Оценочный уровень доверия (ОУД4) и ГОСТ Р ИСО/МЭК 15408-3-2013. Оценщик

Привет, Хабр! На связи Антон Башарин, технический директор Swordfish Security. После некоторого перерыва мы продолжаем наш цикл статей, рассказывающий о процессах безопасной разработки в контексте стандартов серии ГОСТ Р ИСО/МЭК 15408. В этом, финальном, материале данной серии мы посмотрим на...

Все блоги / Про интернет

Внедряем Gitleaks для анализа pull request на наличие секретов в Azure DevOps Server

Cтатья будет полезна разработчикам и инженерам по ИБ, желающим повысить уровень безопасности приложений за счет внедрения проверок, запрещающих вносить секреты в открытом виде в исходный код. В случае утечки исходного кода либо ознакомления с ним неуполномоченными лицами компания понесет ущерб. В...

Все блоги / Про интернет

Shift Left: красивый отчет или реальность?

Всем привет! Меня зовут Антон Башарин, я технический директор Swordfish Security, занимаюсь внедрением ИБ-практик в DevOps, построением и автоматизацией процессов безопасной разработки. В предыдущей статье мы с вами поговорили о роли инструмента класса ASOC в оптимизации работы с уязвимостями, а...

Все блоги / Про интернет

Тотальный запрет: опыт внедрения Default Deny на живом кластере

Deny-All-политики — один из базовых инструментов повышения безопасности кластеров Kubernetes. Но для многих они остаются «черным ящиком» — не все понимают, как их внедрять и настраивать, а также что делать после интеграции. Еще сложнее, если Default Deny надо внедрить на живом кластере. Читать...

Все блоги / Про интернет

Gatekeeper в production: полезные практики и шаги, которые не стоит допускать

Kubernetes, как и любая другая рабочая среда, не лишен уязвимостей. Поэтому наряду с развитием проектов в нем администраторы или DevOps-инженеры должны уделять внимание и безопасности использования кластеров. Для этого нужен надежный инструмент, который может работать с любыми политиками и...

Все блоги / Про интернет

С каким бэкграудом идти в SRE-инженеры: кейсы по внедрению и лайфхаки от специалистов

Задумывались ли вы о переходе из кодинга фич в сторону инфраструктурной разработки? Любопытство к SRE практикам растет, поскольку устойчивость и надежность приложений стали главными факторами успеха на рынке. В этом материале мы собрали для вас успешные карьерные кейсы действующих SRE-инженеров....

Все блоги / Про интернет

Вирусы на серверах компании — как это бывает?

Всем привет! В свободное от не-работы время я CTO собственной компании (DigitalWand), и как следствие – чем мне только ни приходится заниматься! И вот недавно один из наших клиентов посетовал на проблемы в своей внутренней кухне: мол, вирус положил внутренние сервисы, включая git и площадки для...

Все блоги / Про интернет

Supply Chain Security: Chainloop. краткий обзор решения

Привет! Меня зовут Михаил Черешнев, я работаю в компании Swordfish Security, где занимаюсь вопросами внедрения DevSecOps. Сегодня мы в команде много внимания уделяем направлению Software Supply Chain Security. Если заглянуть в Рунет, можно найти в нем немало статей, рассказывающих о проблемах в...

Все блоги / Про интернет

По горячим следам: как обходили PT Application Inspector на Standoff 11

Недавно завершилась одиннадцатая кибербитва Standoff, проходившая в рамках Positive Hack Days 12 в московском Парке Горького. C 17 по 20 мая 22 команды белых хакеров атаковали государство F — виртуальный город с собственной железнодорожной инфраструктурой, атомной станцией, заводом по обогащению...

Все блоги / Про интернет

The Walking Pod: основные стратегии атак изнутри кластера

У Kubernetes много инструментов защиты поставляется прямо из коробки. Но все равно степень выстроенной защиты зависит от компетенции специалистов, которые ее настраивают, требований бизнеса и ресурсов, выделенных на безопасность. В итоге сложно гарантировать, что под видом «мирного и безобидного»...

Все блоги / Про интернет

[Перевод] Осваиваем плейбуки Ansible: учебное пособие по настройке сервера и веб-развертыванию

Ansible — мощный инструмент автоматизации, который используется для настройки и управления серверами. В этой статье мы рассмотрим плейбук Ansible, предназначенный для настройки и управления несколькими серверами, включая хост-сервер, веб-сервер и сервер CentOS. Мы также обсудим концепцию ролей и их...

Все блоги / Про интернет

Как превратить DevOps-пайплайн в DevSecOps-пайплайн. Обзор концепции Shift Left

Привет, Хабр! Меня зовут Алексей Колосков, я DevOps/Cloud-инженер в Hilbert Team. Вместе с моим коллегой Михаилом Кажемским в этой статье мы расскажем об особенностях DevSecOps-пайплайна и концепции Shift Left. Вы узнаете об основных этапах DevSecOps-пайплайна, автоматизированных проверках...

Все блоги / Про интернет

[Перевод] Автоматизируйте всё с помощью Ansible

В современном быстро меняющемся цифровом мире автоматизация является важной частью стратегии любой организации. С распространением облачных вычислений, DevOps, непрерывной интеграции и доставки спрос на инструменты автоматизации вырос в геометрической прогрессии. Ansible — инструмент автоматизации...

Все блоги / Про интернет

БЕКОН — первая в России конференция по БЕзопасности КОНтейнеров и контейнерных сред

Дата и время: 7 июня 2023 с 10:00 до 16:00 (МСК) Место: МЦК ЗИЛ, Москва 7 июня в Москве компания Luntry проведет первую конференцию «БеКон», посвященную безопасности контейнеров и контейнерных сред. Это событие призвано помочь компаниям перейти на новый уровень понимания контейнерной безопасности и...

Все блоги / Про интернет

Докер в опасности, или как искать уязвимости в образах контейнеров

Всем привет! Меня зовут Роман, я — DevOps-инженер компании Nixys. Продолжаем тему безопасности и рисков. В предыдущей статье говорилось о безопасном подходе к эксплуатации облачных инфраструктур, в этой — расскажу про безопасность docker-образов: какие уязвимости бывают, как их искать в энтих самых...

Все блоги / Про интернет

Безопасность контейнеризированных приложений в рамках DevSecOps: какие практики использовать и с чего начать

Привет! Меня зовут Михаил Черешнев, я работаю в компании Swordfish Security, где плотно занимаюсь вопросами внедрения DevSecOps. В этой статье мы рассмотрим процесс безопасной разработки контейнеризированных приложений от IaC манифестов до Runtime. А также попробуем определить самые простые и...

Все блоги / Про интернет

Jenkins + Android

Нередко управление «мобильным» CI/CD ложится на плечи разработчиков, хотя это и не относится к их основным обязанностям напрямую. Тогда возникают проблемы, связанные со снижением производительности и неэффективным расходованием времени. Чтобы оптимизировать управление «мобильными» CI/CD, важно...

Все блоги / Про интернет

Храним секреты своих проектов в Yandex Lockbox и используем их за пределами Yandex Cloud

Привет {{ habra_user.name }}! Не так давно Яндекс Облако вышли в релиз с сервисом хранения секретов Yandex Lockbox. Хочу поделиться опытом его использования в своем личном проекте. Пригодится тем, кто думает о том, как уйти от использования «.env» файлов и доверить хранить самое важное облачному...

Все блоги / Про интернет

Назад