезная, но не всегда достаточная.
Особенно, когда речь касается безопасности процесса сборки. Причина проста – поверхность атаки гораздо больше.
Чтобы разобраться что к чему и с чего начать, можно воспользоваться рекомендациями от Latio.
Ребята собрали набор практик по следующим разделам:
🍭 Third-Party Packages
🍭 Container Images
🍭 GitHub Actions
🍭 Infrastructure-as-Code Modules
🍭 AI/ML Modules
🍭 IDE Extensions and Developer Tools
Для каждого раздела приведен checklist, состоящий из двух разделов.
Первый – Immediate Actions – описывает высокоприоритетные задачи, которые помогут значительно «сократить» поверхность атаки.
Второй – Long-term Initiatives – предлагает набор практик для развития и дальнейшего улучшения.
В завершении статьи можно найти примеры атак по рассмотренным выше областям.
Кстати, проверки всех checklist’ов можно автоматизировать с использованием Claude Code Plugin, ссылку на который можно найти в статье.
pulse.latio.tech
The Complete Guide to Preventing Open Source Malware
Prevent open source malware with Latio’s complete guide, including checklists and a Claude Code plugin.
👍2
Self Deployment.pdf
21.4 MB
Self-Deployment: работа с ИТ-инфраструктурой
Всем привет!
В приложении можно найти полноценную книгу (~ 774 страницы), в которой собрана информация, которая может помочь погрузить в тематику работы с ИТ-инфраструктурой и Kubernetes в частности.
Автор написал её для разработчиков, чтобы они понимали не только «свою часть», но и «всю картину» в общем.
Книга содержит главы:
🍭 Introduction to Linux
🍭 Basics of the Shell Environment
🍭 Basic Linux Commands
🍭 Containerization and Docker
🍭 Kubernetes и не только
Материал хорошо структурирован и точно может быть полезен для тех, кто только начинает свой путь.
Примеры, пояснения, немного истории, ссылки на полезные материалы по рассматриваемой теме – всё внутри!
P.S. Если кто-то хочет материально отблагодарить Автора, то сделать это можно по ссылке
Всем привет!
В приложении можно найти полноценную книгу (~ 774 страницы), в которой собрана информация, которая может помочь погрузить в тематику работы с ИТ-инфраструктурой и Kubernetes в частности.
Автор написал её для разработчиков, чтобы они понимали не только «свою часть», но и «всю картину» в общем.
Книга содержит главы:
🍭 Introduction to Linux
🍭 Basics of the Shell Environment
🍭 Basic Linux Commands
🍭 Containerization and Docker
🍭 Kubernetes и не только
Материал хорошо структурирован и точно может быть полезен для тех, кто только начинает свой путь.
Примеры, пояснения, немного истории, ссылки на полезные материалы по рассматриваемой теме – всё внутри!
P.S. Если кто-то хочет материально отблагодарить Автора, то сделать это можно по ссылке
👍6❤4
Vibe Security Radar
Всем привет!
Vibe Security Radar – проект, который помогает определить, что определённая уязвимость была добавлена в исходный код с использованием LLM.
Работает по следующему принципу:
🍭 Анализ уязвимости и поиск commit’a с исправлением
🍭 Идентификация «автора изменения»
🍭 Поиск AI-«сигналов»
🍭 Уточнение данных для того, чтобы убедиться, что «автор» - ИИ
На текущий момент было выявлено 78 таких уязвимостей, 43 из которых имеют уровень критичности High и Critical.
Для каждой такой уязвимости можно посмотреть информацию об LLM, которая её «добавила» и общие данные («сигналы», commit’ы с исправлениями и результаты анализа и т.д.).
Если хочется больше подробностей, то они представлены в GitHub-репозитории проекта.
Всем привет!
Vibe Security Radar – проект, который помогает определить, что определённая уязвимость была добавлена в исходный код с использованием LLM.
Работает по следующему принципу:
🍭 Анализ уязвимости и поиск commit’a с исправлением
🍭 Идентификация «автора изменения»
🍭 Поиск AI-«сигналов»
🍭 Уточнение данных для того, чтобы убедиться, что «автор» - ИИ
На текущий момент было выявлено 78 таких уязвимостей, 43 из которых имеют уровень критичности High и Critical.
Для каждой такой уязвимости можно посмотреть информацию об LLM, которая её «добавила» и общие данные («сигналы», commit’ы с исправлениями и результаты анализа и т.д.).
Если хочется больше подробностей, то они представлены в GitHub-репозитории проекта.
vibe-radar-ten.vercel.app
Vibe Security Radar
Tracking the security cost of vibe coding
❤4