GH_CS_WIZ.pdf
11 MB
Advanced GitHub Security Best Practices
Всем привет!
Wiz не остановить! На этот раз команда подготовила небольшой cheatsheet (~ 13 страниц), посвященный вопросам безопасности GitHub.
Материал покрывает такие темы, как:
🍭 Enforce Robust Authentication
🍭 Safeguarding GitHub Organizations
🍭 Safeguarding GitHub Repositories
🍭 Strengthen Security with GitHub Actions
Для каждого раздела приводятся рекомендации о том, как и что можно настроить. Включая практически «пошаговые инструкции» и сриншоты.
Помимо этого, есть «Actionable Tips» - некий набор лучший практик и советов, о том, на что стоит обратить внимание.
Коротко, по делу и без воды. То, что надо!
Всем привет!
Wiz не остановить! На этот раз команда подготовила небольшой cheatsheet (~ 13 страниц), посвященный вопросам безопасности GitHub.
Материал покрывает такие темы, как:
🍭 Enforce Robust Authentication
🍭 Safeguarding GitHub Organizations
🍭 Safeguarding GitHub Repositories
🍭 Strengthen Security with GitHub Actions
Для каждого раздела приводятся рекомендации о том, как и что можно настроить. Включая практически «пошаговые инструкции» и сриншоты.
Помимо этого, есть «Actionable Tips» - некий набор лучший практик и советов, о том, на что стоит обратить внимание.
Коротко, по делу и без воды. То, что надо!
👍3❤2
Runtime анализ с JAR Inspector
Всем привет!
«Используется ли артефакт, содержащий уязвимости, в промышленной среде?» - именно этот вопрос побудил Автора создать JAR Inspector.А еще Log4Shell, куда уж без него ☺️
Идея достаточно простая: создать решение, которое анализирует JVM, получает перечень всех загруженных JAR и подсказывает, какие из них используются, а какие – нет.
Результатом стал JAR Inspector, который:
🍭 Предоставляет информацию о JAR-файлах в режиме реального времени
🍭 Отображает все приложения и их зависимости (включая транзитивные) в едином окне
🍭 Показывает информацию о том, что загружено и что используется
🍭 Архитектура минималистична: небольшой агент, который получает информацию о JAR, HTTP-сервер и Web UI, который отображает информацию.
Запускается, в том числе, и через Docker, если хочется попробовать у себя.
Больше информации можно найти в статье и в GitHub-репозитории проекта.
Всем привет!
«Используется ли артефакт, содержащий уязвимости, в промышленной среде?» - именно этот вопрос побудил Автора создать JAR Inspector.
Идея достаточно простая: создать решение, которое анализирует JVM, получает перечень всех загруженных JAR и подсказывает, какие из них используются, а какие – нет.
Результатом стал JAR Inspector, который:
🍭 Предоставляет информацию о JAR-файлах в режиме реального времени
🍭 Отображает все приложения и их зависимости (включая транзитивные) в едином окне
🍭 Показывает информацию о том, что загружено и что используется
🍭 Архитектура минималистична: небольшой агент, который получает информацию о JAR, HTTP-сервер и Web UI, который отображает информацию.
Запускается, в том числе, и через Docker, если хочется попробовать у себя.
Больше информации можно найти в статье и в GitHub-репозитории проекта.
Microsoft News
Building a Runtime JAR inspector in 10 hours
Last Friday I was reviewing our backlog items in the Java Engineering Group, and found an idea we had when Log4Shell happened. To this day, there is still no main stream solution to “find in production where a given JAR is being used“. Why runtime truth matters…
👍7🔥2
Использование Canary Tokens: опыт Grafana Labs
Всем привет!
Canary Tokens – некоторая «обманка», которая выглядит, как легитимный API-ключ, URL, файл или еще что-то.
Его задача – максимально рано оповестить ИБ-команду о том, что что-то идет не так.
Например, если злоумышленник пытается проверить «только что найденный API-ключ (который является Canary Token)», то об этом сразу должна узнать ИБ-команда.
В статье рассказывается о том, как этот подход использует команда Grafana Labs и как он помог им в идентификации реальной атаки, произошедшей в мае 2025.
Статья содержит информацию:
🍭 Что такое Canary Tokens
🍭 Инфраструктура Grafana Labs по работе с Canary Tokens
🍭 Жизненный цикл Canary Tokens
🍭 Общее описание стратегии использования Canary Tokens и не только
В результате получилась отличная статья, которая наглядно показывает подход и выгоду от использования Canary Tokens.
А применяете ли вы их у себя?
Всем привет!
Canary Tokens – некоторая «обманка», которая выглядит, как легитимный API-ключ, URL, файл или еще что-то.
Его задача – максимально рано оповестить ИБ-команду о том, что что-то идет не так.
