Jenkins secrets quiz
Сегодня мы сделаем небольшой квиз. У команды разработки есть Jenkins, используемый для сборки. Jenkins в свою очередь необходимы секреты для получения доступа к сторонним prod-системам (разработчики используют плагин
Ответ будет завтра.
#dev #ops #talks
Сегодня мы сделаем небольшой квиз. У команды разработки есть Jenkins, используемый для сборки. Jenkins в свою очередь необходимы секреты для получения доступа к сторонним prod-системам (разработчики используют плагин
сredentials-binding). Разработчики самостоятельно пишут groovy-скрипты в Jenkins с выданными правами на запись и запуск согласно матрице доступов. Безопасно ли это?Ответ будет завтра.
#dev #ops #talks
Jenkins secrets extraction
Возвращаемся к нашему квизу, который вызвал бурные обсуждения в чате. 59% человек посчитало, что схема является безопасной с точки зрения управления секретами. Как итог они оказались неправы. Дело в том, что упомянутый плагин
Так как разработчик имеет доступ к конфигурации сборки и ее запуску в Jenkins, то помимо извлечения секретов может быть поднят reverse shell или вызван DoS всего сборочного конвейера. Все зависит от сетевых доступов и прав на агенте сборки.
Какой же вывод? Как ни странно, то компенсирующей мерой сделать так, чтобы конфигурация джобы тащилась из внешнего Jenkinsfile, который будет расположен в Git, а разработчик мог эту джобу только запустить. Jenkinsfile на стороне Git-репозитория в свою очередь будет защищен принудительным merge approval и другими мерами, которые могут быть реализованы на стороне SCM.
#dev #ops #talks #attack
Возвращаемся к нашему квизу, который вызвал бурные обсуждения в чате. 59% человек посчитало, что схема является безопасной с точки зрения управления секретами. Как итог они оказались неправы. Дело в том, что упомянутый плагин
сredentials-binding может позволить разработчикам извлечь секреты даже если секреты используются во внешнем хранилище Vault. Но дело даже не в плагине, а в самой возможности разработчика влиять на конфигурацию сборки, ведь с тем же успехом можно извлечь секреты напрямую из $JENKINS_HOME/credentials.xml и $JENKINS_HOME/secrets воспользовавшись hudson.util.Secret.decrypt или сторонними инструментами.Так как разработчик имеет доступ к конфигурации сборки и ее запуску в Jenkins, то помимо извлечения секретов может быть поднят reverse shell или вызван DoS всего сборочного конвейера. Все зависит от сетевых доступов и прав на агенте сборки.
Какой же вывод? Как ни странно, то компенсирующей мерой сделать так, чтобы конфигурация джобы тащилась из внешнего Jenkinsfile, который будет расположен в Git, а разработчик мог эту джобу только запустить. Jenkinsfile на стороне Git-репозитория в свою очередь будет защищен принудительным merge approval и другими мерами, которые могут быть реализованы на стороне SCM.
#dev #ops #talks #attack
Опрос: что вы думаете о DevSecOps?
Коллеги из PT расшифровали доклад с PHDays о применении Security Gym в обучении разработчиков писать безопасный код: "Безопасность для айтишников: как научить разработчиков устранять уязвимости и создавать безопасные приложения". Помимо теории (описания уязвимости в коде), обучение также предполагает написание функциональных и security-тестов, участие в CTF.
Также PT запустили опрос: "Что вы думаете о DevSecOps?", в котором просят пользователей Habr рассказать о том, как обстоят дела с безопасной разработкой в компании. Предлагаю помочь им собрать как можно больше данных для исследования :)
#talks #dev
Коллеги из PT расшифровали доклад с PHDays о применении Security Gym в обучении разработчиков писать безопасный код: "Безопасность для айтишников: как научить разработчиков устранять уязвимости и создавать безопасные приложения". Помимо теории (описания уязвимости в коде), обучение также предполагает написание функциональных и security-тестов, участие в CTF.
Также PT запустили опрос: "Что вы думаете о DevSecOps?", в котором просят пользователей Habr рассказать о том, как обстоят дела с безопасной разработкой в компании. Предлагаю помочь им собрать как можно больше данных для исследования :)
#talks #dev
ZeroNights 2021
Выложили записи и слайды с Zero Nights 2021. Самое интересное для этого канала находится в секции Defensive Track.
