ebook_An_Integrated_Approach_to_Embedding_Security_into_DevOps_A.pdf
1.3 MB
An Integrated Approach to Embedding Security into DevOps
А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.
#bestpractice #dev
А еще Стивен Гейтс поделился неплохим маркетинговым материалом от Checkmarx по безопасной разработке с точки зрения best practice и того, что они умеют - AST.
#bestpractice #dev
Application Security Engineer - вопросы на собеседовании
Не так давно в одном из тематических чатов поднимали вопрос того, что спрашивают при приеме на AppSec. Я изначально устраивался на инженера по сетевой безопасности, поэтому поделиться чисто своим опытом не смогу, но я нашел для вас две полезные для подготовки ссылки (полезные и для самооценки).
- Большая подборка вопросов по AppSec с ссылками для объяснения.
- Вопросы по Web AppSec от Synopsys
Я считаю, что, спрашивая алгоритм сжатия файлов, можно спугнуть действительно рукастого инженера, и гораздо эффективнее задавать верхнеуровневые вопросы (про SDLC например), давать домашние задания и более внимательно наблюдать за работой специалиста в течение всего испытательного срока. Как бы очевидно это не звучало - определить качество работы специалиста можно только в процессе его работы.
#start #dev #ops
Не так давно в одном из тематических чатов поднимали вопрос того, что спрашивают при приеме на AppSec. Я изначально устраивался на инженера по сетевой безопасности, поэтому поделиться чисто своим опытом не смогу, но я нашел для вас две полезные для подготовки ссылки (полезные и для самооценки).
- Большая подборка вопросов по AppSec с ссылками для объяснения.
- Вопросы по Web AppSec от Synopsys
Я считаю, что, спрашивая алгоритм сжатия файлов, можно спугнуть действительно рукастого инженера, и гораздо эффективнее задавать верхнеуровневые вопросы (про SDLC например), давать домашние задания и более внимательно наблюдать за работой специалиста в течение всего испытательного срока. Как бы очевидно это не звучало - определить качество работы специалиста можно только в процессе его работы.
#start #dev #ops
GitHub
GitHub - security-prince/Application-Security-Engineer-Interview-Questions: Some of the questions which i was asked when i was…
Some of the questions which i was asked when i was giving interviews for Application/Product Security roles. I am sure this is not an exhaustive list but i felt these questions were important to be...
MobSF
Mobile Security Framework (MobSF) - это мобильное приложение (Android / iOS / Windows) для проведения тестирования, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ. MobSF поддерживает двоичные файлы мобильных приложений (APK, IPA и APPX), исходный код и предоставляет REST API для интеграции с вашим CI / CD.
Недавно вышла неплохая статью про опыт анализа iOS с помощью MobSF:
https://www.netguru.com/codestories/ios-security-analysis-with-mobsf
#mobile #sast #dast #dev
Mobile Security Framework (MobSF) - это мобильное приложение (Android / iOS / Windows) для проведения тестирования, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ. MobSF поддерживает двоичные файлы мобильных приложений (APK, IPA и APPX), исходный код и предоставляет REST API для интеграции с вашим CI / CD.
Недавно вышла неплохая статью про опыт анализа iOS с помощью MobSF:
https://www.netguru.com/codestories/ios-security-analysis-with-mobsf
#mobile #sast #dast #dev
Forwarded from k8s (in)security (D1g1)
Сегодня вышел Kubernetes 1.18.0
И сейчас мы кратенько пройдемся по изменениям, что касаются security и наиболее интересны на мой взгляд.
- Появление команды
- `ServiceAccountIssuerDiscovery` (стадия Alpha) - позволяет сервисам вне кластера использовать KSA (Kubernetes service accounts) токены (JSON Web Tokens или JWT) в качестве общего метода аутентификации, не перегружая API сервер (и, конечно, не высовывая его наружу!). Для этого API сервер предоставляет механизм обнаружения OpenID Connect (OIDC), который содержит, помимо прочих данных, открытые ключи токена. Таким образом аутентификаторы OIDC могут использовать эти ключи для проверки токенов KSA на своей стороне.
