SheftLeft Scan - A Free & Open Source DevSecOps Platform
Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий
Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.
Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.
https://www.shiftleft.io/scan/
#tools #sca #sast #secret #dev #ops
Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий
Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.
Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.
https://www.shiftleft.io/scan/
#tools #sca #sast #secret #dev #ops
Forwarded from Технологический Болт Генона
wstg-v4.1.pdf
9.2 MB
Релизнулся, не побоюсь этого слова, фундаментальный труд "OWASP Web Security Testing Guide 4.1". Предыдущая версия 4.0 вышла аж в 2014 году.
Изменения в новой версии
https://github.com/OWASP/wstg/releases/tag/v4.1
Веб-версия
https://owasp.org/www-project-web-security-testing-guide/v41/
Изменения в новой версии
https://github.com/OWASP/wstg/releases/tag/v4.1
Веб-версия
https://owasp.org/www-project-web-security-testing-guide/v41/
RubyGems содержит вредоносные пакеты, подвергающие опасности разработчиков на Windows
Более 700 вредоносных пакетов с похожими именами были загружены в RubyGems, популярный репозиторий сторонних компонентов для языка программирования Ruby. По словам исследователей, загрузка вредоносных пакетов разработчиками происходила в течение недели в феврале. Мошеннические пакеты содержали вредоносный скрипт, который при исполнении на ОС Windows захватывал криптовалютные транзакции, заменяя адрес кошелька получателя на адрес, контролируемый злоумышленником. Используемый сценарий перехвата буфера обмена мог быть легко используемым также для кражи любых учетных данных.
#news #dev
Более 700 вредоносных пакетов с похожими именами были загружены в RubyGems, популярный репозиторий сторонних компонентов для языка программирования Ruby. По словам исследователей, загрузка вредоносных пакетов разработчиками происходила в течение недели в феврале. Мошеннические пакеты содержали вредоносный скрипт, который при исполнении на ОС Windows захватывал криптовалютные транзакции, заменяя адрес кошелька получателя на адрес, контролируемый злоумышленником. Используемый сценарий перехвата буфера обмена мог быть легко используемым также для кражи любых учетных данных.
#news #dev
CSO Online
RubyGems typosquatting attack hits Ruby developers with trojanized packages
Attacker targeted Windows systems to hijack cryptocurrency transactions, and was able to evade anti-typosquatting measures.
skywrapper_demo.gif
23.2 MB
SkyWrapper
SkyWrapper - open-source проект CyberARK, направленный на поиск подозрительных временных токенов в AWS аккаунте, выявляя вредоносную активность. Инструмент анализирует учетную запись AWS, после чего создает Excel-лист, который включает все текущие временные токены. Сводка результатов выводится на экран после каждого запуска.
#tools #aws #ops
SkyWrapper - open-source проект CyberARK, направленный на поиск подозрительных временных токенов в AWS аккаунте, выявляя вредоносную активность. Инструмент анализирует учетную запись AWS, после чего создает Excel-лист, который включает все текущие временные токены. Сводка результатов выводится на экран после каждого запуска.
#tools #aws #ops
Forwarded from k8s (in)security (D1g1)
This media is not supported in your browser
VIEW IN TELEGRAM
PwnChart для Helm 2. Смысл данного чарта состоит в использовании
ClusterRoleBinding, который привязывает к имеющемуся в Pod'е ServiceAccount супер роль cluster-admin. То есть на лицо повышение привилегий в Kubernetes кластере через Helm 2. В чарте можно может быть и другая полезная нагрузка не только ClusterRoleBinding - тут дело только в вашей фантазии. Это возможно в конфигурации helm 2 по умолчанию (отсутствует TLS и X509). Может быть очень полезно например если PodSecurityPolicy, RBAC, NetworkPolicy мешают сделать повышение привилегий, а достучаться до Tiller можно.DevSecOps Reference Architecture.pdf
4.2 MB
DevSecOps Reference Architecture.
Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.
#bestpractice #dev #ops
Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.
#bestpractice #dev #ops
The Extended AWS Security Ramp-Up Guide
Подробнее:
https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/
#aws #ops
Подробнее:
https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/
#aws #ops
Guard - Kubernetes Webhook Authentication server
Guard by AppsCode - сервер аутентификации для Kubernetes. Gurad позволяет войти в свой кластер Kubernetes с помощью различных поставщиков аутентификации, а также настраивает группы пользователей соответствующим образом. Это позволяет администратору кластера устанавливать правила RBAC на основе членства в группах.
