Работа над ошибками: отчет IT-отдела команды Навального

21 июля хабра-пользователь grumpysugar опубликовал статью о найденной им уязвимости в инфраструктуре нашей команды. Уязвимость действительно существовала, и мы ее устранили. Но если вы видите информацию о новых утечках из нашей базы данных, знайте, что это обычный вброс, не имеющий ничего общего с...

Все блоги / Про интернет

Как ФБК* сами слили все данные оппозиции в открытый доступ

Привет! Здесь я хочу указать на возможную причину, почему были слиты данные зарегистрировавшихся в УГ и предупредить, что ФБК* на несколько недель в июне была открыта, как эта калитка в меме. Читать далее...

Все блоги / Про интернет

2-й сезон цикла вебинаров DevSecOps: мониторинг k8s, организация конвейера GitOps и управление «секретами»

Мы запускаем второй сезон вебинаров DevSecOps. В первом — мы говорили «много и обо всем». Теперь рассмотрим более локальные задачи: от мониторинга k8s и организации конвейера GitOps до управления «секретами» и резервного копирования в Kubernetes. Все задачи, которые мы рассмотрим на вебинарах, из...

Все блоги / Про интернет

Часто забываемые правила безопасности Docker: заметки энтузиаста ИБ

Последние пару лет я помогаю клиентам нашего облака внедрять DevOps-практики и делюсь своим опытом инженера DevOps. К сожалению, вопросы про информационную безопасность возникают у клиентов зачастую тогда, когда уже что-то произошло. У меня как у любителя киберзащиты постепенно накопилась целая...

Все блоги / Про интернет

Представляем Red Hat Advanced Cluster Security for Kubernetes

В конце апреля 2021 года Red Hat анонсировала новую редакцию своей платформы OpenShift – OpenShift Platform Plus, в состав которой входит решение Red Hat Advanced Cluster Security for Kubernetes на основе технологий компании StackRox. Сегодня мы расскажем, какие задачи безопасности OpenShift...

Все блоги / Про интернет

[Перевод] Dockle — Диагностика безопасности контейнеров

В этой статье мы рассмотрим Dockle — инструмент для проверки безопасности образов контейнеров, который можно использовать для поиска уязвимостей. Кроме того, с его помощью можно выполнять проверку на соответствие Best Practice, чтобы убедиться, что образ действительно создается на основе...

Все блоги / Про интернет

Как PVS-Studio защищает от поспешных правок кода

Хотя только недавно была заметка про проект CovidSim, есть хороший повод вновь про него вспомнить и продемонстрировать пользу регулярного использования PVS-Studio. Бывает, что все мы спешим и вносим правки в код, потеряв сосредоточенность. Статический анализатор может оказаться здесь хорошим...

Все блоги / Про интернет

PVS-Studio, Blender: цикл заметок о пользе регулярного использования статического анализа

В статьях мы регулярно повторяем важную мысль: статический анализатор должен использоваться регулярно. В этом случае многие ошибки выявляются на самом раннем этапе, а их исправление максимально дёшево. Однако теория – это одно, но намного лучше подкреплять слова практическими примерами. Рассмотрим...

Все блоги / Про интернет

DevSecOps: организация фаззинга исходного кода

Узнав результаты голосования, проведённого в одной из наших прошлых статей, мы решили более подробно обсудить вопрос организации фаззинга. Кроме того, в рамках онлайн-встречи по информационной безопасности "Digital Security ON AIR" мы представили доклад, основанный на нашем опыте в DevSecOps, где...

Все блоги / Про интернет

Прокачай скиллы в DevSecOps: 5 вебинаров с теорией и практикой

Привет, Хабр! Наступила эпоха онлайн-мероприятий, и мы не стоим в стороне, тоже проводим разные вебинары и онлайн-встречи. Мы думаем, что тема DevSecOps требует отдельного внимания. Почему? Все просто: Она сейчас крайне популярна (кто еще не успел поучаствовать в холиваре на тему «Чем...

Все блоги / Про интернет

[recovery mode] Управление клиентскими сертификатами в Heroku

Допустим, наше Java приложение размещено на платформе "Heroku", и ему требуется подключиться к HTTP серверу, требующему предоставление Клиентского Сертификата. В этой статье мы рассмотрим вопросы безопасного размещения клиентских хранилищ ключей в облаке, используя переменные окружения. Читать...

Все блоги / Про интернет

Chaos Constructions 2019 is Coming…

Chaos Constructions 2019 24-25 августа, традиционно в последние выходные лета, в Санкт-Петербурге пройдет компьютерный фестиваль Chaos Constructions 2019. На конференции в рамках фестиваля вашему вниманию будут представлены более 60 докладов на разные тематики. Безопасность Администрирование...

Все блоги / Про интернет

PVS-Studio в гостях у Apache Hive

Последние десять лет движение open source является одним из ключевых факторов развития IT-отрасли и важной ее составной частью. Роль и место open source не только усиливается в виде роста количественных показателей, но происходит и изменение его качественного позиционирования на IT-рынке в целом....

Все блоги / Про интернет

Страх и ненависть DevSecOps

У нас было 2 анализатора кода, 4 инструмента для динамического тестирования, свои поделки и 250 скриптов. Не то, чтобы это всё было нужно в текущем процессе, но раз начал внедрять DevSecOps, то надо иди до конца. Источник. Авторы персонажей: Джастин Ройланд и Дэн Хармон. Что такое SecDevOps? А...

Все блоги / Про интернет