- `CertificateSigningRequest API` (стадия Beta) - каждый Kubernetes кластер имеет root certificate authority (CA), который используется для защиты соединений между основными компонентами Kubernetes (обрабатывается с помощью Certificates API). Далее это начали использовать и другие компоненты системы и ПО. Теперь для использования этого API необходимы соответствующие разрешения и кто попало в системе не сможет это использовать (тем более представляться другим сервисом для данного запроса).
И сейчас мы кратенько пройдемся по изменениям, что касаются security и наиболее интересны на мой взгляд.
- Появление команды
kubectl debug (стадия Alpha) - данная команда позволяет создать ephemeral containers, который запуститься в нужном Pod и позволит интерактивно разобраться с проблемой. Это позволит разработчикам не тянуть на продакшен Pod'ы всякие отладочные инструменты "на всякий случай", спокойно использовать distroless контейнер образы. В свою очередь это уменьшит шансы атакующему встретить на контейнерах кучу отладочных (потенциально полезных) ему инструментов для дальнейшей атаки. Но нужно учитывать что для этого данная команда делает 3 вещи: Создает ephemeral container, перезапускает Pod с измененной PodSpec, стартует его и аттачится к privileged container в host namespace. Так что нужно держать в голове, что если атакующий сможет выполнять команду debug, то он значительно расширит attack surface для побега из контейнера.- `ServiceAccountIssuerDiscovery` (стадия Alpha) - позволяет сервисам вне кластера использовать KSA (Kubernetes service accounts) токены (JSON Web Tokens или JWT) в качестве общего метода аутентификации, не перегружая API сервер (и, конечно, не высовывая его наружу!). Для этого API сервер предоставляет механизм обнаружения OpenID Connect (OIDC), который содержит, помимо прочих данных, открытые ключи токена. Таким образом аутентификаторы OIDC могут использовать эти ключи для проверки токенов KSA на своей стороне.
- `CertificateSigningRequest API` (стадия Beta) - каждый Kubernetes кластер имеет root certificate authority (CA), который используется для защиты соединений между основными компонентами Kubernetes (обрабатывается с помощью Certificates API). Далее это начали использовать и другие компоненты системы и ПО. Теперь для использования этого API необходимы соответствующие разрешения и кто попало в системе не сможет это использовать (тем более представляться другим сервисом для данного запроса).
Kubernetes
Kubernetes 1.18: Fit & Finish
We're pleased to announce the delivery of Kubernetes 1.18, our first release of 2020! Kubernetes 1.18 consists of 38 enhancements: 15 enhancements are moving to stable, 11 enhancements in beta, and 12 enhancements in alpha.
Kubernetes 1.18 is a "fit and finish"…
Kubernetes 1.18 is a "fit and finish"…
Talisman
Talisman - это инструмент для проверки изменений кода, которые должны быть вытеснены из локального репозитория Git на рабочей станции разработчика. Talisman проверяет исходящие изменения на наличие открытых секретов, таких как потенциальные ключи SSH, токены авторизации, закрытые ключи и т.д.
#tools #secret #dev
Talisman - это инструмент для проверки изменений кода, которые должны быть вытеснены из локального репозитория Git на рабочей станции разработчика. Talisman проверяет исходящие изменения на наличие открытых секретов, таких как потенциальные ключи SSH, токены авторизации, закрытые ключи и т.д.
#tools #secret #dev
GitGuardian
GitGuardian - французский проект, направленный на поиск секретов в репозиториях. На текущий момент есть поддержка GitHub, GitHub Enterprise и в скором времени планируется GitLab. Работает как сервис, предоставляем доступ в репо, после чего проваливаемся в консоль, где имеем возможность запускать задачи на сканирования. Есть еще enterpise on-prem версия, но сейлы нам заявили, что с российским рынком они работать пока не готовы.
#tools #secret #dev
GitGuardian - французский проект, направленный на поиск секретов в репозиториях. На текущий момент есть поддержка GitHub, GitHub Enterprise и в скором времени планируется GitLab. Работает как сервис, предоставляем доступ в репо, после чего проваливаемся в консоль, где имеем возможность запускать задачи на сканирования. Есть еще enterpise on-prem версия, но сейлы нам заявили, что с российским рынком они работать пока не готовы.