Guard поддерживает следующие провайдеры аутентификации:
- Static Token File
- Github
- Gitlab
- Google
- Azure
- LDAP using Simple or Kerberos authentication
- Azure Active Directory via LDAP
#k8s #tools #ops
Guard by AppsCode - сервер аутентификации для Kubernetes. Gurad позволяет войти в свой кластер Kubernetes с помощью различных поставщиков аутентификации, а также настраивает группы пользователей соответствующим образом. Это позволяет администратору кластера устанавливать правила RBAC на основе членства в группах.
Guard поддерживает следующие провайдеры аутентификации:
- Static Token File
- Github
- Gitlab
- Azure
- LDAP using Simple or Kerberos authentication
- Azure Active Directory via LDAP
#k8s #tools #ops
Enforcing AWS S3 Security Best Practices Using Terraform & Sentinel
Пост о том, как использовать Terraform Enterprise / Cloud для обеспечения проверки S3 на соответствие лучшим практикам по безопасности (правила Sentinel на GitHub)
https://medium.com/hashicorp-engineering/enforcing-aws-s3-security-best-practice-using-terraform-sentinel-ddcd181ff4b7
#aws #ops
Пост о том, как использовать Terraform Enterprise / Cloud для обеспечения проверки S3 на соответствие лучшим практикам по безопасности (правила Sentinel на GitHub)
https://medium.com/hashicorp-engineering/enforcing-aws-s3-security-best-practice-using-terraform-sentinel-ddcd181ff4b7
#aws #ops
RBAC.dev
Ресурс, в котором размещены лучшие практики и инструменты для настройки RBAC на Kubernetes. Здесь же можно найти статьи, видео, средства визуализации и ссылки на официальную документацию для быстрого поиска.
https://rbac.dev
#k8s #ops
Ресурс, в котором размещены лучшие практики и инструменты для настройки RBAC на Kubernetes. Здесь же можно найти статьи, видео, средства визуализации и ссылки на официальную документацию для быстрого поиска.
https://rbac.dev
#k8s #ops
Forwarded from Мероприятия по ИБ
DevSecOps Leadership Forum Online
Spend a half day with industry peers learning how to bring together software developers and security professionals to remediate open source risk, without slowing down innovation.
Your afternoon includes:
• Automating Secure Software Development at Instinet
• DevSecOps - A Journey in the Insurance Industry
• When Worlds Collide
Дата проведения:
30 апреля 2020 г., | 16:00 - 18:00 (МСК)
Регистрация
#конференция #апрель
@InfoBezEvents
Spend a half day with industry peers learning how to bring together software developers and security professionals to remediate open source risk, without slowing down innovation.
Your afternoon includes:
• Automating Secure Software Development at Instinet
• DevSecOps - A Journey in the Insurance Industry
• When Worlds Collide
Дата проведения:
30 апреля 2020 г., | 16:00 - 18:00 (МСК)
Регистрация
#конференция #апрель
@InfoBezEvents
В силу всеобщей изоляции по всему миру проходит огромное количество онлайн мероприятий. Обо всех знать и сообщать вам я не в состоянии, но лично от себя могу посоветовать канал упомянутый выше @infobezevents - основной канал по мероприятиям, за которым я слежу. Думаю, что подписчикам из сферы ИБ может быть интересно.
(не реклама)
#suggestion
(не реклама)
#suggestion
DefectDojo
DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)
#tools #dev #ops
DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)
#tools #dev #ops
AWS Config & Security.
AWS Config - это сервис, который позволяет оценивать конфигурации ресурсов AWS в вашей учетной записи, непрерывно отслеживая и записывая изменения.
Нашел две неплохие свежие статьи из блога AWS про AWS Config и безопасность.
Enable automatic logging of web ACLs by using AWS Config -
Автоматическое логирование AWS WAF web ACL через AWS Config.
How to track changes to secrets stored in AWS Secrets Manager using AWS Config and AWS Config Rules -
Про отслеживание изменений в метаданных секретов (описание, ротация), а также описание новых правил, позволяющих оценивать настройки секретов на соотвтествие лучшим практикам безопасности.
