Observability Conf
Всем привет!
19 марта в Москве состоится Observability Conf — отраслевая конференция для всех, кто отвечает за надежность и предсказуемость цифровых сервисов.
В программе — выступления от VK, Ozon, «Газпромбанка», «Лаборатории Касперского», «Инфосистемы Джет», X5 Digital, Proto, «Лаборатории Числитель», «Петрович.Тех» и других. А участие — бесплатное.
Эксперты обсудят как:
🍭 Работать с мониторингом как в условиях ограниченных ресурсов и отсутствия зрелых процессов, так и в масштабных корпоративных инфраструктурах.
🍭 Перейти от набора метрик к осмысленной наблюдаемости.
🍭 Выстроить эффективную работу с инцидентами.
🍭 Использовать современные инструменты, включая ИИ, для повышения устойчивости систем.
Места на офлайн ограничены площадкой, успевайте зарегистрироваться.
Всем привет!
19 марта в Москве состоится Observability Conf — отраслевая конференция для всех, кто отвечает за надежность и предсказуемость цифровых сервисов.
В программе — выступления от VK, Ozon, «Газпромбанка», «Лаборатории Касперского», «Инфосистемы Джет», X5 Digital, Proto, «Лаборатории Числитель», «Петрович.Тех» и других. А участие — бесплатное.
Эксперты обсудят как:
🍭 Работать с мониторингом как в условиях ограниченных ресурсов и отсутствия зрелых процессов, так и в масштабных корпоративных инфраструктурах.
🍭 Перейти от набора метрик к осмысленной наблюдаемости.
🍭 Выстроить эффективную работу с инцидентами.
🍭 Использовать современные инструменты, включая ИИ, для повышения устойчивости систем.
Места на офлайн ограничены площадкой, успевайте зарегистрироваться.
🔥6❤2🥰2
Astrological CPU Scheduler
Всем привет!
Человек не всесилен, многое ему неподвластно и иногда требуется помощь «свыше»! Для этого, например, можно воспользоваться Astrological CPU Scheduler.
Эта эзотерическая утилита позволяет реализовывать CPU Scheduling Decisions с учётом расположения планет, особенностей знаков зодиака и иных ключевых астрологических принципов.
Из значимого функционала можно выделить:
🍭 Точный расчет положения планет
🍭 Знание особенностей знаков зодиака
🍭 Определение ретроградности
🍭 Анализ фаз луны
🍭 Учет влияния огненных и водных знаков
Всё это и даже больше используется для того, чтобы сделать корректные настройки.
Если этого недостаточно, то можно обратиться к ресурсу, в котором представлен календарь, подсказывающий лучшие даты для «деплоя в продакшен» с разбивкой по знакам зодиака.
P.S. Да, просто шуточный пятничный пост 😅(или нет?! 🤔) .
Серьезное в нём лишь то, что мы желаем вам стабильных релизов, безопасных обновлений и удачных «деплоев в продакшен» 🤗.
С пятницей!!! Отличного всем вечера и прекрасных выходных!!!
Всем привет!
Человек не всесилен, многое ему неподвластно и иногда требуется помощь «свыше»! Для этого, например, можно воспользоваться Astrological CPU Scheduler.
Эта эзотерическая утилита позволяет реализовывать CPU Scheduling Decisions с учётом расположения планет, особенностей знаков зодиака и иных ключевых астрологических принципов.
Из значимого функционала можно выделить:
🍭 Точный расчет положения планет
🍭 Знание особенностей знаков зодиака
🍭 Определение ретроградности
🍭 Анализ фаз луны
🍭 Учет влияния огненных и водных знаков
Всё это и даже больше используется для того, чтобы сделать корректные настройки.
Если этого недостаточно, то можно обратиться к ресурсу, в котором представлен календарь, подсказывающий лучшие даты для «деплоя в продакшен» с разбивкой по знакам зодиака.
P.S. Да, просто шуточный пятничный пост 😅
Серьезное в нём лишь то, что мы желаем вам стабильных релизов, безопасных обновлений и удачных «деплоев в продакшен» 🤗.
С пятницей!!! Отличного всем вечера и прекрасных выходных!!!
GitHub
GitHub - zampierilucas/scx_horoscope: Astrological CPU Scheduler
Astrological CPU Scheduler. Contribute to zampierilucas/scx_horoscope development by creating an account on GitHub.