#tools #secret #dev
The State of Open Source Secuirty 2020
У WhiteSource вышел ежегодный отчет по уязвимостям, которые можно встретить в открытом исходном коде. Если коротко, то было зафиксировано примерно на 50% больше уязвимостей в 2019 году, чем в 2018. Самые популярные - XSS, некорректная проверка ввода, ошибки, связанные с буффером.
https://goo.su/0nqw
#report #dev
У WhiteSource вышел ежегодный отчет по уязвимостям, которые можно встретить в открытом исходном коде. Если коротко, то было зафиксировано примерно на 50% больше уязвимостей в 2019 году, чем в 2018. Самые популярные - XSS, некорректная проверка ввода, ошибки, связанные с буффером.
https://goo.su/0nqw
#report #dev
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
GitGuardian Blog - Take Control of Your Secrets Security
How to Avoid Security Risks After Leaking Credentials and API Keys on GitHub
If you have discovered that you have just exposed a sensitive file or secrets to a public git repository, there are some very important steps to follow.
LeakLooker GUI — Discover, browse and monitor database/source code leaks.
Вот кстати отдельный инструмент,который поможет определить утечку ваших данных в Интернете.
LeakLooker - это скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов. В настоящее время он поддерживает Elasticsearch, CouchDB, MongoDB, Gitlab, Rsync, Jenkins, Sonarqube, Kibana, CassandraDB, RethinkDB, корзины S3.
https://medium.com/@woj_ciech/leaklooker-gui-discover-browse-and-monitor-database-source-code-leaks-f4b82bbb48fe
#tools #secret #ops
Вот кстати отдельный инструмент,который поможет определить утечку ваших данных в Интернете.
LeakLooker - это скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов. В настоящее время он поддерживает Elasticsearch, CouchDB, MongoDB, Gitlab, Rsync, Jenkins, Sonarqube, Kibana, CassandraDB, RethinkDB, корзины S3.
https://medium.com/@woj_ciech/leaklooker-gui-discover-browse-and-monitor-database-source-code-leaks-f4b82bbb48fe
#tools #secret #ops
Forwarded from Технологический Болт Генона
OWASP Vulnerability Checks With Maven
How to introduce automatic security scans in your Java builds
https://itnext.io/owasp-dependency-check-maven-vulnerabilities-java-898a9cf99f5e
How to introduce automatic security scans in your Java builds
https://itnext.io/owasp-dependency-check-maven-vulnerabilities-java-898a9cf99f5e
Azure Security Benchmark
Недавно был анонсирован Azure Security Benchmark v1 (ASB), содержащий более 90 рекоммендаций безоопасности, основанных на отраслевых стандартах и передовых практиках, таких как CIS. ASB интегрирован с Azure Security Center, что позволяет отслеживать, составлять отчеты и оценивать соответствие с эталонным тестом с помощью панели мониторинга Security Center.
#azure #ops
Недавно был анонсирован Azure Security Benchmark v1 (ASB), содержащий более 90 рекоммендаций безоопасности, основанных на отраслевых стандартах и передовых практиках, таких как CIS. ASB интегрирован с Azure Security Center, что позволяет отслеживать, составлять отчеты и оценивать соответствие с эталонным тестом с помощью панели мониторинга Security Center.
#azure #ops
Forwarded from k8s (in)security (D1g1)
Пентест, Kubernetes. У многих отсутствует представление о том, как это вообще выглядит. Хотя это очень полезно и пентестерам (для них это становится актуальнее с каждым днем), и людям, обеспечивающим работоспособность и безопасность Kubernetes кластера. Для получения этого представления я могу порекомендовать совсем свежее выступление “Command and KubeCTL: Real-World Kubernetes Security for Pentesters” . В данном выступление автор рассматривает и сразу демонстрирует различные тактики, техники и инструменты для получения доступа и эксплотации Kubernetes кластера.
