Dockle - средство проверки образов контейнеров для обеспечения безопасности, помогающее создать лучшие образа Docker.

Возможности:
- обнаружение уязвимостей контейнера
- помощь в создании Dockerfile основанная на best-practice
- простое использование, укажите только имя образа
- поддержка показателей CIS
- подходит для таких CI, как Travis CI, CircleCI, Jenkins и т. д.

https://github.com/goodwithtech/dockle

Подсказал: Михаил Исаев - @ismvru

Опубликовано в @gitgate

#security #cicd #docker #dockerfile #linter

KICS - выявляйте уязвимости безопасности, проблемы соответствия и неправильные конфигурации инфраструктуры на ранних этапах цикла разработки вашей инфраструктуры как кода с помощью KICS от Checkmarx.

KICS означает «Keeping Infrastructure as Code Secure» (сохранение инфраструктуры в безопасности кода), это решение с открытым исходным кодом, которое необходимо для любого облачного проекта.

https://github.com/Checkmarx/kics

Подсказал: @Celentano_21_veka

Опубликовано в @gitgate

#security #cicd #docker #k8s #terraform #linter

Gitleaks - инструмент для обнаружения секретов, таких как пароли, ключи API и токены в репозиториях git, файлах и всем остальном, что вы хотите передать через stdin.

https://github.com/gitleaks/gitleaks

Подсказал: @Celentano_21_veka

Опубликовано в @gitgate

#security #cicd #git #linter

detect-secrets - удачно названный модуль для (сюрприз, сюрприз) обнаружения секретов в кодовой базе.

Однако, в отличие от других подобных пакетов, которые сосредоточены исключительно на поиске секретов, этот пакет разработан с учетом потребностей корпоративного клиента: он предоставляет обратно совместимые, систематические средства для:

- предотвращение попадания новых секретов в кодовую базу,
- обнаружение явного обхода таких мер предосторожности и
- предоставление контрольного списка секретов для переноса в более безопасное хранилище.

https://github.com/Yelp/detect-secrets

Подсказал: @Celentano_21_veka

Опубликовано в @gitgate

#security #cicd #git #linter

kp2 - инструмент командной строки (CLI) для доступа к файлам Keepass 2 (kdbx).

https://github.com/tobischo/kp2

опубликовано в @gitgate

#security #cli #toold #keepas

NetBird - объединяет в одной платформе одноранговую частную сеть, не требующую настройки, и централизованную систему контроля доступа, что упрощает создание безопасных частных сетей для вашей организации или дома.

Подключение: NetBird создает наложенную сеть на основе WireGuard, которая автоматически соединяет ваши машины через зашифрованный туннель, оставляя позади хлопоты с открытием портов, сложными правилами брандмауэра, VPN-шлюзами и т. д.

Безопасность: NetBird обеспечивает безопасный удаленный доступ, применяя детальные политики доступа, позволяя вам управлять ими интуитивно из одного места. Работает универсально в любой инфраструктуре.

Принцип работы:
- на каждой машине в сети запущен NetBird Agent (или Client), который управляет WireGuard.
- каждый агент подключается к службе управления, которая хранит состояние сети, управляет IP-адресами одноранговых узлов и распространяет обновления сети среди агентов (одноранговых узлов).
- агент NetBird использует WebRTC ICE, реализованный в библиотеке pion/ice, для обнаружения кандидатов на подключение при установлении однорангового соединения между машинами.
- кандидаты на подключение обнаруживаются с помощью STUN-серверов.
- агенты устанавливают соединение через Signal Service, передавая кандидатам зашифрованные сообщения по протоколу P2P.
- иногда обход NAT не удается из-за строгих NAT (например, мобильный NAT операторского класса), и p2p-соединение невозможно. Когда это происходит, система возвращается к серверу-ретранслятору, называемому TURN, и через сервер TURN устанавливается защищенный туннель WireGuard.

https://github.com/netbirdio/netbird

Подсказал: Max Zotov - @sf1nk5

опубликовано в @gitgate

#security #vpn #wd #wireguard

Firezone - платформа с открытым исходным кодом для безопасного управления удаленным доступом для организаций любого размера.

В отличие от большинства VPN, Firezone использует гранулярный, наименее привилегированный подход к управлению доступом с групповыми политиками, которые контролируют доступ к отдельным приложениям, целым подсетям и всему, что находится между ними.

Возможности:
- скорость: построен на базе WireGuard и работает в 3–4 раза быстрее OpenVPN.
- масштабируемость: разверните два или более шлюзов для автоматической балансировки нагрузки и переключения при сбое.
- конфиденциально: одноранговые, сквозные зашифрованные туннели предотвращают маршрутизацию пакетов через нашу инфраструктуру.
- безопасность: отсутствие возможности атаки благодаря технологии Firezone Holepunching, которая создает туннели «на лету» во время доступа.
- открытость: весь продукт имеет открытый исходный код, что позволяет любому человеку проводить аудит кодовой базы.
- гибкость: аутентификация пользователей по электронной почте, Google Workspace, Okta, Entra ID или OIDC и автоматическая синхронизация пользователей и групп.
- простота: развертывайте шлюзы и настраивайте доступ за считанные минуты с помощью удобного пользовательского интерфейса администратора.

https://github.com/firezone/firezone

Подсказал: Max Zotov - @sf1nk5 для Михаил Исаев - @ismvru

опубликовано в @gitgate

#security #vpn #wg #wireguard

Warpgate - интеллектуальный смарт хост для протоколов SSH, HTTPS, MySQL и PostgreSQL для Linux, которому не нужны специальные клиентские приложения.