😁9👎2❤1🥴1🤨1🙈1
SITF: SDLC Infrastructure Threat Framework.
Всем привет!
SITF – открытый framework от Wiz, который может быть использован для защиты элементов ИТ-инфраструктуры, которые используются при разработке ПО.
Он «разбит» на 5 основных разделов:
🍭 Endpoint/IDE
🍭 VCS
🍭 CI/CD
🍭 Registry
🍭 Production/Cloud
Для каждого раздела описаны техники атак (суммарно их более 70 на текущий момент): указан перечень рисков и возможные способы контроля.
Еще одной интересной особенностью является Attack Flow Visualizer. Он представляет из себя интерактивный drag’n’drop инструмент для визуализации атак.
Работает примерно так: берем компоненты из разделов (IDE, VCS, CI/CD и т.д.), добавляем техники и создаем сценарии атак.
В качестве примера в статье рассмотрен Shai-Hulud-2.0 и его анализ с использованием SITF.
А если и этого мало, то можно скачать SITF в качестве «плаката» и хоть на стену вешай!
Всем привет!
SITF – открытый framework от Wiz, который может быть использован для защиты элементов ИТ-инфраструктуры, которые используются при разработке ПО.
Он «разбит» на 5 основных разделов:
🍭 Endpoint/IDE
🍭 VCS
🍭 CI/CD
🍭 Registry
🍭 Production/Cloud
Для каждого раздела описаны техники атак (суммарно их более 70 на текущий момент): указан перечень рисков и возможные способы контроля.
Еще одной интересной особенностью является Attack Flow Visualizer. Он представляет из себя интерактивный drag’n’drop инструмент для визуализации атак.
Работает примерно так: берем компоненты из разделов (IDE, VCS, CI/CD и т.д.), добавляем техники и создаем сценарии атак.
В качестве примера в статье рассмотрен Shai-Hulud-2.0 и его анализ с использованием SITF.
А если и этого мало, то можно скачать SITF в качестве «плаката» и хоть на стену вешай!
wiz.io
SITF: The First Threat Framework for SDLC Infrastructure | Wiz Blog
Introducing SITF, an open framework to map and block supply chain attacks. Visualize threats across Endpoint, VCS, CI/CD, and Registry with 70+ techniques.
❤7👍4
MCP Scan
Всем привет!
MCP Scan – open-source утилита, которая позволяет выявлять уязвимости при работе с агентами, MCP и навыками (skills).
Доступен следующий функционал:
🍭 Автоматическое обнаружение конфигурации MCP, агентов и навыков
🍭 Идентификация Prompt Injection, Tool Poisoning атак и Toxic Flaws в MCP
🍭 Анализ агентов и навыков для выявления Prompt Injection, вредоносного ПО, работы с чувствительными данными и не только
Работает с Claude, Cursor, Windsurf и не только. Устанавливается и запускается просто, сразу готов к работе.
Можно запускать в нескольких режимах. Пассивное сканирование – запускается по запросу и предоставляет результат. Активный proxy – MCP Scan анализирует все взаимодействие и сразу сообщает о подозрительной активности.
Больше про утилиту можно прочесть в GitHub-репозитории или в официальной документации.
Всем привет!
MCP Scan – open-source утилита, которая позволяет выявлять уязвимости при работе с агентами, MCP и навыками (skills).
Доступен следующий функционал:
🍭 Автоматическое обнаружение конфигурации MCP, агентов и навыков
🍭 Идентификация Prompt Injection, Tool Poisoning атак и Toxic Flaws в MCP
🍭 Анализ агентов и навыков для выявления Prompt Injection, вредоносного ПО, работы с чувствительными данными и не только
Работает с Claude, Cursor, Windsurf и не только. Устанавливается и запускается просто, сразу готов к работе.
Можно запускать в нескольких режимах. Пассивное сканирование – запускается по запросу и предоставляет результат. Активный proxy – MCP Scan анализирует все взаимодействие и сразу сообщает о подозрительной активности.
Больше про утилиту можно прочесть в GitHub-репозитории или в официальной документации.
GitHub
GitHub - snyk/agent-scan: Security scanner for AI agents, MCP servers and agent skills.
Security scanner for AI agents, MCP servers and agent skills. - snyk/agent-scan
❤3👍3
CVE Quality-by-Design Manifesto
Всем привет!