- О метриках с практической точки зрения - доклад про метрики (в частности про те, что были приведены в HP MagicNumbers), а также немного про OWASP SAMM и ASVS.
- Побег из контейнера: Kubernetes - доклад, где название говорит само за себя от автора @k8security. Доклад начинается с вводной части о работе k8s, после чего приводятся способы побега из контейнера через capabilities, маунты и CVE (есть очень много полезных ссылок).
- CVEhound: проверка исходников Linux на известные CVE - доклад про проблемы инструментов SCA и поиск CVE в Linux с помощью CVEhound.
- DevSecOps на Open Source: бурление в стакане - про построение классического процесса на базе gosec, trufflehog, defectdojo, semgrep и т.д. Автор также поделился пайплайнами gitlab в public.
- Атаки на микросервисные приложения: методы и и практические советы - доклад про то, на что надо обращать внимание с точки зрения безопасности, когда речь заходит о микросервисах (как проверять безопасность аутентификации, авторизации, какими инструментами, где брать чеклисты).
- Лезем невидимой рукой аппсека в релизные сборки - доклад про поиск уязвимостей в мобилках и написание своей тулы CheckKarlMarx.
Все слайды можно найти здесь.
#talks #dev #ops
Выложили записи и слайды с Zero Nights 2021. Самое интересное для этого канала находится в секции Defensive Track.
- О метриках с практической точки зрения - доклад про метрики (в частности про те, что были приведены в HP MagicNumbers), а также немного про OWASP SAMM и ASVS.
- Побег из контейнера: Kubernetes - доклад, где название говорит само за себя от автора @k8security. Доклад начинается с вводной части о работе k8s, после чего приводятся способы побега из контейнера через capabilities, маунты и CVE (есть очень много полезных ссылок).
- CVEhound: проверка исходников Linux на известные CVE - доклад про проблемы инструментов SCA и поиск CVE в Linux с помощью CVEhound.
- DevSecOps на Open Source: бурление в стакане - про построение классического процесса на базе gosec, trufflehog, defectdojo, semgrep и т.д. Автор также поделился пайплайнами gitlab в public.
- Атаки на микросервисные приложения: методы и и практические советы - доклад про то, на что надо обращать внимание с точки зрения безопасности, когда речь заходит о микросервисах (как проверять безопасность аутентификации, авторизации, какими инструментами, где брать чеклисты).
- Лезем невидимой рукой аппсека в релизные сборки - доклад про поиск уязвимостей в мобилках и написание своей тулы CheckKarlMarx.
Все слайды можно найти здесь.
#talks #dev #ops
YouTube
ZeroNights X Defensive Track - YouTube
Saint HighLoad++ 2021
20 и 21 сентября в Санкт-Петербурге пройдет конференция разработчиков высоконагруженных систем Saint HighLoad++ 2021. На ней, в частности, будет представлено 3 доклада по безопасности:
- Безопасность DNS, посвященный, как можно понять из названия, современной теории и практике защиты DNS
- Отказ в обслуживании: как положить высоконагруженную систему, посвященный DoS глазами злоумышленника и примерам из жизни падения высоконагруженных систем
- Киберучения: методы проведения и реализация, посвященный тому, какие бывают security awarness, какие есть готовые решения и как провести этот процесс самостоятельно
На Highload регулярно появляются интересные доклады по ИБ, в частности, "Безопасность AI-пайплайнов" (доступны слайды). Один из самых известных докладов, доступных с записью, - Хайлоад и безопасность в мире DevOps, где Юрий Колесков поднял многие злободневные темы еще в далеком 2017 году.