Все live demo идет на примере 3 компаний - трех различных инфраструктур: on-prem, multu-cloud и сервис со множеством, географически разнесенных групп разработчиков. То есть это разное использование Kubernetes и как следствие разная модель угроз.
Отдельно стоит отметить Attack Chain (на скриншоте), которая описывает все что будет делать пентестер/злоумышленник, пытающийся взломать Kubernetes кластер. Каждый этап демонстрируется шаг за шагом.
Все live demo идет на примере 3 компаний - трех различных инфраструктур: on-prem, multu-cloud и сервис со множеством, географически разнесенных групп разработчиков. То есть это разное использование Kubernetes и как следствие разная модель угроз.
Отдельно стоит отметить Attack Chain (на скриншоте), которая описывает все что будет делать пентестер/злоумышленник, пытающийся взломать Kubernetes кластер. Каждый этап демонстрируется шаг за шагом.
ElectricEye
ElectricEye - набор скриптов Python, которые позволяют непрерывно мониторить сервисы AWS на предмет конфигураций, которые могут привести к ухудшению конфиденциальности, целостности или доступности. Все результаты отправляются в Security Hub для дальнейшей агрегации и анализа. Есть поддержка CloudFormation, Terraform, а также интеграция с Config Recorder, Slack, ServiceNow, JIRA, DevOps Azure, Shodan.
#tools #aws #ops
ElectricEye - набор скриптов Python, которые позволяют непрерывно мониторить сервисы AWS на предмет конфигураций, которые могут привести к ухудшению конфиденциальности, целостности или доступности. Все результаты отправляются в Security Hub для дальнейшей агрегации и анализа. Есть поддержка CloudFormation, Terraform, а также интеграция с Config Recorder, Slack, ServiceNow, JIRA, DevOps Azure, Shodan.
#tools #aws #ops
On-Demand Container Scanning API
Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.
Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/
#tools #docker #dev #ops
Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.
Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/
#tools #docker #dev #ops
Forwarded from AWS Notes
Стал доступен анонсированный 4 месяца назад сервис Amazon Detective, пополнивший набор security сервисов Амазона:
https://onecloudplease.com/blog/amazon-detective-following-the-breadcrumbs
Функционал Detective, связанный с поиском и визуализацией возможных проблем с безопасностью (собственно - потому "Детектив") наверняка сделает его стандартным по части безопасности в дополнение к GuardDuty, Security Hub сотоварищи.
#Detective #security
https://onecloudplease.com/blog/amazon-detective-following-the-breadcrumbs
Функционал Detective, связанный с поиском и визуализацией возможных проблем с безопасностью (собственно - потому "Детектив") наверняка сделает его стандартным по части безопасности в дополнение к GuardDuty, Security Hub сотоварищи.
#Detective #security
Security Champions Playbook
Security Champions Playbook - проект, начатый в рамках подготовки к презентации «Security Champions 2.0» на OWASP Bucharest AppSec Conference 2017. В нем описываются основные этапы быстрого создания программы Security Champions независимо от размера компании и зрелости существующих процессов безопасности.
О том, кто такие Security Champions:
https://www.owasp.org/index.php/Security_Champions
#team #dev #ops
Security Champions Playbook - проект, начатый в рамках подготовки к презентации «Security Champions 2.0» на OWASP Bucharest AppSec Conference 2017. В нем описываются основные этапы быстрого создания программы Security Champions независимо от размера компании и зрелости существующих процессов безопасности.
О том, кто такие Security Champions:
https://www.owasp.org/index.php/Security_Champions
#team #dev #ops
Csper Builder - Автоматическая генерация Content Security Policy
Csper Builder - расширение для Firefox, которое позволит автоматически сформировать CSP для вашего веб-ресурса, работая в фоновом режиме на базе ваших посещений различных страниц.
#web #tools #dev
Csper Builder - расширение для Firefox, которое позволит автоматически сформировать CSP для вашего веб-ресурса, работая в фоновом режиме на базе ваших посещений различных страниц.
#web #tools #dev
Bug Bounty - how to
Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.
Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов
How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.
