Бесшовное внедрение практик безопасности в DEVOPS-конвейер
На последнем Международном экономическом форуме в Давосе эксперты представили рейтинг глобальных рисков, которые будут актуальны в ближайшие годы — в топ-10 попали киберугрозы. Это связано с тем, что индустрия разработки растет, сегодня она составляет уже сотни миллиардов долларов, а проблемы...
Positive Technologies на HighLoad++ 2022: доклады экспертов, конкурс по поиску уязвимостей и безлимитная газировка
Positive Technologies 24 и 25 ноября примет участие в конференции для разработчиков высоконагруженных систем HighLoad++ 2022. Заходите на наш стенд, чтобы пообщаться с экспертами, узнать методы поиска уязвимостей и обеспечения безопасности ПО, поискать уязвимости в ходе конкурса, выиграть мерч, а...
Пакуем секреты правильно
Безопасное хранение и передача секретов (токенов, паролей и т.п.) между пользователями и сервисами – это один из вызовов, с которыми сталкиваются разработчики и DevOps инженеры. Традиционные централизованное хранение в менеджерах паролей, например, полностью проблему не решает, а лишь смещает её в...
[Перевод] Строим приманки для взломщиков с помощью vcluster и Falco. Эпизод I
Прим. переводчика: автор статьи предлагает реализацию honeypot'а («приманки») на основе виртуального кластера Kubernetes, чтобы обнаруживать попытки взлома K8s-инфраструктуры. Также в статье рассматриваются отличия низкоинтерактивных и высокоинтерактивных приманок. Если не вдаваться в детали,...
Первые шаги в анализе безопасности мобильных приложений: разбираемся на примере Allsafe
Allsafe — это приложение, намеренно спроектированное небезопасным. Для чего это нужно? Оно предназначено для обучения и поиска различных уязвимостей. В отличие от других подобных приложений для Android, оно использует современные библиотеки и технологии. Меньше похоже на CTF и больше похоже на...
Как внести Хаос в свой кластер k8s, и почему гении властвуют над Хаосом?
Кто-нибудь из вас когда-нибудь слышал о теории “Чёрный лебедь”? Если говорить вкратце, то данная теория рассматривает труднопрогнозируемые события, которые несут за собой огромные последствия для всей системы. К примеру, ваш кластер k8s располагается в ДЦ в конкретно взятом регионе. Всё было...
[Перевод] Применяем политики и рекомендации по безопасности в кластерах Kubernetes с OPA Gatekeeper
Представим, что мы маленькая компания. Мы хотим перенести рабочие нагрузки в Kubernetes, но нас очень волнует вопрос безопасности. Мы уже создали кластеры, опираясь на рекомендации по безопасности из официальной документации Kubernetes. Бизнес растёт, и нам нужно что-то изменить, чтобы защитить...
[Перевод] Выведите подход «infra-as-code» на новый уровень
«Spacelift» - это специализированная совместимая с Terraform платформа CI/CD для подхода «Инфраструктура как код». Она была разработана и внедрена опытными DevOps-инженерами на основе их предыдущего опыта с крупномасштабными ПО - а именно с помощью нескольких десятков команд, сотен инженеров и...
DAST ist fantastisch: отечественный динамический анализатор к взлету готов
Бортовой лог №1, 23.08.20xx. Говорит Денис Кораблёв, капитан одного из научно-исследовательских кораблей Positive Technologies. Я поручил нашему ай-ай открыть шампанское: сегодня вышел из беты DAST-сканер PT BlackBox. Что такое DAST-сканер? Какие функции он выполняет? Почему без него в разработку...
Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс
Привет, Хабр! И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для своих клиентов. В процессе мы постоянно сталкиваемся с различными нюансами и сложностями при...
[Перевод] Pre-Commit хуки, о которых DevOps-инженер должен знать, чтобы управлять Kubernetes
Контролировать качество исходного кода как можно раньше в жизненном цикле проекта - хорошая практика. Давайте разберемся, как применять этот принцип в работе с Kubernetes. В целом, компании всегда ищут способы увеличить свою продуктивность на всех уровнях: инфраструктура, люди, процессы и др....
[Перевод] Эскалация привилегий в Kubernetes
Когда кто-то говорит о безопасности, в первую очередь имеет ввиду авторизацию и аутентификацию, но в контексте Kubernetes эти две составляющие являются лишь маленькими кусочками большого пазла. В этой статье вы увидите, как пользователь с ограниченными правами может повысить свои привилегии и стать...
Что, если… забыть про безопасность кластера k8s?
Я думаю, многие слышали про громкий инцидент произошедший с Tesla в 2018 году, когда группа хакеров через консоль Kubernetes смогли получить доступ к аккаунту. После чего изрядно повеселились и настроили майнер в облачном сервисе Amazon Web Services. У многих людей сразу же возникает вопрос в...
Виды Application Security Testing. Как не запутаться среди SAST, DAST и IAST
Какие плюсы есть у SAST? Чем он отличается от DAST? Что такое IAST? Что значат все эти слова?! Об этом (и не только) расскажем в статье-разборе основных видов Application Security Testing (далее AST). Читать дальше →...
[Перевод] Как внедрить подход DevSecOps: 5 ключевых идей 2022 года
Когда дело доходит до защиты ваших облачных ресурсов, безопасность должна быть основным приоритетом всей организации. Путь к зрелому DevSecOps нет так прост и очевиден, но есть много экспертов, которые знают, какие необходимы компоненты для надежной программы безопасности. Почти 85% респондентов...
Безопасная разработка приложений — на что обратить внимание при работе с открытым кодом
Мы в T1 Cloud продолжаем рассказывать о процессах безопасной разработки приложений Secure SDLC. Сегодня подробнее поговорим о потенциальных уязвимостях в компонентах open source и как от них защититься. Читать далее...
Взять и защитить SDLC — чем поможет облако
Продолжаем говорить о безопасной разработке и Secure SDLC. Сегодня на примере платформы T1 Cloud SDP покажем, какие облачные сервисы привнесут уровень безопасности в жизненный цикл ПО. Среди них есть как ручной анализ кода, так и автоматизированная проверка надежности open source компонентов....
[Перевод] Куда исчезают секреты Kubernetes
Секреты используют в кластерах Kubernetes в разных целях. Одна из основных — разместить учетные данных сервисных аккаунтов, чтобы аутентифицировать рабочие нагрузки в кластерах API-сервером. Команда VK Cloud Solutions перевела статью о необычном поведении секретов при их ручном создании: иногда они...