Что такое CVE известно всем и каждому, кто имеет отношение к информационной безопасности. Многие годы собиралась информация об уязвимостях.
И каждый год их становится только больше (на этом сайте удобно посмотреть ретроспективу, начиная с 1999 года и до нынешнего времени).
По мнению Автора статьи пора переходить от «количества» к «качеству», ведь то, что мы имеем сейчас (далеко) не всегда может быть полезно и применимо.
Автор предлагает сфокусироваться на:
🍭 Completeness. Заполнение данных о всех возможных полях, предоставление понятной информации о том, «что это такое и почему это плохо»
🍭 Accuracy. Гомогенность данных, отсутствие устаревшей информации, точность описания
🍭 Timeliness. Своевременное внесение информации об уязвимостях и изменении в них
🍭 Utility. Определение того, насколько полезна запись для принятия решений
🍭 Enrichment. Предоставление дополнительной информации об уязвимости (помимо референсов)
Да, с одной стороны, звучит как «за всё хорошее против всего плохого».
С другой – с таким ростом количества записей о CVE инструмент может стать достаточно бесполезным, если не предпринимать никаких усилий для того, чтобы сделать данные более целесообразными для использования.
А вы согласны с Автором статьи или всё итак нормально и вполне себе работает без каких-либо изменений?
Всем привет!
Что такое CVE известно всем и каждому, кто имеет отношение к информационной безопасности. Многие годы собиралась информация об уязвимостях.
И каждый год их становится только больше (на этом сайте удобно посмотреть ретроспективу, начиная с 1999 года и до нынешнего времени).
По мнению Автора статьи пора переходить от «количества» к «качеству», ведь то, что мы имеем сейчас (далеко) не всегда может быть полезно и применимо.
Автор предлагает сфокусироваться на:
🍭 Completeness. Заполнение данных о всех возможных полях, предоставление понятной информации о том, «что это такое и почему это плохо»
🍭 Accuracy. Гомогенность данных, отсутствие устаревшей информации, точность описания
🍭 Timeliness. Своевременное внесение информации об уязвимостях и изменении в них
🍭 Utility. Определение того, насколько полезна запись для принятия решений
🍭 Enrichment. Предоставление дополнительной информации об уязвимости (помимо референсов)
Да, с одной стороны, звучит как «за всё хорошее против всего плохого».
С другой – с таким ростом количества записей о CVE инструмент может стать достаточно бесполезным, если не предпринимать никаких усилий для того, чтобы сделать данные более целесообразными для использования.
А вы согласны с Автором статьи или всё итак нормально и вполне себе работает без каких-либо изменений?
Medium
CVE Quality-by-Design Manifesto
Introduction
👍1
Раннее обнаружение «CVE» с использованием LLM
Всем привет!
Регистрация CVE требует некоторого времени. При этом, информация о том, что именно было исправлено в проекте, для которого регистрируется CVE, доступна сильно раньше. Её только надо найти.
Бывают и более пугающие случаи: когда было сделано обновление по устранению уязвимости, но CVE никогда не присваивалась. Однако, информация об обновлении все равно доступна в GitHub-репозитории (для open-source проектов). И все точно также – её только надо найти.
Именно этой задачей и озаботился Автор статьи. С использованием LLM он создал GitHub Action, который на периодической основе анализировал заданный перечень open-source репозиториев.
Для этого извлекались новые коммиты и передавались в Claude, задачей которого было определить – устранялись ли уязвимости или нет.
Однако, такой подход создавал как false positive, так и false negative-результаты.
Для устранения этого недостатка Автор немного адаптировал подход и используемые инструкции (все в явном виде указано в статье).
В итоге все вышло «не без шероховатостей», но тем не менее – PoC был реализован и с его результатами можно ознакомиться по ссылке.
Зато! Это решает задачу получения информации об исправлении уязвимости максимально рано, не дожидаясь публикации CVE, обновления баз данных анализаторов и т.д.
Всем привет!
Регистрация CVE требует некоторого времени. При этом, информация о том, что именно было исправлено в проекте, для которого регистрируется CVE, доступна сильно раньше. Её только надо найти.