#bestpractice #dev #ops #attack
Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.
Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов
How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.
#bestpractice #dev #ops #attack
The GitHub Blog
Six years of the GitHub Security Bug Bounty program
Learn more about the Bug Bounty program, including a recap of 2019’s bugs, our expanded scope, new features, and more.
Top 10 security items to improve in your AWS account
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice #ops
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice #ops
Inspektor Gadget’s Network Policy Advisor
Inspektor Gadget - это набор инструментов (или гаджетов) для разработчиков приложений Kubernetes. Не так давно вышла фича, позволяющая отслеживать и анализировать сетевой трафик на хостах, после чего автоматически генерировать политику. Все это с помощью BPF.
Подробнее:
https://kinvolk.io/blog/2020/03/writing-kubernetes-network-policies-with-inspektor-gadgets-network-policy-advisor/
#k8s #tools #ops
Inspektor Gadget - это набор инструментов (или гаджетов) для разработчиков приложений Kubernetes. Не так давно вышла фича, позволяющая отслеживать и анализировать сетевой трафик на хостах, после чего автоматически генерировать политику. Все это с помощью BPF.
Подробнее:
https://kinvolk.io/blog/2020/03/writing-kubernetes-network-policies-with-inspektor-gadgets-network-policy-advisor/
#k8s #tools #ops
DevSecOps - Онлайн-мероприятия на апрель (не реклама)
С переходом на удаленную работу свободного времени больше не стало, но вдруг из вас есть машины, которые смогут успеть все посмотреть и поделиться интересным материалом...
Вечерняя школа Слёрм - вебинары по Kubernetes, начиная с 7 апреля по понедельникам и вторникам в 20:00. Курс дает основы Kubernetes с нуля, включая блок по Docker.
Cloud Security Online Meetup - 9 апреля 18:00 - Специалисты Яндекс.Облака будут говорить о том, как у них устроена разработка, какие проблемы возникают, как обеспечивается безопасный доступ к продуктивной среде
All The Talks – 15 апреля, бесплатная онлайн-конференция по DevOps с отдельным блоком Security при поддержке небезызвестных вендоров.
All Day DevOps– 17 апреля. Большая бесплатная конференция по DevOps будет проходить онлайн и включает в том числе блок DevSecOps.
DevOps 2020 - 21, 22 апреля, а в 14:05 - 21 числа в частности будут вещать парни из Unity - "Talk: Scaling DevSecOps to integrate security tooling for 100+ deployments per day", за ссылку спасибо @maximus169
Продуктовая безопасность: тренды 2020
21 апреля c 18:00 - про автоматизацию безопасной разработки и не только от Wrike, mail.ru, ЦИАН, Одноклассники
Если что пропустил, жду в лс.
#events
С переходом на удаленную работу свободного времени больше не стало, но вдруг из вас есть машины, которые смогут успеть все посмотреть и поделиться интересным материалом...
Вечерняя школа Слёрм - вебинары по Kubernetes, начиная с 7 апреля по понедельникам и вторникам в 20:00. Курс дает основы Kubernetes с нуля, включая блок по Docker.
Cloud Security Online Meetup - 9 апреля 18:00 - Специалисты Яндекс.Облака будут говорить о том, как у них устроена разработка, какие проблемы возникают, как обеспечивается безопасный доступ к продуктивной среде
All The Talks – 15 апреля, бесплатная онлайн-конференция по DevOps с отдельным блоком Security при поддержке небезызвестных вендоров.
All Day DevOps– 17 апреля. Большая бесплатная конференция по DevOps будет проходить онлайн и включает в том числе блок DevSecOps.
DevOps 2020 - 21, 22 апреля, а в 14:05 - 21 числа в частности будут вещать парни из Unity - "Talk: Scaling DevSecOps to integrate security tooling for 100+ deployments per day", за ссылку спасибо @maximus169
Продуктовая безопасность: тренды 2020
21 апреля c 18:00 - про автоматизацию безопасной разработки и не только от Wrike, mail.ru, ЦИАН, Одноклассники
Если что пропустил, жду в лс.
#events