Например, если злоумышленник пытается проверить «только что найденный API-ключ (который является Canary Token)», то об этом сразу должна узнать ИБ-команда.
В статье рассказывается о том, как этот подход использует команда Grafana Labs и как он помог им в идентификации реальной атаки, произошедшей в мае 2025.
Статья содержит информацию:
🍭 Что такое Canary Tokens
🍭 Инфраструктура Grafana Labs по работе с Canary Tokens
🍭 Жизненный цикл Canary Tokens
🍭 Общее описание стратегии использования Canary Tokens и не только
В результате получилась отличная статья, которая наглядно показывает подход и выгоду от использования Canary Tokens.
А применяете ли вы их у себя?
Grafana Labs
Canary tokens: Learn all about the unsung heroes of security at Grafana Labs | Grafana Labs
Learn why the use of canary tokens let us spot a recent intrusion and swarm quickly in response, and find out why you should be using canary tokens to prevent serious security incidents in the future.
5🔥3
Погружение в Kubernetes Services
Всем привет!
Services – одна из основных сущностей Kubernetes, которая «нужна» как ИТ, так и ИБ-специалистам.
Если вы искали что-то, что поможет лучше понять их «устройства», отличия, ключевые принципы и т.д., то эта статья может быть вам полезна.
В ней Авторы рассматривают:
🍭 Общие концепты Services
🍭 Типы Services (ClusterIP, NodePort, LoadBalancer и т.д.)
🍭 Основы Service Discovery
🍭 Работа с Services, их настройка, поиск проблем и т.д.
Примеры, конфигурации, пояснения – все это есть в статье. Хороший обзорный материал «для начала».
Рекомендуем!
Всем привет!
Services – одна из основных сущностей Kubernetes, которая «нужна» как ИТ, так и ИБ-специалистам.
Если вы искали что-то, что поможет лучше понять их «устройства», отличия, ключевые принципы и т.д., то эта статья может быть вам полезна.
В ней Авторы рассматривают:
🍭 Общие концепты Services
🍭 Типы Services (ClusterIP, NodePort, LoadBalancer и т.д.)
🍭 Основы Service Discovery
🍭 Работа с Services, их настройка, поиск проблем и т.д.
Примеры, конфигурации, пояснения – все это есть в статье. Хороший обзорный материал «для начала».
Рекомендуем!
🔥4
Обзорная экскурсия по eBPF
Всем привет!
Возможно, про eBPF уже не говорят «из каждого утюга», но технология используется повсеместно и показывает весьма хорошие результаты.
Как в observability, так и в сетевых технологиях и информационной безопасности.
Если хочется узнать про eBPF чуть больше, то рекомендуем ознакомиться со статьей. В ней авторы делают небольшой «тур» по технологии и рассматривают её с разных сторон.
Например:
🍭 Что такое eBPF, почему она важна
🍭 Как работает eBPF, что она делает «на самом деле»
🍭 Использование eBPF для observability, сети и ИБ
🍭 Ключевая проблематика и не только
В статье достаточно глубоко (и с примерами) описано как и что работает, что позволит лучше понять внутреннее устройство и возможные сценарии использования eBPF.
Всем привет!
Возможно, про eBPF уже не говорят «из каждого утюга», но технология используется повсеместно и показывает весьма хорошие результаты.
Как в observability, так и в сетевых технологиях и информационной безопасности.
Если хочется узнать про eBPF чуть больше, то рекомендуем ознакомиться со статьей. В ней авторы делают небольшой «тур» по технологии и рассматривают её с разных сторон.
Например:
🍭 Что такое eBPF, почему она важна
🍭 Как работает eBPF, что она делает «на самом деле»
🍭 Использование eBPF для observability, сети и ИБ
🍭 Ключевая проблематика и не только
В статье достаточно глубоко (и с примерами) описано как и что работает, что позволит лучше понять внутреннее устройство и возможные сценарии использования eBPF.
Luca Cavallin
A Tour of eBPF in the Linux Kernel: Observability, Security and Networking | Blog
eBPF lets you run small, verified programs inside the Linux kernel, enabling fast observability, security, and networking without changing application code. This practical tour explains why eBPF matters now, how programs are compiled, verified, JITed, and…
KubeNodeUsage: анализ потребления ресурсов k8s
Всем привет!
Бывает, что надо в моменте посмотреть на потребление ресурсов узлами кластера Kubernetes и pod'ами, которые в нем запущены. И не всегда хочется лезть в условную Grafana.
Тут может помочь KubeNodeUsage: минималистичная утилита, которая поможет решить описанную выше задачу.
Она получает информацию о Node и Pod Metrics от Kubernetes API и отображает ее конечному пользователю в «человекочитаемом» формате.
