Pysa: An open source static analysis tool to detect and prevent security issues in Python code
Статья от Facebook о работе их open source статического анализатора кода на Python - Pysa, которого они используют для поиска дефекта кода Instagram. Немного рассказывают про то, как Pysa обнаруживает фолзы, и как работает data flow analysis. В документации Pysa позиционируется как performant type checker. Pysa интегрируется с VSCode, но как и в Bandit результаты не приводятся к CWE, что нередко вызывает сложности при менеджменте дефектов.
https://www.facebook.com/notes/protect-the-graph/pyre-fast-type-checking-for-python/2048520695388071/
#sast #tools #dev
Статья от Facebook о работе их open source статического анализатора кода на Python - Pysa, которого они используют для поиска дефекта кода Instagram. Немного рассказывают про то, как Pysa обнаруживает фолзы, и как работает data flow analysis. В документации Pysa позиционируется как performant type checker. Pysa интегрируется с VSCode, но как и в Bandit результаты не приводятся к CWE, что нередко вызывает сложности при менеджменте дефектов.
https://www.facebook.com/notes/protect-the-graph/pyre-fast-type-checking-for-python/2048520695388071/
#sast #tools #dev
Facebook
Log in or sign up to view
See posts, photos and more on Facebook.
Forwarded from k8s (in)security (D1g1)
В официальном блоге Kubernetes есть статья "11 Ways (Not) to Get Hacked" от июля 2018 года.
Статья как вы понимаете совсем не новая, но проблемы/рекомендации, описанные в ней до сих пор актуальные.
В статье автор все рекомендации разделил на 2 части - те, что надо реализовать на
Также продолжая сравнения, можно сказать, что для первой категории все уже есть и просто отключено для простого старта использования (никто не хочет, чтобы при первом знакомстве с чем-то новым ломался мозг - чем проще, тем лучше). Во втором случае просто даются механизмы, которые можно использовать (или не использовать) для обеспечения безопасности своих приложений.
Это приводит к мысли о том, что как бы вы отлично не знали все настройки безопасности Kubernetes, без знания что и как делают ваши приложения в нем добиться хорошей безопасности невозможно.
Статья как вы понимаете совсем не новая, но проблемы/рекомендации, описанные в ней до сих пор актуальные.
В статье автор все рекомендации разделил на 2 части - те, что надо реализовать на
Control Plane и те, что на Workloads. Для первой категории по большому счету нужно что-то указать, поставить, использовать - есть четкое руководство к действию. Во второй категории все намного сложнее - тут вы должны понять, разобраться, сконфигурировать и все в зависимости от конкретно ваших приложений, что крутятся в кластере. Также продолжая сравнения, можно сказать, что для первой категории все уже есть и просто отключено для простого старта использования (никто не хочет, чтобы при первом знакомстве с чем-то новым ломался мозг - чем проще, тем лучше). Во втором случае просто даются механизмы, которые можно использовать (или не использовать) для обеспечения безопасности своих приложений.
Это приводит к мысли о том, что как бы вы отлично не знали все настройки безопасности Kubernetes, без знания что и как делают ваши приложения в нем добиться хорошей безопасности невозможно.
Kubernetes
11 Ways (Not) to Get Hacked
Kubernetes security has come a long way since the project's inception, but still contains some gotchas. Starting with the control plane, building up through workload and network security, and finishing with a projection into the future of security, here is…
DSO_Community_Survey_2020_ru_.pdf
16.3 MB
DevSecOps Community Survey 2020
Swordfish Security представили перевод ежегодного отчета DevSecOps Community Survey 2020 от Sonatype на русском языке. Основная цель отчета - показать как меняется жизнь компании, в особенности разработчиков, после внедрения практик безопасной разработки.
#report #dev
Swordfish Security представили перевод ежегодного отчета DevSecOps Community Survey 2020 от Sonatype на русском языке. Основная цель отчета - показать как меняется жизнь компании, в особенности разработчиков, после внедрения практик безопасной разработки.
#report #dev
AWS Exposable Resources
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
GitHub
GitHub - cr0hn/festin: FestIn - Open S3 Bucket Scanner
FestIn - Open S3 Bucket Scanner. Contribute to cr0hn/festin development by creating an account on GitHub.
How To Set Up and Secure an etcd Cluster with Ansible on Ubuntu 18.04
Настройка 3-нодового etcd-кластера на Ubuntu 18.04 и его защита с помощью TLS. Вся установка реализовывается через Ansible.
https://www.digitalocean.com/community/tutorials/how-to-set-up-and-secure-an-etcd-cluster-with-ansible-on-ubuntu-18-04
Кстати, здесь вы можете познакомиться с недавно проведенным аудитом etcd и тем, какие уязвимости были выявлены.
