Deepfence Runtime Threat Mapper

Deepfence Runtime Threat Mapper - open-source версия по защите контейнерной среды от Deepfence.

В число возможностей входит:
- визуализация кластеров, ВМ и контейнеров,
- сканирование на уязвимости хостов, образов и развернутых контейнеров
- сканирование реестров
- сканирование образов в Ci/CD
- интеграция с SIEM, Jira, Slack и тд

Работает с помощью развернутых контейнеров (Deepfence Agent) на продуктивных нодах кластера, выделенной консоли и облака.

#k8s #docker #ops #dev

SheftLeft Scan - A Free & Open Source DevSecOps Platform

Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий

Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.

Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.


https://www.shiftleft.io/scan/

#tools #sca #sast #secret #dev #ops

Релизнулся, не побоюсь этого слова, фундаментальный труд "OWASP Web Security Testing Guide 4.1". Предыдущая версия 4.0 вышла аж в 2014 году.

Изменения в новой версии
https://github.com/OWASP/wstg/releases/tag/v4.1

Веб-версия
https://owasp.org/www-project-web-security-testing-guide/v41/

RubyGems содержит вредоносные пакеты, подвергающие опасности разработчиков на Windows

Более 700 вредоносных пакетов с похожими именами были загружены в RubyGems, популярный репозиторий сторонних компонентов для языка программирования Ruby. По словам исследователей, загрузка вредоносных пакетов разработчиками происходила в течение недели в феврале. Мошеннические пакеты содержали вредоносный скрипт, который при исполнении на ОС Windows захватывал криптовалютные транзакции, заменяя адрес кошелька получателя на адрес, контролируемый злоумышленником. Используемый сценарий перехвата буфера обмена мог быть легко используемым также для кражи любых учетных данных.

#news #dev

SkyWrapper

SkyWrapper - open-source проект CyberARK, направленный на поиск подозрительных временных токенов в AWS аккаунте, выявляя вредоносную активность. Инструмент анализирует учетную запись AWS, после чего создает Excel-лист, который включает все текущие временные токены. Сводка результатов выводится на экран после каждого запуска.

#tools #aws #ops

PwnChart для Helm 2. Смысл данного чарта состоит в использовании ClusterRoleBinding, который привязывает к имеющемуся в Pod'е ServiceAccount супер роль cluster-admin. То есть на лицо повышение привилегий в Kubernetes кластере через Helm 2. В чарте можно может быть и другая полезная нагрузка не только ClusterRoleBinding - тут дело только в вашей фантазии. Это возможно в конфигурации helm 2 по умолчанию (отсутствует TLS и X509). Может быть очень полезно например если PodSecurityPolicy, RBAC, NetworkPolicy мешают сделать повышение привилегий, а достучаться до Tiller можно.

DevSecOps Reference Architecture.

Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.

#bestpractice #dev #ops

The Extended AWS Security Ramp-Up Guide

Подробнее:
https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/

#aws #ops

Guard - Kubernetes Webhook Authentication server

Guard by AppsCode - сервер аутентификации для Kubernetes. Gurad позволяет войти в свой кластер Kubernetes с помощью различных поставщиков аутентификации, а также настраивает группы пользователей соответствующим образом. Это позволяет администратору кластера устанавливать правила RBAC на основе членства в группах.

Guard поддерживает следующие провайдеры аутентификации:
- Static Token File
- Github
- Gitlab
- Google
- Azure
- LDAP using Simple or Kerberos authentication
- Azure Active Directory via LDAP

#k8s #tools #ops

Enforcing AWS S3 Security Best Practices Using Terraform & Sentinel

Пост о том, как использовать Terraform Enterprise / Cloud для обеспечения проверки S3 на соответствие лучшим практикам по безопасности (правила Sentinel на GitHub)

https://medium.com/hashicorp-engineering/enforcing-aws-s3-security-best-practice-using-terraform-sentinel-ddcd181ff4b7

#aws #ops

RBAC.dev

Ресурс, в котором размещены лучшие практики и инструменты для настройки RBAC на Kubernetes. Здесь же можно найти статьи, видео, средства визуализации и ссылки на официальную документацию для быстрого поиска.

https://rbac.dev

#k8s #ops

​​DevSecOps Leadership Forum Online

Spend a half day with industry peers learning how to bring together software developers and security professionals to remediate open source risk, without slowing down innovation.
Your afternoon includes:
• Automating Secure Software Development at Instinet
• DevSecOps - A Journey in the Insurance Industry
• When Worlds Collide

Дата проведения:
30 апреля 2020 г., | 16:00 - 18:00 (МСК)

Регистрация

#конференция #апрель
@InfoBezEvents

В силу всеобщей изоляции по всему миру проходит огромное количество онлайн мероприятий. Обо всех знать и сообщать вам я не в состоянии, но лично от себя могу посоветовать канал упомянутый выше @infobezevents - основной канал по мероприятиям, за которым я слежу. Думаю, что подписчикам из сферы ИБ может быть интересно.

(не реклама)

#suggestion

DefectDojo

DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)

#tools #dev #ops

AWS Config & Security.

AWS Config - это сервис, который позволяет оценивать конфигурации ресурсов AWS в вашей учетной записи, непрерывно отслеживая и записывая изменения.

Нашел две неплохие свежие статьи из блога AWS про AWS Config и безопасность.

Enable automatic logging of web ACLs by using AWS Config -
Автоматическое логирование AWS WAF web ACL через AWS Config.

How to track changes to secrets stored in AWS Secrets Manager using AWS Config and AWS Config Rules -
Про отслеживание изменений в метаданных секретов (описание, ротация), а также описание новых правил, позволяющих оценивать настройки секретов на соотвтествие лучшим практикам безопасности.

#aws #ops

Dependency-Track is an intelligent Supply Chain Component Analysis platform that allows organizations to identify and reduce risk from the use of third-party and open source components.
https://github.com/DependencyTrack/dependency-track

Два доклада про то как происходит интеграция в Jenkins pipeline

Find and Track the hidden vulnerabilities inside your dependencies
https://www.youtube.com/watch?v=d2WMONyBbTw

Dependency Track - Steve Springett (OWASP)
https://www.youtube.com/watch?v=IPWPISSk5rc

Magic Quadrant for Application Security Testing

Вышел апрельский (2020) квадрат Гартнера из категории AST. Познакомиться с полной версией документа можно через портал Checkmarx.

#news #dev

Automatic API Attack Tool

Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.

#tool #fuzzing #web #dev #ops

Archery - Centralize Vulnerability Assessment and Management system

Archery - еще одна open-source система управления уязвимостями. Есть поддержка Acuntetix, Nessus, Burp, Netsparker, WebInspect. В отличие от DefectDojo, о котором я упоминал ранее, решение позволяет запускать из консоли сканирование ZAP, Burp и OpenVAS. Из интересного то, что есть свое API и обработчик false positive. Ну и конечно же интеграция с CI/CD.

#tools #dev #ops

ScoutSuite 5.8.0

Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.

Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account

Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.

#news #aws #azure #tools #gcp #ops