Бывают и более пугающие случаи: когда было сделано обновление по устранению уязвимости, но CVE никогда не присваивалась. Однако, информация об обновлении все равно доступна в GitHub-репозитории (для open-source проектов). И все точно также – её только надо найти.
Именно этой задачей и озаботился Автор статьи. С использованием LLM он создал GitHub Action, который на периодической основе анализировал заданный перечень open-source репозиториев.
Для этого извлекались новые коммиты и передавались в Claude, задачей которого было определить – устранялись ли уязвимости или нет.
Однако, такой подход создавал как false positive, так и false negative-результаты.
Для устранения этого недостатка Автор немного адаптировал подход и используемые инструкции (все в явном виде указано в статье).
В итоге все вышло «не без шероховатостей», но тем не менее – PoC был реализован и с его результатами можно ознакомиться по ссылке.
Зато! Это решает задачу получения информации об исправлении уязвимости максимально рано, не дожидаясь публикации CVE, обновления баз данных анализаторов и т.д.
spaceraccoon.dev
Discovering Negative-Days with LLM Workflows
It’s no longer just about reverse-engineering n-days. You can detect vulnerabilities in open-source repositories before a CVE is published - or even if they’re never published. Here’s how I built an LLM workflow to detect “negative-days” and “never-days”.
👍4❤2
🔐 Sec в DevSecOps: ищем баланс безопасности в процессе разработки!
Всем привет!👋
🤔 Знакомая ситуация? Безопасность важна, но не хочется превращать процесс разработки в бесконечную череду проверок и согласований!
В нашей новой статье разобрали самые острые вопросы интеграции безопасности в DevOps:
📊 4 подхода к внедрению Security в процессы разработки
🛠 Shift-Down Security — плюсы и минусы революционного подхода
🏢 Платформенный подход как способ облегчить жизнь разработчикам
🔥 Главное — найти баланс между защитой приложения и комфортом команды!
🔍 Читайте подробнее в посте на Хабре
Всем привет!👋
🤔 Знакомая ситуация? Безопасность важна, но не хочется превращать процесс разработки в бесконечную череду проверок и согласований!
В нашей новой статье разобрали самые острые вопросы интеграции безопасности в DevOps:
📊 4 подхода к внедрению Security в процессы разработки
🛠 Shift-Down Security — плюсы и минусы революционного подхода
🏢 Платформенный подход как способ облегчить жизнь разработчикам
🔥 Главное — найти баланс между защитой приложения и комфортом команды!
🔍 Читайте подробнее в посте на Хабре
Хабр
Sec в DevSecOps — в чем разница подходов
Привет, Хабр! Меня зовут Рома Корчагин, я занимаюсь внедрением процессов безопасной разработки в продукте «Штурвал» от «Лаборатории Числитель». Наша платформа позволяет создавать сотни кластеров и...
10🔥8❤4👍2
Новый релиз JCSF!
Чудеса случаются, если в них верить! Доказательство этому - новый релиз JCSF! 😊
В этой версии мы:
1. Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
2. Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
3. Для соответствующих практик указали маппинг на Угрозы Безопасности Информации (УБИ) ФСТЭК
4. Причесали дизайн и внешний вид
В планах:
1. Сделать расчет FTE на задачи ИБ в средах контейнеризации и контейнерной оркестрации
2. Актуализировать связь контролей (вкладка "Контроли") и соответствующих групп практик
Если у вас есть вопросы или непреодолимое желание поучаствовать в развитии Jet Container Security Framework (JCSF) - обязательно пишите нам здесь в комментариях или на почту [email protected]
Чудеса случаются, если в них верить! Доказательство этому - новый релиз JCSF! 😊
В этой версии мы:
1. Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
2. Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
3. Для соответствующих практик указали маппинг на Угрозы Безопасности Информации (УБИ) ФСТЭК
4. Причесали дизайн и внешний вид
В планах:
1. Сделать расчет FTE на задачи ИБ в средах контейнеризации и контейнерной оркестрации
2. Актуализировать связь контролей (вкладка "Контроли") и соответствующих групп практик
Если у вас есть вопросы или непреодолимое желание поучаствовать в развитии Jet Container Security Framework (JCSF) - обязательно пишите нам здесь в комментариях или на почту [email protected]
GitHub
Release 13.02.2026 · Jet-Security-Team/Jet-Container-Security-Framework
Список изменений:
Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
Для соответствующих практ...
Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
Для соответствующих практ...