Ее функционал минималистичен, но практичен:
🍭 Отображение метрик для Memory, CPU, Disk
🍭 Фильтрация (по именам, «цвету», labels)
🍭 Сортировки
🍭 «Регулировка» количества отображаемой информации
Все это доступно прямо из терминала, работает быстро, результаты – наглядные.
Пример того, как это выглядит можно найти в GitHub Repo проекта.
Всем привет!
Бывает, что надо в моменте посмотреть на потребление ресурсов узлами кластера Kubernetes и pod'ами, которые в нем запущены. И не всегда хочется лезть в условную Grafana.
Тут может помочь KubeNodeUsage: минималистичная утилита, которая поможет решить описанную выше задачу.
Она получает информацию о Node и Pod Metrics от Kubernetes API и отображает ее конечному пользователю в «человекочитаемом» формате.
Ее функционал минималистичен, но практичен:
🍭 Отображение метрик для Memory, CPU, Disk
🍭 Фильтрация (по именам, «цвету», labels)
🍭 Сортировки
🍭 «Регулировка» количества отображаемой информации
Все это доступно прямо из терминала, работает быстро, результаты – наглядные.
Пример того, как это выглядит можно найти в GitHub Repo проекта.
GitHub
GitHub - AKSarav/KubeNodeUsage: KubeNodeUsage is a Terminal App designed to provide insights into Kubernetes node and pod usage.…
KubeNodeUsage is a Terminal App designed to provide insights into Kubernetes node and pod usage. It offers both interactive exploration and command-line filtering options to help you analyze your c...
👍3👎1
Application Attack Matrix
Всем привет!
Если у инфраструктуры есть MITRE ATT&CK, то почему бы не сделать ее аналог для приложений? И его сделали!
По ссылке можно найти Application Attack Matrix, созданный командой Oligo Security и вдохновленный известной матрицей MITRE.
Матрица «разбита» на 4 основных домена:
🍭 Pre-Intrusion (Reconnaissance, Resource Development)
🍭 Intrusion (Gain Access, Payload Execution)
🍭 Post-Intrusion (Deeping Control, Expanding Control)
🍭 Impact (Impact)
Для каждого домена приведен набор тактик, в которых описаны потенциальные действия злоумышленников.
Для некоторых – рекомендации по обнаружению и по предотвращению.
Помимо этого, на сайте доступна информация по известных атакам.
Для каждой атаки описаны используемые тактики и приведена дополнительная информация. Например, свидетельства, ссылки на полезные ресурсы.
P.S. Сама матрица, а не статья, доступна вот тут 😊
Всем привет!
Если у инфраструктуры есть MITRE ATT&CK, то почему бы не сделать ее аналог для приложений? И его сделали!
По ссылке можно найти Application Attack Matrix, созданный командой Oligo Security и вдохновленный известной матрицей MITRE.
Матрица «разбита» на 4 основных домена:
🍭 Pre-Intrusion (Reconnaissance, Resource Development)
🍭 Intrusion (Gain Access, Payload Execution)
🍭 Post-Intrusion (Deeping Control, Expanding Control)
🍭 Impact (Impact)
Для каждого домена приведен набор тактик, в которых описаны потенциальные действия злоумышленников.
Для некоторых – рекомендации по обнаружению и по предотвращению.
Помимо этого, на сайте доступна информация по известных атакам.
Для каждой атаки описаны используемые тактики и приведена дополнительная информация. Например, свидетельства, ссылки на полезные ресурсы.
P.S. Сама матрица, а не статья, доступна вот тут 😊
www.oligo.security
Introducing the Application Attack Matrix for Modern App Security | Oligo Security
Discover the Application Attack Matrix—a community-driven framework mapping real-world TTPs against cloud-native, microservice, and API-driven applications.
👍6
Forwarded from DevSecOps Assessment Framework (DAF)
Новый релиз DAF!
Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили.
Что добавилось и изменилось:
1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top!
3. Актуализировали Карту DAF
4. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
8. Исправили битые ссылки, опечатки, прочие косяки с визуаломи добавили новые
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps"
Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом).
Ну и на сладкое 🍰
Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!
Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили.
Что добавилось и изменилось:
1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top!
3. Актуализировали Карту DAF
4. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
8. Исправили битые ссылки, опечатки, прочие косяки с визуалом
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps"
Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом).
Ну и на сладкое 🍰
Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!
GitHub
Release 2025.09.30 · Jet-Security-Team/DevSecOps-Assessment-Framework
Список изменений:
Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка)...
Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка)...
15🔥18❤🔥5👏3👍1🤡1
Kubernetes Architecture Diagrams
Всем привет!
Мы уже несколько раз писали про средства автоматизации создания графического представления взаимосвязи ресурсов кластера Kubernetes – diagrams as code.
По ссылке можно найти Awesome-подборку, в котором собрано много материалов по теме.