#k8s #ops
Настройка 3-нодового etcd-кластера на Ubuntu 18.04 и его защита с помощью TLS. Вся установка реализовывается через Ansible.
https://www.digitalocean.com/community/tutorials/how-to-set-up-and-secure-an-etcd-cluster-with-ansible-on-ubuntu-18-04
Кстати, здесь вы можете познакомиться с недавно проведенным аудитом etcd и тем, какие уязвимости были выявлены.
#k8s #ops
Securing Your Terraform Pipelines with Conftest, Regula, and OPA
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
www.openpolicyagent.org
Introduction | Open Policy Agent
The Open Policy Agent (OPA, pronounced "oh-pa") is an open source,
Forwarded from Технологический Болт Генона
Про OPA больше я тут писал
https://yangx.top/tech_b0lt_Genona/1208
https://yangx.top/tech_b0lt_Genona/1268
https://yangx.top/tech_b0lt_Genona/1208
https://yangx.top/tech_b0lt_Genona/1268
Telegram
Технологический Болт Генона
Microservices Security Pattern — Implementing a policy based security for microservices with OPA
https://medium.com/microservices-learning/micoservices-security-pattern-implementing-a-policy-based-security-for-microservices-with-opa-f15164a79b0e
https://medium.com/microservices-learning/micoservices-security-pattern-implementing-a-policy-based-security-for-microservices-with-opa-f15164a79b0e
Mechanizing the Methodology: How to find vulnerabilities while you’re doing other things
Доклад с DEF CON 2020, в котором Daniel Miessler рассказывает об автоматизации OSINT и поиске дефектов. В частности, будут затронуты темы мониторинга (через cron), нотификации (slack, amazon ses) и развертывания. Также был упомянут ряд фреймворков для упрощения автоматизации: OWASP Amass, Intrigue, SpiderFoot.
Доклад: https://www.youtube.com/watch?v=URBnM6gGODo
Текстовая версия: https://tldrsec.com/blog/mechanizing-the-methodology/
#tools #talks
Доклад с DEF CON 2020, в котором Daniel Miessler рассказывает об автоматизации OSINT и поиске дефектов. В частности, будут затронуты темы мониторинга (через cron), нотификации (slack, amazon ses) и развертывания. Также был упомянут ряд фреймворков для упрощения автоматизации: OWASP Amass, Intrigue, SpiderFoot.
Доклад: https://www.youtube.com/watch?v=URBnM6gGODo
Текстовая версия: https://tldrsec.com/blog/mechanizing-the-methodology/
#tools #talks
Advanced API Security_ OAuth 2.0 And Beyond.pdf
11.8 MB
Advanced API Security
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops
Forwarded from CloudSec Wine
Cyber_Security_on_Azure_An_IT_Professional’s_Guide_to_Microsoft.pdf
12.1 MB
🔹Cyber Security on Azure
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature
Krane - Kubernetes RBAC static analysis tool
Krane - open source утилита, выполняющая статический анализ RBAC за счет индексации объектов RBAC в RedisGraph. Управление рисками RBAC происходит через настройку политик. Krane может работать как CLI, docker-контейнер или автономная служба для непрерывного анализа, а также быть встроенным в CI/CD. Также есть возможность построения отчетов, выполнения мониторинга и алертинга.
Кстати, лучшие практики по RBAC можно найти здесь: https://rbac.dev
#k8s #tools #ops
Krane - open source утилита, выполняющая статический анализ RBAC за счет индексации объектов RBAC в RedisGraph. Управление рисками RBAC происходит через настройку политик. Krane может работать как CLI, docker-контейнер или автономная служба для непрерывного анализа, а также быть встроенным в CI/CD. Также есть возможность построения отчетов, выполнения мониторинга и алертинга.
Кстати, лучшие практики по RBAC можно найти здесь: https://rbac.dev
#k8s #tools #ops
Secure Development Guidelines
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev
This media is not supported in your browser
VIEW IN TELEGRAM
Anchore Toolbox
Помимо известного Anchore Engine, в арсенале open source Anchore недавно появились такие инструменты как syft и grype.
Grype - сканер уязвимостей для образов контейнеров, пакетов операционных систем (Alpne, BusyBox, CentOS, Debian, Ubuntu), а также таких пакетов как Ruby Bundler, JARs, NPM, Egg/Wheel, Pip.
Syft - CLI, которая умеет создавать спецификации зависимостей (SBOM) из тех же образов контейнеров, дистрибутивов Linux (Apline, BusyBox, CentOS, Debian, Ubuntu), а также пакетов вроде APK, DEB, NPM, Go.
И из future plans Grype научится принимать в качестве входных параметров как SBOM от Syft, так и CycloneDX (!). Кажется, что скоро надо будет делать сравнение SCA от OWASP и Anchore...
#tools #sca #dev
Помимо известного Anchore Engine, в арсенале open source Anchore недавно появились такие инструменты как syft и grype.