15🔥9❤🔥2🥰1
Guardon: анализ манифестов… в браузере!
Всем привет!
Для анализа Kubernetes-манифестов на соответствие лучшим практикам по информационной безопасности есть «проверенные временем» решения.
Например, Kyverno и OPA Gatekeeper.
Работают они перед тем, как ресурс будет создан в кластере. Хочется левее? И это можно. Например, в CI/CD. Еще левее? И да, так тоже можно!
Например, с использованием Guardon. Он представляет из себя браузерное расширение (Chrome), которое анализирует просматриваемые манифесты «прямо на месте».
Что он может:
🍭 Создавать правила с использованием собственного конструктора
🍭 Находить «проблемные места» в открытом манифесте
🍭 Предлагать решение найденных недостатков (генерация обновлённого yaml)
🍭 Копировать полученный результат для дальнейшей работы
🍭 Объяснять почему так (не) надо делать
🍭 Импортировать правила из Kyverno (пока что реализован прототип)
🍭Даже тёмная тема есть!!!
Удобно, что конструктор правил позволяет добавить необходимую информацию «от себя».
Посмотреть на него «в действии» можно в ролике, указанном в репозитории.
Да, достаточно молодая разработка, но выглядит достаточно интересно и подход может применяться на практике.
А вы бы стали использовать нечто подобное?
Всем привет!
Для анализа Kubernetes-манифестов на соответствие лучшим практикам по информационной безопасности есть «проверенные временем» решения.
Например, Kyverno и OPA Gatekeeper.
Работают они перед тем, как ресурс будет создан в кластере. Хочется левее? И это можно. Например, в CI/CD. Еще левее? И да, так тоже можно!
Например, с использованием Guardon. Он представляет из себя браузерное расширение (Chrome), которое анализирует просматриваемые манифесты «прямо на месте».
Что он может:
🍭 Создавать правила с использованием собственного конструктора
🍭 Находить «проблемные места» в открытом манифесте
🍭 Предлагать решение найденных недостатков (генерация обновлённого yaml)
🍭 Копировать полученный результат для дальнейшей работы
🍭 Объяснять почему так (не) надо делать
🍭 Импортировать правила из Kyverno (пока что реализован прототип)
🍭
Удобно, что конструктор правил позволяет добавить необходимую информацию «от себя».
Посмотреть на него «в действии» можно в ролике, указанном в репозитории.
Да, достаточно молодая разработка, но выглядит достаточно интересно и подход может применяться на практике.
А вы бы стали использовать нечто подобное?
GitHub
GitHub - sajal-n/guardon: Browser extension for Kubernetes YAML guardrails – security & compliance linting directly in GitHub/GitLab.
Browser extension for Kubernetes YAML guardrails – security & compliance linting directly in GitHub/GitLab. - sajal-n/guardon
❤4👍2
SSCR_2026_final.pdf
2.6 MB
State of the Software Supply Chain
Всем привет!
В приложении можно скачать отчёт (~ 70 страниц), подготовленный Sonatype и посвященный вопросам обеспечения безопасности цепочки поставки.
Из интересного можно выделить:
🍭 1 233 219 – столько open source пакетов, содержащих вредоносное ПО было выявлено Sonatype с 2019 года
🍭 454 648 – а столько open source пакетов с вредоносным ПО ребята нашли в 2025
🍭 38,5% - количество CVE 2025 года, которые получили оценку «Критичная» (CVSS 9.0+)
🍭 35% - для такого количества CVE потребовалось более 3х месяцев на заполнение необходимых данных
🍭 27,76% - процент галлюцинаций нейросетей при формировании рекомендаций по обновлению зависимостей
Также в отчёте можно найти интересную статистику по индексам для разных языков программирования: насколько увеличилось количество скачиваний (в год), сколько (в среднем) содержат CVE, сколько пакетов добавлено и т.д.
Много интересных данных, комментариев и рассуждений от Авторов.
Рекомендуем!
Всем привет!
В приложении можно скачать отчёт (~ 70 страниц), подготовленный Sonatype и посвященный вопросам обеспечения безопасности цепочки поставки.