Например:
🍭 Набор иконок
🍭 Средства для создания диаграмм «в ручном режиме»
🍭 Средства для автоматизированного создания диаграмм
Для каждой из рассматриваемых утилит приводится общая информация: лицензия, популярность (звезды, forks), активность. Поддерживаемые ресурсы k8s и не только.
Дополнительно представлены данные о сравнении рассматриваемых утилит по разным критериям.
Точно есть из чего выбрать! 😊
Всем привет!
Мы уже несколько раз писали про средства автоматизации создания графического представления взаимосвязи ресурсов кластера Kubernetes – diagrams as code.
По ссылке можно найти Awesome-подборку, в котором собрано много материалов по теме.
Например:
🍭 Набор иконок
🍭 Средства для создания диаграмм «в ручном режиме»
🍭 Средства для автоматизированного создания диаграмм
Для каждой из рассматриваемых утилит приводится общая информация: лицензия, популярность (звезды, forks), активность. Поддерживаемые ресурсы k8s и не только.
Дополнительно представлены данные о сравнении рассматриваемых утилит по разным критериям.
Точно есть из чего выбрать! 😊
GitHub
GitHub - philippemerle/Awesome-Kubernetes-Architecture-Diagrams: Awesome Kubernetes Architecture Diagrams
Awesome Kubernetes Architecture Diagrams. Contribute to philippemerle/Awesome-Kubernetes-Architecture-Diagrams development by creating an account on GitHub.
🔥5👍2😱1
Реализация multi-tenancy в Kubernetes
Всем привет!
Представим, что кластером Kubernetes одновременно пользуются несколько команд и надо реализовать multi-tenancy.
Одной из сложностей, с которой можно столкнуться, является изоляция: вычислительные ресурсы, сетевое взаимодействие, хранилища и т.д.
По умолчанию, в Kubernetes нет такой опции «из коробки», однако! Есть возможности, которые позволят это реализовать.
В статье Автор разбирает:
🍭 Использование Namespaces и RBAC
🍭 Создание сетевых политик
🍭 Работа с Security Policies (Kyverno, OPA Gatekeeper и их аналоги)
🍭 Виртуальные кластеры и не только
Используя все это можно сделать надежное разграничение всего для корректной работы множества пользователей.
Автор разбирает ключевые сложности, с которыми можно столкнуться и способы их решения.
В результате имеем хорошую, большую и достаточно подробную статью по теме.
Всем привет!
Представим, что кластером Kubernetes одновременно пользуются несколько команд и надо реализовать multi-tenancy.
Одной из сложностей, с которой можно столкнуться, является изоляция: вычислительные ресурсы, сетевое взаимодействие, хранилища и т.д.
По умолчанию, в Kubernetes нет такой опции «из коробки», однако! Есть возможности, которые позволят это реализовать.
В статье Автор разбирает:
🍭 Использование Namespaces и RBAC
🍭 Создание сетевых политик
🍭 Работа с Security Policies (Kyverno, OPA Gatekeeper и их аналоги)
🍭 Виртуальные кластеры и не только
Используя все это можно сделать надежное разграничение всего для корректной работы множества пользователей.
Автор разбирает ключевые сложности, с которыми можно столкнуться и способы их решения.
В результате имеем хорошую, большую и достаточно подробную статью по теме.
Medium
🔒 Kube Roommates: Securing and Isolating Your Multi-Tenant Cluster with Open Source
Introduction 🚀
Новый Trivy Operator Dashboard!
Всем привет!
Нет, это не обновление дашборда для Grafana, который позволяет визуализировать метрики, получаемые с Trivy Operator’a.
Это отдельный проект, разработанный группой энтузиастов, когда они поняли, что «нет ничего подходящего».
Он позволяет:
🍭 Отображать информацию по уязвимостям, SBoM, аудитам конфигураций, секретов и т.д.
🍭 Фильтровать данные для отображения релевантной информации
🍭 Выгружать данные (в CSV-формате)
🍭 Показывать «граф отчетов» для анализируемого ресурса
🍭 Сравнивать отчеты между собой (в том числе между разными namespace) и не только
Устанавливается максимально просто: нужен кластер с установленным на нем Trivy Operator, а дальше
Что делать дальше описано в инструкции по эксплуатации. Крайне рекомендуем ее прочитать, т.к. там много всего интересного.
Выглядит как то, что хочется попробовать!
Всем привет!
Нет, это не обновление дашборда для Grafana, который позволяет визуализировать метрики, получаемые с Trivy Operator’a.
Это отдельный проект, разработанный группой энтузиастов, когда они поняли, что «нет ничего подходящего».
Он позволяет:
🍭 Отображать информацию по уязвимостям, SBoM, аудитам конфигураций, секретов и т.д.