Grype - сканер уязвимостей для образов контейнеров, пакетов операционных систем (Alpne, BusyBox, CentOS, Debian, Ubuntu), а также таких пакетов как Ruby Bundler, JARs, NPM, Egg/Wheel, Pip.
Syft - CLI, которая умеет создавать спецификации зависимостей (SBOM) из тех же образов контейнеров, дистрибутивов Linux (Apline, BusyBox, CentOS, Debian, Ubuntu), а также пакетов вроде APK, DEB, NPM, Go.
И из future plans Grype научится принимать в качестве входных параметров как SBOM от Syft, так и CycloneDX (!). Кажется, что скоро надо будет делать сравнение SCA от OWASP и Anchore...
#tools #sca #dev
Building a SIEM: combining ELK, Wazuh HIDS and Elastalert for optimal performance
Статья про построение SOC на 20 тысяч хостов на основе инструментов без дорогой единовременной лицензии. В статье рассматриваются минусы такой системы в сравнении с тем же Splunk, а также несколько мыслей по поводу того, что нужно иметь в виду при построении подобной архитектуры. Основной минус - тяжелая поддержка. Приходится отдельно настраивать правила для быстрого Wazuh, и медленного, но подробного Elastalert.
https://medium.com/bugbountywriteup/building-a-siem-combining-elk-wazuh-hids-and-elastalert-for-optimal-performance-f1706c2b73c6
#ops #tools
Статья про построение SOC на 20 тысяч хостов на основе инструментов без дорогой единовременной лицензии. В статье рассматриваются минусы такой системы в сравнении с тем же Splunk, а также несколько мыслей по поводу того, что нужно иметь в виду при построении подобной архитектуры. Основной минус - тяжелая поддержка. Приходится отдельно настраивать правила для быстрого Wazuh, и медленного, но подробного Elastalert.
https://medium.com/bugbountywriteup/building-a-siem-combining-elk-wazuh-hids-and-elastalert-for-optimal-performance-f1706c2b73c6
#ops #tools
DevSecOps: принципы работы и сравнение SCA. Часть первая
Рад объявить о том, что мы запустили блог на Хабре и серию статей по DevSecOps на русском языке. Первая статья - "Принципы работы и сравнение SCA". В этой статье я рассказываю, что такое Software Composition Analysis, как он работает, при чем здесь BOM и что это такое, какие фолзы выдают SCA и как их выявлять, а также табличка с функциональным сравнением. Вся статья построена вокруг двух самых известных open source решений Dependency Check, Dependency Track и коммерческего решения Nexus IQ.
https://habr.com/ru/company/swordfish_security/blog/516660/
В следующих частях планируем написать о встраивании SCA в CI/CD, сравнении результатов различных DAST и многом другом.
#sca #tools #dev
Рад объявить о том, что мы запустили блог на Хабре и серию статей по DevSecOps на русском языке. Первая статья - "Принципы работы и сравнение SCA". В этой статье я рассказываю, что такое Software Composition Analysis, как он работает, при чем здесь BOM и что это такое, какие фолзы выдают SCA и как их выявлять, а также табличка с функциональным сравнением. Вся статья построена вокруг двух самых известных open source решений Dependency Check, Dependency Track и коммерческего решения Nexus IQ.
https://habr.com/ru/company/swordfish_security/blog/516660/
В следующих частях планируем написать о встраивании SCA в CI/CD, сравнении результатов различных DAST и многом другом.
#sca #tools #dev
Golang Security
В силу того, что все больше компаний начинают переписывать свои сервисы на golang, решил сделать подборку по аспектам безопасности этого языка.
Awesome golang security - подборка лучших практик, включая библиотеки, фреймворки для харденинга, статьи
OWASP Go-SCP - лучшие практики по написанию безопасного кода на Go от OWASP
Go-ing for an Evening Stroll: Golang Beasts & Where to Find Them - обсуждение 4х распространенных уязвимостей в Golang. Репо с расширенной версией доклада + слайды
Статические анализаторы: gosec, golangci-lint, safesql
Not-going -anywhere - набор уязвимых программ на Golang для выявления распространенных уязвимостей.
OnEdge - библиотека для обнаружения неправильного использования паттернов Defer, Panic, Recover.
#dev
В силу того, что все больше компаний начинают переписывать свои сервисы на golang, решил сделать подборку по аспектам безопасности этого языка.
Awesome golang security - подборка лучших практик, включая библиотеки, фреймворки для харденинга, статьи
OWASP Go-SCP - лучшие практики по написанию безопасного кода на Go от OWASP
Go-ing for an Evening Stroll: Golang Beasts & Where to Find Them - обсуждение 4х распространенных уязвимостей в Golang. Репо с расширенной версией доклада + слайды
Статические анализаторы: gosec, golangci-lint, safesql
Not-going -anywhere - набор уязвимых программ на Golang для выявления распространенных уязвимостей.
OnEdge - библиотека для обнаружения неправильного использования паттернов Defer, Panic, Recover.
#dev