Возможности:
- настройте его в своей DMZ, добавьте учетные записи пользователей и легко назначьте их определенным хостам и URL-адресам в сети.
- Warpgate будет записывать каждый сеанс, чтобы вы могли просмотреть его в реальном времени и воспроизвести позже через встроенный веб-интерфейс администратора.
- не является jumphost - вместо этого перенаправляет ваши соединения напрямую к цели.
- cобственная поддержка 2FA и SSO (TOTP и OpenID Connect)
- один двоичный файл без зависимостей.
- написано на 100% безопасном Rust.

https://github.com/warp-tech/warpgate

опубликовано в @gitgate

#security #ssh #http #https #mysql #postgres #access #2fa #sso #totp #openid

OAuth2-Proxy - гибкий инструмент с открытым исходным кодом, который может работать как автономный обратный прокси (reverse proxy)-сервер или как компонент промежуточного программного обеспечения (middleware), интегрированный в существующие настройки обратного прокси-сервера или балансировщика нагрузки.

Он обеспечивает простой и безопасный способ защиты ваших веб-приложений с помощью аутентификации OAuth2 / OIDC. Как обратный прокси-сервер, он перехватывает запросы к вашему приложению и перенаправляет пользователей к поставщику OAuth2 для аутентификации. Как промежуточное программное обеспечение, он может быть бесшовно интегрирован в вашу существующую инфраструктуру для обработки аутентификации для нескольких приложений.

OAuth2-Proxy поддерживает множество поставщиков OAuth2, а также OIDC. Либо через универсальный клиент OIDC, либо через специальную реализацию для Google, Microsoft Entra ID, GitHub, login.gov и других. С помощью специализированных реализаций поставщиков oauth2-proxy может извлекать больше информации о пользователе, например, предпочтительные имена пользователей и группы. Затем эти данные можно пересылать в виде заголовков HTTP в ваши вышестоящие приложения.

https://github.com/oauth2-proxy/oauth2-proxy

опубликовано в @gitgate

#security #oauth #oidc #proxy #middleware

CamXploit - разведывательный инструмент, разработанный для того, чтобы помочь исследователям и специалистам по безопасности проверить, не размещена ли на IP-адресе незащищённая камера видеонаблюдения. Он сканирует распространённые порты камер, проверяет страницы входа, тестирует учётные данные по умолчанию и предоставляет полезные ссылки для дальнейшего исследования.

⚠️ Отказ от ответственности: этот инструмент предназначен исключительно для образовательных и исследовательских целей в области безопасности. Несанкционированное сканирование систем, которым вы не владеете, незаконно. Используйте его ответственно.

Возможности:
- сканирует все распространенные порты видеонаблюдения
- обнаруживает открытые страницы входа в систему с помощью камеры
- проверяет, является ли устройство камерой для потоковой передачи
- определяет марки камер и известные уязвимости
- тестирование учетных данных по умолчанию на страницах входа
- предоставляет ссылки для ручного поиска (Shodan, Censys, Zoomeye, Google Dorking)
- рекомендации Google Dorking для более глубокой разведки
- улучшенное обнаружение камер с подробным анализом портов и идентификацией бренда
- обнаружение прямой трансляции по протоколам RTSP, RTMP, HTTP и MMS
- подробная информация об IP-адресе и местоположении со ссылками на Google Maps/Earth
- многопоточное сканирование портов для более быстрых результатов
- улучшенная обработка ошибок и поддержка SSL
- детальное определение марки камеры (Hikvision, Dahua, Axis, Sony, Bosch, Samsung, Panasonic, Vivotek, CP Plus)
- поддержка протокола ONVIF для стандартизированной связи с камерами
- умная защита от перебора паролей с ограничением скорости
- подробный анализ портов с указанием информации о сервере и типах аутентификации

https://github.com/spyboy-productions/CamXploit

опубликовано в @gitgate

#security #ipcamera #onvif

VoidAuth - провайдер SSO-аутентификации и управления пользователями с открытым исходным кодом, который защищает ваши приложения, размещенные на собственном сервере. Он прост в использовании как для администраторов, так и для конечных пользователей и поддерживает такие полезные функции, как пароли, приглашение пользователей, самостоятельная регистрация, поддержка по электронной почте и многое другое!