Для просмотра достаточно регистрации: https://conf.ontico.ru/polls/3875667/onepage
#talks #dev #ops
20 и 21 сентября в Санкт-Петербурге пройдет конференция разработчиков высоконагруженных систем Saint HighLoad++ 2021. На ней, в частности, будет представлено 3 доклада по безопасности:
- Безопасность DNS, посвященный, как можно понять из названия, современной теории и практике защиты DNS
- Отказ в обслуживании: как положить высоконагруженную систему, посвященный DoS глазами злоумышленника и примерам из жизни падения высоконагруженных систем
- Киберучения: методы проведения и реализация, посвященный тому, какие бывают security awarness, какие есть готовые решения и как провести этот процесс самостоятельно
На Highload регулярно появляются интересные доклады по ИБ, в частности, "Безопасность AI-пайплайнов" (доступны слайды). Один из самых известных докладов, доступных с записью, - Хайлоад и безопасность в мире DevOps, где Юрий Колесков поднял многие злободневные темы еще в далеком 2017 году.
Для просмотра достаточно регистрации: https://conf.ontico.ru/polls/3875667/onepage
#talks #dev #ops
Дыры и заборы: безопасность
в Kubernetes
13 октября в 19:00 Мск знакомые проводят вебинар «Дыры и заборы: безопасность в Kubernetes». Речь пойдет про культуру безопасности в Kubernetes, взломы, которые уже попали в категорию "классика" (Tesla 2018, TeamTNT 2020) и атаки, сопровождающиеся майнингом и отключением кластера.
У вас также есть возможность задать вопросы экспертам и поделиться историями атак на ваши кластеры.
#talks
в Kubernetes
13 октября в 19:00 Мск знакомые проводят вебинар «Дыры и заборы: безопасность в Kubernetes». Речь пойдет про культуру безопасности в Kubernetes, взломы, которые уже попали в категорию "классика" (Tesla 2018, TeamTNT 2020) и атаки, сопровождающиеся майнингом и отключением кластера.
У вас также есть возможность задать вопросы экспертам и поделиться историями атак на ваши кластеры.
#talks
Про безопасность разработки в большой организации
Не так давно ребята из Мимокрокодил позвали меня записать подкаст про современный DevSecOps в крупных организациях. Помимо главной темы, мы подняли концепцию AppSec/DevSecOps-платформ, путь моего развития в индустрии, влияние медийности на карьеру, а также подноготную ведения телеграм-каналов. Получилось весьма интересно:)
Предлагаю послушать:
https://podcast.ru/1505781025
#talks
Не так давно ребята из Мимокрокодил позвали меня записать подкаст про современный DevSecOps в крупных организациях. Помимо главной темы, мы подняли концепцию AppSec/DevSecOps-платформ, путь моего развития в индустрии, влияние медийности на карьеру, а также подноготную ведения телеграм-каналов. Получилось весьма интересно:)
Предлагаю послушать:
https://podcast.ru/1505781025
#talks
Telegram
МимоКрокодил
Мимокрокодил — это подкаст про IT и Информационную безопасность. В нашем канале мы постим различные ссылки по каждой из тем выпусков.
В главных ролях: Денис - twitter.com/_ttffdd_, Егор - twitter.com/shikarisenpai, Кирилл - twitter.com/whitel1st
В главных ролях: Денис - twitter.com/_ttffdd_, Егор - twitter.com/shikarisenpai, Кирилл - twitter.com/whitel1st
А вот скриншот из этого чуда.
P.S. Я, кстати, не подводил итоги года в отличие от моих коллег, а тем временем в канал пришло 2200+ человек за последний год. Всем спасибо! Не переставайте выполнять цели, поставленные в начале года, и не забывайте вступать в наш чат DevSecOps Chat и сторонние проекты - CloudSec Wine и AppSec and DevSecops Jobs!
#talks
P.S. Я, кстати, не подводил итоги года в отличие от моих коллег, а тем временем в канал пришло 2200+ человек за последний год. Всем спасибо! Не переставайте выполнять цели, поставленные в начале года, и не забывайте вступать в наш чат DevSecOps Chat и сторонние проекты - CloudSec Wine и AppSec and DevSecops Jobs!
#talks
CI/CD Security - то, без чего DevSecOps не имеет смысла
13 и 14 июня 2022 года в Кампусе Сколково пройдет конференция DevOps Conf & TechLead Conf 2022, где я буду выступать с докладом "CI/CD Security - то, без чего DevSecOps не имеет смысла". Поговорим про безопасность пайплайнов: мисконфигурации CI/CD, небезопасная среда разработки и непроработанная модель угроз для внутренних разработчиков и администраторов. Почему все эти вещи, как итог, приводят к тому, что внедрение DevSecOps перестает нести в себе ценность. Расскажу про наш опыт в Альфа-Банке и постараюсь разобраться, что надо сделать, чтобы занять золотую середину между паранойей и удобством разработки.