🍭 Фильтровать данные для отображения релевантной информации
🍭 Выгружать данные (в CSV-формате)
🍭 Показывать «граф отчетов» для анализируемого ресурса
🍭 Сравнивать отчеты между собой (в том числе между разными namespace) и не только
Устанавливается максимально просто: нужен кластер с установленным на нем Trivy Operator, а дальше
helm install и готово.Что делать дальше описано в инструкции по эксплуатации. Крайне рекомендуем ее прочитать, т.к. там много всего интересного.
Выглядит как то, что хочется попробовать!
GitHub
GitHub - raoulx24/trivy-operator-dashboard: Trivy Operator Dashboard: A comprehensive tool for Trivy Operator. Offers various dashboards…
Trivy Operator Dashboard: A comprehensive tool for Trivy Operator. Offers various dashboards and interactive pages where you can browse and inspect Trivy Reports. Built with C#, .NET 9 (backend), A...
❤5
От 2500 до 20 Warning с использованием CodeQL
Всем привет!
В рамках аудита OpenVPN2 команда Trail of Bits столкнулась с нюансом: компилятор выдавал порядка 2500 сработок (warnings) о неявных преобразованиях типа.
Это достаточно большой объем для «ручной разметки» и надо было что-то делать. Не все из указанных сработок явно влияли на информационную безопасность и были вполне себе «доброкачественными».
Поэтому ребята решили написать собственную CodeQL Query, которая могла бы сократить количество данных для анализа.
Именно этому и посвящена статья! После небольшой вводной об ИБ-проблематике неявного преобразования типов Авторы описывают алгоритм, который позволил им сократить итоговую выборку до 20 штук.
Он состоит из шагов:
🍭 Анализ существующих CodeQL Query. Ни одна не подошла ввиду повышенной «шумности»
🍭 Найти все «проблемные» преобразования типов
🍭 Оптимизация результатов, полученных на предыдущем шаге
🍭 Использование taint tracking для того, чтобы сфокусироваться на данных, на которые может повлиять пользователь
На всех этапах описана CodeQL Query и как она видоизменялась, представлены комментарии Авторов почему они решили сделать именно так.
Полученная Query общедоступна и располагается вот тут на случай, если вы хотите ее использовать для анализа своего проекта.
Помимо этого, есть еще Case Study (~ 37 страниц), в котором Авторы более детально описывают реализованный ими подход к анализу.
Всем привет!
В рамках аудита OpenVPN2 команда Trail of Bits столкнулась с нюансом: компилятор выдавал порядка 2500 сработок (warnings) о неявных преобразованиях типа.
Это достаточно большой объем для «ручной разметки» и надо было что-то делать. Не все из указанных сработок явно влияли на информационную безопасность и были вполне себе «доброкачественными».
Поэтому ребята решили написать собственную CodeQL Query, которая могла бы сократить количество данных для анализа.
Именно этому и посвящена статья! После небольшой вводной об ИБ-проблематике неявного преобразования типов Авторы описывают алгоритм, который позволил им сократить итоговую выборку до 20 штук.
Он состоит из шагов:
🍭 Анализ существующих CodeQL Query. Ни одна не подошла ввиду повышенной «шумности»
🍭 Найти все «проблемные» преобразования типов
🍭 Оптимизация результатов, полученных на предыдущем шаге
🍭 Использование taint tracking для того, чтобы сфокусироваться на данных, на которые может повлиять пользователь
На всех этапах описана CodeQL Query и как она видоизменялась, представлены комментарии Авторов почему они решили сделать именно так.
Полученная Query общедоступна и располагается вот тут на случай, если вы хотите ее использовать для анализа своего проекта.
Помимо этого, есть еще Case Study (~ 37 страниц), в котором Авторы более детально описывают реализованный ими подход к анализу.
The Trail of Bits Blog
Taming 2,500 compiler warnings with CodeQL, an OpenVPN2 case study
We created a CodeQL query that reduced 2,500+ compiler warnings about implicit conversions in OpenVPN2 to just 20 high-priority cases, demonstrating how to effectively identify potentially dangerous type conversions in C code.
👍5
Безопасная разработка на CyberCamp 2025!
Всем привет!
Совсем скоро (20 – 25 октября 2025 года) пройдет самое масштабное online-мероприятие, посвященное практической информационной безопасности - CyberCamp 2025😎 !
Доклады, разные задания: от "квизов" до мозгодробящих задачек на специально подготовленной ИТ-инфраструктуре!!! Все на месте. Много. Интересно.
РБПО, AppSec, DevSecOps,TriceratOPS не остались в стороне! В этом году нас ждем очень много докладов и практики.
Что-то уже доступно сегодня, а что-то станет доступно в ближайшее время:
🤩 Антон Конопак, «DevSecOps в каждый дом! Простыми словами о непростой области ИБ» // Инфосистемы Джет
🤩 Дмитрий Полторак, «MLSecOps: замок для ящика Пандоры» // Инфосистемы Джет
🤩 Роман Корчагин, «Реализуем Sec в DevSecOps с помощью подхода Shift-Down» // Лаборатория Числитель
🤩 Данила Леонтьев, «Как писать правила для CodeQL и не сойти с ума» // Независимый эксперт
По докладам, которые будут проходить в дни мероприятия мы сделаем отдельный пост и расскажем вам обо всем завтра!