Из интересного можно выделить:
🍭 1 233 219 – столько open source пакетов, содержащих вредоносное ПО было выявлено Sonatype с 2019 года
🍭 454 648 – а столько open source пакетов с вредоносным ПО ребята нашли в 2025
🍭 38,5% - количество CVE 2025 года, которые получили оценку «Критичная» (CVSS 9.0+)
🍭 35% - для такого количества CVE потребовалось более 3х месяцев на заполнение необходимых данных
🍭 27,76% - процент галлюцинаций нейросетей при формировании рекомендаций по обновлению зависимостей
Также в отчёте можно найти интересную статистику по индексам для разных языков программирования: насколько увеличилось количество скачиваний (в год), сколько (в среднем) содержат CVE, сколько пакетов добавлено и т.д.
Много интересных данных, комментариев и рассуждений от Авторов.
Рекомендуем!
❤10
A Brief Deep-Dive into Attacking and Defending Kubernetes
Всем привет!
По ссылке доступен материал, который может быть полезен, если вы начинаете изучать безопасность Kubernetes.
В нём Автор постепенно переходит от того, как устроен оркестратор к различным способам атак на него.
Рассматриваются такие разделы, как:
🍭 Unauthenticated API Access
🍭 Overly Permissive Role-based Access Control
🍭 SeviceAccount Token Abuse
🍭 Malicious Admission Controllers
🍭 CoreDNS Poisoning и не только
Материал хорош тем, что в нём собрано много всего интересного и полезного в единой «точке».
Кроме того, для каждого раздела Автор приводит наглядные примеры со скриншотами и конфигурациями.
Всем привет!
По ссылке доступен материал, который может быть полезен, если вы начинаете изучать безопасность Kubernetes.
В нём Автор постепенно переходит от того, как устроен оркестратор к различным способам атак на него.
Рассматриваются такие разделы, как:
🍭 Unauthenticated API Access
🍭 Overly Permissive Role-based Access Control
🍭 SeviceAccount Token Abuse
🍭 Malicious Admission Controllers
🍭 CoreDNS Poisoning и не только
Материал хорош тем, что в нём собрано много всего интересного и полезного в единой «точке».
Кроме того, для каждого раздела Автор приводит наглядные примеры со скриншотами и конфигурациями.
heilancoos.github.io
A Brief Deep-Dive into Attacking and Defending Kubernetes
What attackers do in Kubernetes and how to catch them.
👍5
BadPods: «всё разрешено» на AWS EKS
Всем привет!
Есть такой проект – BadPods – в котором собраны 8 «плохих» конфигураций для
«Плохими» они являются потому, что недостатки в их конфигурации могут привести к серьезным последствиям по информационной безопасности.
В статье Автор разбирает самый первый и самый «простой» из них – Everything Allowed.
Получается следующий сценарий:
🍭 Использование ошибок в конфигурации для побега (escape) на узел кластера
🍭 Горизонтальное перемещение, поиск «жертвы»
🍭 Побег (escape), но уже на уровень самого облака
Да, с такой конфигурацией
Помимо этого, рекомендуем посмотреть на все 8 BadPods, т.к. проект позволяет наглядно убедиться, чем «плоха» та или иная конфигурация.
Для каждого из них есть детальное описание, которое позволит воспроизвести весь пусть самостоятельно.
Всем привет!
Есть такой проект – BadPods – в котором собраны 8 «плохих» конфигураций для
pod, запускаемых в кластере Kubernetes.«Плохими» они являются потому, что недостатки в их конфигурации могут привести к серьезным последствиям по информационной безопасности.
В статье Автор разбирает самый первый и самый «простой» из них – Everything Allowed.
Получается следующий сценарий:
🍭 Использование ошибок в конфигурации для побега (escape) на узел кластера
🍭 Горизонтальное перемещение, поиск «жертвы»
🍭 Побег (escape), но уже на уровень самого облака
Да, с такой конфигурацией
pod реализовать это не очень сложно, но материал может быть полезен для начинающих.Помимо этого, рекомендуем посмотреть на все 8 BadPods, т.к. проект позволяет наглядно убедиться, чем «плоха» та или иная конфигурация.
Для каждого из них есть детальное описание, которое позволит воспроизвести весь пусть самостоятельно.
CyberSec Nerds
BadPods Series: Everything Allowed on AWS EKS - CyberSec Nerds
Let's start with Bad Pod #1: Everything Allowed, which is a pod with every dangerous configuration enabled. These are intentionally insecure defaults designed to show the different possible ways to attack a cluster.