#talks
13 и 14 июня 2022 года в Кампусе Сколково пройдет конференция DevOps Conf & TechLead Conf 2022, где я буду выступать с докладом "CI/CD Security - то, без чего DevSecOps не имеет смысла". Поговорим про безопасность пайплайнов: мисконфигурации CI/CD, небезопасная среда разработки и непроработанная модель угроз для внутренних разработчиков и администраторов. Почему все эти вещи, как итог, приводят к тому, что внедрение DevSecOps перестает нести в себе ценность. Расскажу про наш опыт в Альфа-Банке и постараюсь разобраться, что надо сделать, чтобы занять золотую середину между паранойей и удобством разработки.
#talks
2024 AppSec and DevSecOps Keynotes
На рубеже второй половины года мы решили подготовить подборку записей с известных конференций по безопасности, которых стало уже достаточно много. Каждая ссылка ведет на видеозаписи докладов 2024 года. В этом году на всех конференциях наблюдается значительный уклон в сторону безопасности AI и его применения в сфере безопасности на фоне стремительного развития этого направления.
RSA Conference 2024 - одна из крупнейших в мире конференций по ИБ, проводится ежегодно в Сан-Франциско. 300 докладов, включая, конечно же, AppSec и DevSecOps. Чтобы облегчить поиск наиболее релевантных докладов, в чате будут опубликованы ссылки на самые интересные выступления.
BSidesSF 2024. Вторая по известности конференция по безопасности. Совсем немного докладов про AppSec, но кое-что также в разрезе применения AI присутствует.
fwd:cloudsec 2024. Набирающая популярность конференция по безопасности облаков для тех, кому это актуально.
Cloud Native Security Con 2024. Конференция от CNCF охватывает в этом году не только темы безопасности контейнеров и контейнерных сред, но и также безопасность AI/ML, CVE, SBOMы.
phd2 2024. Та самая конференция в России, которая не нуждается в представлении. Кроме отдельного трека по безопасности разработки, есть треки, где так или иначе затрагивается тема AppSec, например, в контексте экономической эффективности.
Также очень ждем доклады от организаторов БеКон 2024 - конференции по безопасности контейнеров и контейнерных сред. Записей пока нет, но есть слайды.
Если вы знаете какие-то конференции релевантные к каналу с доступными записями, присылайте в чат!
#talks
На рубеже второй половины года мы решили подготовить подборку записей с известных конференций по безопасности, которых стало уже достаточно много. Каждая ссылка ведет на видеозаписи докладов 2024 года. В этом году на всех конференциях наблюдается значительный уклон в сторону безопасности AI и его применения в сфере безопасности на фоне стремительного развития этого направления.
RSA Conference 2024 - одна из крупнейших в мире конференций по ИБ, проводится ежегодно в Сан-Франциско. 300 докладов, включая, конечно же, AppSec и DevSecOps. Чтобы облегчить поиск наиболее релевантных докладов, в чате будут опубликованы ссылки на самые интересные выступления.
BSidesSF 2024. Вторая по известности конференция по безопасности. Совсем немного докладов про AppSec, но кое-что также в разрезе применения AI присутствует.
fwd:cloudsec 2024. Набирающая популярность конференция по безопасности облаков для тех, кому это актуально.
Cloud Native Security Con 2024. Конференция от CNCF охватывает в этом году не только темы безопасности контейнеров и контейнерных сред, но и также безопасность AI/ML, CVE, SBOMы.
phd2 2024. Та самая конференция в России, которая не нуждается в представлении. Кроме отдельного трека по безопасности разработки, есть треки, где так или иначе затрагивается тема AppSec, например, в контексте экономической эффективности.
Также очень ждем доклады от организаторов БеКон 2024 - конференции по безопасности контейнеров и контейнерных сред. Записей пока нет, но есть слайды.
Если вы знаете какие-то конференции релевантные к каналу с доступными записями, присылайте в чат!
#talks
YouTube
RSAC 2024 Track Sessions
Share your videos with friends, family, and the world
👍15