Больше про мероприятие можно узнать на официальном сайте, TG-канале или чате сообщества CyberCamp.
Уверены, что будет интересно! До встречи!👋 👋 👋
Всем привет!
Совсем скоро (20 – 25 октября 2025 года) пройдет самое масштабное online-мероприятие, посвященное практической информационной безопасности - CyberCamp 2025
Доклады, разные задания: от "квизов" до мозгодробящих задачек на специально подготовленной ИТ-инфраструктуре!!! Все на месте. Много. Интересно.
РБПО, AppSec, DevSecOps,
Что-то уже доступно сегодня, а что-то станет доступно в ближайшее время:
По докладам, которые будут проходить в дни мероприятия мы сделаем отдельный пост и расскажем вам обо всем завтра!
Больше про мероприятие можно узнать на официальном сайте, TG-канале или чате сообщества CyberCamp.
Уверены, что будет интересно! До встречи!
Please open Telegram to view this post
VIEW IN TELEGRAM
15👍10❤5🔥5🤩1
Безопасная разработка на CyberCamp 2025: часть 2!
Всем привет!
Продолжение вчерашнего поста про CyberCamp 2025!
Сегодня мы расскажем вам о том, какие выступления можно послушать в дни мероприятия.
Для этого мы сделали небольшую подборку:
🧑💻 21.10 Влад Азерский, «Первое правило CI/CD-клуба: компрометация начинается с доверия» // F6
🧑💻 23.10 Дмитрий Евдокимов, «1000 и 1 способ избавиться от уязвимостей в контейнерных приложениях» // Luntry
🧑💻 23.10 Михаил Парфенов, «Моделирование угроз для frontend-приложения: делаем каждый релиз Secure By Design» // DPA Analytics
🧑💻 23.10 Дима Саленый, «Найди меня, если сможешь» // ЕДИНЫЙ ЦУПИС
🧑💻 23.10 Алина Сагирова, «~$ whoami AppSec BP» // Альфа-Банк
Больше про мероприятие можно узнать на официальном сайте, TG-канале или чате сообщества CyberCamp.
Уверены, что будет интересно! До встречи!👋 👋 👋
Всем привет!
Продолжение вчерашнего поста про CyberCamp 2025!
Сегодня мы расскажем вам о том, какие выступления можно послушать в дни мероприятия.
Для этого мы сделали небольшую подборку:
Больше про мероприятие можно узнать на официальном сайте, TG-канале или чате сообщества CyberCamp.
Уверены, что будет интересно! До встречи!
Please open Telegram to view this post
VIEW IN TELEGRAM
16👍14❤5🔥4❤🔥1
Безопасность web-приложений с Falcoya!
Всем привет!
Нет, вам не показалось ☺️ Falcoya – некоторое «логический» преемник Falco в части безопасности web-приложений. И да! Open-source!
Если просто, то она анализирует Nginx Access Logs в режиме реального времени с использованием Falco для обнаружения атак.
Алгоритм работы следующий:
🍭 Входящий запрос попадает на Nginx
🍭 Создается запись в
🍭 Falcoya анализирует новую строку
🍭 В случае обнаружения чего-то подозрительного создается оповещение
На текущий момент с ее помощью можно идентифицировать SQLi, XSS и Command Injection, Directory Traversal и другие.
Больше подробностей о Falcoya можно узнать на официальном сайте или GitHub-репозитории проекта.
Важно: проект пока что находится в prototype release stage.
Всем привет!
Нет, вам не показалось ☺️ Falcoya – некоторое «логический» преемник Falco в части безопасности web-приложений. И да! Open-source!
Если просто, то она анализирует Nginx Access Logs в режиме реального времени с использованием Falco для обнаружения атак.
Алгоритм работы следующий:
🍭 Входящий запрос попадает на Nginx
🍭 Создается запись в
/var/log/nginx/access.log🍭 Falcoya анализирует новую строку
🍭 В случае обнаружения чего-то подозрительного создается оповещение
На текущий момент с ее помощью можно идентифицировать SQLi, XSS и Command Injection, Directory Traversal и другие.
Больше подробностей о Falcoya можно узнать на официальном сайте или GitHub-репозитории проекта.
Важно: проект пока что находится в prototype release stage.
falcoya.dev
falco-plugin-nginx - リアルタイムWebセキュリティ監視
NginxアクセスログをリアルタイムでFalcoが監視し、Webアプリケーションへの脅威を即座に検知。
CyberCamp 2025: консультации от Спикеров
Всем привет!