#aws #ops
AWS Config - это сервис, который позволяет оценивать конфигурации ресурсов AWS в вашей учетной записи, непрерывно отслеживая и записывая изменения.
Нашел две неплохие свежие статьи из блога AWS про AWS Config и безопасность.
Enable automatic logging of web ACLs by using AWS Config -
Автоматическое логирование AWS WAF web ACL через AWS Config.
How to track changes to secrets stored in AWS Secrets Manager using AWS Config and AWS Config Rules -
Про отслеживание изменений в метаданных секретов (описание, ротация), а также описание новых правил, позволяющих оценивать настройки секретов на соотвтествие лучшим практикам безопасности.
#aws #ops
Forwarded from Технологический Болт Генона
Dependency-Track is an intelligent Supply Chain Component Analysis platform that allows organizations to identify and reduce risk from the use of third-party and open source components.
https://github.com/DependencyTrack/dependency-track
Два доклада про то как происходит интеграция в Jenkins pipeline
Find and Track the hidden vulnerabilities inside your dependencies
https://www.youtube.com/watch?v=d2WMONyBbTw
Dependency Track - Steve Springett (OWASP)
https://www.youtube.com/watch?v=IPWPISSk5rc
https://github.com/DependencyTrack/dependency-track
Два доклада про то как происходит интеграция в Jenkins pipeline
Find and Track the hidden vulnerabilities inside your dependencies
https://www.youtube.com/watch?v=d2WMONyBbTw
Dependency Track - Steve Springett (OWASP)
https://www.youtube.com/watch?v=IPWPISSk5rc
Automatic API Attack Tool
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
GitHub
GitHub - imperva/automatic-api-attack-tool: Imperva's customizable API attack tool takes an API specification as an input, generates…
Imperva's customizable API attack tool takes an API specification as an input, generates and runs attacks that are based on it as an output. - imperva/automatic-api-attack-tool
Archery - Centralize Vulnerability Assessment and Management system
Archery - еще одна open-source система управления уязвимостями. Есть поддержка Acuntetix, Nessus, Burp, Netsparker, WebInspect. В отличие от DefectDojo, о котором я упоминал ранее, решение позволяет запускать из консоли сканирование ZAP, Burp и OpenVAS. Из интересного то, что есть свое API и обработчик false positive. Ну и конечно же интеграция с CI/CD.
#tools #dev #ops
Archery - еще одна open-source система управления уязвимостями. Есть поддержка Acuntetix, Nessus, Burp, Netsparker, WebInspect. В отличие от DefectDojo, о котором я упоминал ранее, решение позволяет запускать из консоли сканирование ZAP, Burp и OpenVAS. Из интересного то, что есть свое API и обработчик false positive. Ну и конечно же интеграция с CI/CD.
#tools #dev #ops
ScoutSuite 5.8.0
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Forwarded from Cybershit
GitHub на своей онлайн-конференции Satellite анонсировали несколько интересных нововведений.
1. Функции сканирования кода на базе CodeQL теперь может быть включена по-умолчанию, но только для открытых репозиториев.
2. Сканирование секретов (чувствительной информации) стало доступно для частных репозиториев.
3. Анонсировали GitHub Private Instances, сервис для корпоративных клиентов, позволяющий запускать инстансы GitHub у себя в частном облаке, включающие расширенные требования безопасности и комплайнса. Цен еще нет.
4. Показали бета-версию своей IDE для совместной разработки, основанную на Visual Studio Code Online - GitHub Codespaces. Пока бесплатно.
5. Анонсировали новый раздел GitHub Discussions.
Описание всех фич: https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/
Полная запись выступлений: https://githubsatellite.com/
1. Функции сканирования кода на базе CodeQL теперь может быть включена по-умолчанию, но только для открытых репозиториев.
2. Сканирование секретов (чувствительной информации) стало доступно для частных репозиториев.
3. Анонсировали GitHub Private Instances, сервис для корпоративных клиентов, позволяющий запускать инстансы GitHub у себя в частном облаке, включающие расширенные требования безопасности и комплайнса. Цен еще нет.
4. Показали бета-версию своей IDE для совместной разработки, основанную на Visual Studio Code Online - GitHub Codespaces. Пока бесплатно.
5. Анонсировали новый раздел GitHub Discussions.
Описание всех фич: https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/
Полная запись выступлений: https://githubsatellite.com/