Возможности:
- поставщик OpenID Connect (OIDC)
- proxy ForwardAuth
- управление пользователями
- самостоятельная регистрация пользователей и приглашения
- настраиваемый брендинг (логотип, заголовок, цвет темы, шаблоны электронной почты)
- ключи доступа и учетные записи, требующие только ключей доступа
- безопасный сброс пароля с помощью подтверждения электронной почты
- шифрование с использованием базы данных Postgres или SQLite

https://github.com/voidauth/voidauth/

Web: https://voidauth.app/

Опубликовано в @gitgate

#sso #openid #passkey #security #auth

ssh-audit - инструмент для аудита конфигурации SSH-сервера и клиента.

Возможности:
- анализ конфигурации SSH как на сервере, так и на клиенте;
- захват баннера, распознавание устройства или программного обеспечения и операционной системы, обнаружение сжатия;
- сбор алгоритмов обмена ключами, ключей хоста, шифрования и аутентификации сообщений;
- информация о безопасности алгоритма (с какого времени, удален/отключен, небезопасен/слаб/устаревший и т. д.);
- рекомендации по алгоритму (добавлять или удалять в зависимости от распознанной версии программного обеспечения);
- анализ совместимости версий SSH на основе информации об алгоритме;
- историческая информация из OpenSSH, Dropbear SSH и libssh;
- проверка политик безопасности для обеспечения соответствия защищенной/стандартной конфигурации;
- работает на Linux и Windows;
- поддерживает Python 3.9 - 3.13;
- нет зависимостей

https://github.com/jtesta/ssh-audit

Подсказал: Max Zotov - @Sf1nk5

Опубликовано в @gitgate

#ssh #security #audit

PatchMon - обеспечивает централизованное управление обновлениями в различных серверных средах. Агенты обмениваются данными с сервером PatchMon только по исходящим каналам, исключая входящие порты на контролируемых хостах, обеспечивая при этом всестороннюю видимость и безопасную автоматизацию.

Возможности:
- настраиваемая панель управления с возможностью создания и упорядочивания карточек для каждого пользователя.
- многопользовательские учетные записи (администратор и обычные пользователи)
- роли, разрешения и RBAC
- список хостов/групп с ключевыми атрибутами и сведениями об операционной системе.
- группировка хостов (создание и управление группами хостов)
- инвентаризация пакетов на всех хостах
- обзор и количество устаревших пакетов.
- отслеживание количества репозиториев на хост
- управление версиями агента и хранение содержимого скриптов в базе данных.
- URL/протокол/хост/порт сервера
- переключатель регистрации и выбор роли пользователя по умолчанию
- REST API по адресу /api/v1 с аутентификацией JWT.
- автоматическая регистрация контейнеров LXC в Proxmox
- ограничение скорости запросов для общих, авторизационных и агентских конечных точек.
- модель агента, работающего только с исходящими трафиками, уменьшает поверхность атаки.
- установка Docker и однострочный установщик для самостоятельного размещения (Ubuntu/Debian)
- служба systemd для управления жизненным циклом бэкэнда
- виртуальный хост nginx для фронтенда + API-proxy; опциональная интеграция с Let's Encrypt.

https://github.com/PatchMon/PatchMon

Web: https://patchmon.net/

Опубликовано в @gitgate

#apt #update #packages #security #moni

Gateryx - решение для межсетевого экрана веб-приложений (WAF), которое обеспечивает полностью интегрированный, высокозащищенный веб-шлюз, объединяя обратный прокси-сервер нового поколения и современный поставщик идентификационных данных в единый, оптимизированный продукт. Созданное на основе быстрой, проверенной в боевых условиях криптографии на эллиптических кривых (P-256), оно обеспечивает аутентификацию Passkey без пароля, токены JWT и OIDC, подписанные с помощью ES256, а также административный доступ, защищенный ECDSA.

Возможности:
- Zero-Trust API Gateway: Обеспечьте идентификацию на периферии сети с помощью проверки JWT ES256 до того, как трафик достигнет веб-сервисов.
- вход для клиентов без пароля: Аутентификация с помощью пароля/WebAuthn для беспрепятственного доступа пользователей, защищенного от фишинга.
- корпоративный SSO и OIDC: Компактный, интегрированный поставщик идентификации OIDC для внутренних инструментов, облачных приложений, порталов разработчиков и панелей мониторинга.
- усиленная административная панель управления. Защита административных конечных точек с помощью запросов, подписанных по RFC 9421 ECDSA - без паролей, без токенов носителя.
- высокопроизводительный уровень безопасности на уровне сети: Сверхнизкая задержка при входящем трафике благодаря парам сокетов «ведущий-ведомый» и облегченным путям проверки.
- мгновенное развертывание: Замените множество инструментов (поставщик идентификации, служба аутентификации, входящий трафик, API-шлюз) одним продуктом, одной конфигурацией, одним развертыванием.
- написано на Rust: легковесное, невероятно быстрое, с минимальным потреблением памяти, предназначено для работы во встроенных системах и виртуальных устройствах с ограниченными ресурсами.

https://github.com/eva-ics/gateryx

Опубликовано в @gitgate

#security #firewall #proxy #waf #jwt #oidc #passkey