На CyberCamp 2025 доступна новая механика – консультации от Спикеров! У любого участника есть возможность написать свой вопрос и, возможно, именно его выберет Спикер.
Дальше все просто – организуется сессия на 30 минут, где вы тет-а-тет общаетесь по выбранной теме👨💻 .
С кем и о чем можно поговорить:
😎 Дмитрий Евдокимов. Kubernetes Security / Container Security / DevSecOps
😎 Михаил Парфенов. Безопасная разработка FE приложений / Обнаружение утечек в браузерных FE приложениях и не только
😎 Дима Саленый. Автоматизация процессов / Безопасная разработка / DevSecOps
😎 Антон Конопак. Инструменты и процессы DevSecOps / Комплаенс в DevSecOps / Поэтапная реализация стратегии DevSecOps
😎 Дмитрий Полторак. MLSecOPs / Безопасность ИТ-инфраструктуры
😎 Роман Корчагин. Внедрение SCA/SAST / Защита от попадания непроверенных артефактов в продуктовые среды
😎 Данила Леонтьев. SAST / DAST / Веб-фаззинг / SCA / Container Security / Построение SSDLC
И это еще не все! Полный перечень Спикеров и их темы консультаций можно найти на сайте CyberCamp 2025.
Важно (!): количество консультаций у каждого Спикера ограничено😈 . Окончание приема заявок - 17 октября. Поэтому не стоит откладывать, если вы хотели что-то уточнить лично 🥰
Всем привет!
На CyberCamp 2025 доступна новая механика – консультации от Спикеров! У любого участника есть возможность написать свой вопрос и, возможно, именно его выберет Спикер.
Дальше все просто – организуется сессия на 30 минут, где вы тет-а-тет общаетесь по выбранной теме
С кем и о чем можно поговорить:
И это еще не все! Полный перечень Спикеров и их темы консультаций можно найти на сайте CyberCamp 2025.
Важно (!): количество консультаций у каждого Спикера ограничено
Please open Telegram to view this post
VIEW IN TELEGRAM
cybercamp
CyberCamp 2025
20-25 октября, онлайн
IV практическая онлайн-конференция по кибербезопасности CyberCamp
IV практическая онлайн-конференция по кибербезопасности CyberCamp
❤7🔥4😍3
Autoswagger: анализ API
Всем привет!
Autoswagger – open-source инструмент, который позволяет находить простые проблемы с авторизацией в API.
Да, это достаточно «простая» уязвимость, однако, она все еще часто встречается. Кроме того, для ее эксплуатации не надо обладать какими-то редкими компетенциями, что делает ее еще опасней.
Autoswagger использует OpenAPI schema для получения представления об API. На основе собранных данных он сканирует API и находит endpoints, в которых нет проверки токена.
Дополнительно он может находить чувствительную информацию (номера телефонов, адреса, имена и т.д.) и/или секреты (с использованием регулярных выражений).
Подробнее про Autoswagger можно узнать из GitHub-репозитория или из статьи. Кстати, в ней приведены реальные примеры использования утилиты и что получилось найти с ее помощью.
Всем привет!
Autoswagger – open-source инструмент, который позволяет находить простые проблемы с авторизацией в API.
Да, это достаточно «простая» уязвимость, однако, она все еще часто встречается. Кроме того, для ее эксплуатации не надо обладать какими-то редкими компетенциями, что делает ее еще опасней.
Autoswagger использует OpenAPI schema для получения представления об API. На основе собранных данных он сканирует API и находит endpoints, в которых нет проверки токена.
Дополнительно он может находить чувствительную информацию (номера телефонов, адреса, имена и т.д.) и/или секреты (с использованием регулярных выражений).
Подробнее про Autoswagger можно узнать из GitHub-репозитория или из статьи. Кстати, в ней приведены реальные примеры использования утилиты и что получилось найти с ее помощью.
GitHub
GitHub - intruder-io/autoswagger: Autoswagger by Intruder - detect API auth weaknesses
Autoswagger by Intruder - detect API auth weaknesses - intruder-io/autoswagger
VAmPI: еще-одно-заведомо-уязвимое-приложение
Всем привет!
По ссылке можно посмотреть на проект VAmPI – уязвимое API, созданное на базе Flask, включающее в себя уязвимости из OWSAP Top-10.
Например:
🍭 SQLi Injection
🍭Unauthorized Password Change
🍭Broken Object Level Authorization
🍭Mass Assignment
🍭Excessive Data Exposure through debug endpoint
🍭User and Password Enumeration
🍭RegexDOS (Denial of Service)
🍭Lack of Resources & Rate Limiting
JWT authentication bypass via weak signing key
Swagger UI прилагается, чтобы можно было проще взаимодействовать с приложением. Запускается в контейнере и сразу «готово к использованию».
Больше подробностей о проекте можно найти в его GitHub-репозитории.
Всем привет!
По ссылке можно посмотреть на проект VAmPI – уязвимое API, созданное на базе Flask, включающее в себя уязвимости из OWSAP Top-10.
Например:
🍭 SQLi Injection
🍭Unauthorized Password Change
🍭Broken Object Level Authorization
🍭Mass Assignment
🍭Excessive Data Exposure through debug endpoint
🍭User and Password Enumeration
🍭RegexDOS (Denial of Service)
🍭Lack of Resources & Rate Limiting
JWT authentication bypass via weak signing key
Swagger UI прилагается, чтобы можно было проще взаимодействовать с приложением. Запускается в контейнере и сразу «готово к использованию».
Больше подробностей о проекте можно найти в его GitHub-репозитории.
GitHub
GitHub - erev0s/VAmPI: Vulnerable REST API with OWASP top 10 vulnerabilities for security testing
Vulnerable REST API with OWASP top 10 vulnerabilities for security testing - erev0s/VAmPI
Безопасность GitHub Actions с SonarQube
Всем привет!
По ссылке доступна статья от Авторов SonarQube, в которой они разбирают чем он может быть полезен при анализе GitHub Actions.
После небольшого введения про GitHub Actions, рассматривается несколько сценариев атак.
Например:
🍭 Command Injection, реализуемая через
🍭 Command Injection, реализуемая через
🍭 Code Execution, через выполнение Third Party Action
Для каждого из рассматриваемых примеров приводятся рекомендации по предотвращению, ссылки на полезные материалы по теме и идентификационные номера уязвимостей, которые рассматриваются в статье для дальнейшего изучения.
Всем привет!
По ссылке доступна статья от Авторов SonarQube, в которой они разбирают чем он может быть полезен при анализе GitHub Actions.
После небольшого введения про GitHub Actions, рассматривается несколько сценариев атак.
Например:
🍭 Command Injection, реализуемая через
github.event.issue.title🍭 Command Injection, реализуемая через
pull_request_target🍭 Code Execution, через выполнение Third Party Action
Для каждого из рассматриваемых примеров приводятся рекомендации по предотвращению, ссылки на полезные материалы по теме и идентификационные номера уязвимостей, которые рассматриваются в статье для дальнейшего изучения.
Sonarsource
Securing GitHub Actions With SonarQube: Real-World Examples
This blog introduces SonarQube's enhanced analysis capabilities for GitHub Actions, designed to proactively identify and remediate security vulnerabilities like Command Injection and Code Execution that pose a significant supply chain risk.
❤1
Software Factory Security Framework
Всем привет!
По ссылке можно найти Software Factory Security Framework (SF2), подготовленный командой GitLab.
Ключевая аудитория – руководители, которым необходим комплексный стратегический подход к развитию практик безопасной разработки.
Согласно предложенному подходу сперва необходимо определить «Кто вы?». Есть 4 варианта – Visionaries, Leaders, Niche Players или Challengers.
В зависимости от результата SF2 предлагает свой путь развития и понимания первоочередных задач.
Для каждого пути рассматриваются блоки:
🍭 Strategic Priorities
🍭 Quick Start Checklist
🍭 Investment Roadmap
🍭 Common Pitfalls
🍭 Success Indicator
А внутри каждого блока есть отдельные «деления». Например, в Success Indicators представлены метрики, которые можно достичь за 6, 12 и 24 месяца.
Помимо этого, есть рекомендации о том, как лучше использовать SF2 вместе с NIST SSDF, OWASP SAMM, BSIMM и OWASP ASVS.
В общем – чтения «внутри» крайне много, рекомендуем к изучению! ☺️
Всем привет!
По ссылке можно найти Software Factory Security Framework (SF2), подготовленный командой GitLab.
Ключевая аудитория – руководители, которым необходим комплексный стратегический подход к развитию практик безопасной разработки.
Согласно предложенному подходу сперва необходимо определить «Кто вы?». Есть 4 варианта – Visionaries, Leaders, Niche Players или Challengers.
В зависимости от результата SF2 предлагает свой путь развития и понимания первоочередных задач.
Для каждого пути рассматриваются блоки:
🍭 Strategic Priorities
🍭 Quick Start Checklist
🍭 Investment Roadmap
🍭 Common Pitfalls
🍭 Success Indicator
А внутри каждого блока есть отдельные «деления». Например, в Success Indicators представлены метрики, которые можно достичь за 6, 12 и 24 месяца.
Помимо этого, есть рекомендации о том, как лучше использовать SF2 вместе с NIST SSDF, OWASP SAMM, BSIMM и OWASP ASVS.
В общем – чтения «внутри» крайне много, рекомендуем к изучению! ☺️
Sf2Framework
Software Factory Security Framework (SF²)
Strategic framework for scaling security capabilities while improving business outcomes