❤3🔥2
KubeStellar Console: еще один Kubernetes UI?
Всем привет!
KubeStellar Console – open-source проект, который представляет из себя Kubernetes Dashboard, позволяющий работать с несколькими кластерами.
И вроде всё как всегдавсё те же чашки, ложки, но да не совсем!
Отличительной особенностью KubeStellar Console является адаптивность: он анализирует то, как вы работаете с кластерами и «подстраивает» отображение под ваши предпочтения.
Самостоятельно. С использованием ИИ.
Если говорить про общие функции, то можно выделить следующие:
🍭 Работа с множеством кластеров (OpenShift, GKE, EKS, Kind, или иной «дистрибутив» Kubernetes
🍭 Персонализированные dashboard’ы
🍭 Обновления состояния в режиме реального времени
🍭 Отслеживание состояния «здоровья» всех приложений
🍭 Уведомления через Slack, почту или с использованием webhook
После установки KubeStellar Console «спросит» у вас несколько вопросов (ваша роль, что наиболее интересно, используете ли GitOps и т.д.).
На основании ответов будет создан dashboard, соответствующий вашим предпочтениям.
Далее он анализирует ваше поведение в «повседневной деятельности»: что вы часто используете, что не очень, на каких «экранах» останавливаетесь и т.д.
Используя эти данные KubeStellar Console предложит варианты по изменению «внешнего вида».
Звучит достаточно интересно. Насколько это применимо на практике – вопрос.
Возможно, что кто-то уже им пользовался – пишите в комментариях свои впечатления.
И, по традиции, больше подробностей про KubeStellar Console можно найти в GitHub-репозитрии проекта и в документации.
Всем привет!
KubeStellar Console – open-source проект, который представляет из себя Kubernetes Dashboard, позволяющий работать с несколькими кластерами.
И вроде всё как всегда
Отличительной особенностью KubeStellar Console является адаптивность: он анализирует то, как вы работаете с кластерами и «подстраивает» отображение под ваши предпочтения.
Самостоятельно. С использованием ИИ.
Если говорить про общие функции, то можно выделить следующие:
🍭 Работа с множеством кластеров (OpenShift, GKE, EKS, Kind, или иной «дистрибутив» Kubernetes
🍭 Персонализированные dashboard’ы
🍭 Обновления состояния в режиме реального времени
🍭 Отслеживание состояния «здоровья» всех приложений
🍭 Уведомления через Slack, почту или с использованием webhook
После установки KubeStellar Console «спросит» у вас несколько вопросов (ваша роль, что наиболее интересно, используете ли GitOps и т.д.).
На основании ответов будет создан dashboard, соответствующий вашим предпочтениям.
Далее он анализирует ваше поведение в «повседневной деятельности»: что вы часто используете, что не очень, на каких «экранах» останавливаетесь и т.д.
Используя эти данные KubeStellar Console предложит варианты по изменению «внешнего вида».
Звучит достаточно интересно. Насколько это применимо на практике – вопрос.
Возможно, что кто-то уже им пользовался – пишите в комментариях свои впечатления.
И, по традиции, больше подробностей про KubeStellar Console можно найти в GitHub-репозитрии проекта и в документации.
GitHub
GitHub - kubestellar/console: World's first fully integrated and fully Automated Kubernetes management and orchestration solution
World's first fully integrated and fully Automated Kubernetes management and orchestration solution - kubestellar/console
🤡2🥴2🤔1
Обход Content Security Policy
Всем привет!
Content Security Policy – CSP – является важным аспектом обеспечения информационной безопасности при работе с веб-сайтами.
Но, если она не настроена или настроена некорректно, то это может привести к не самым приятным последствиям.
В статье от Intigriti можно ознакомиться с некоторыми способами ее «обхода».
Рассматриваются такие сценарии как:
🍭 No Content Security Policy (CSP) declaration
🍭 Bypassing CSP enabled in reporting mode only
🍭 Bypassing CSP via non-restrictive declarations
🍭 Bypassing CSP via predictable nonces
🍭 Bypassing CSP via CSP injection
Каждый пример разбирается достаточно подробно.
А понимание способов «обхода» может дать лучшее представление о том, как лучше настроить CSP.
Всем привет!
Content Security Policy – CSP – является важным аспектом обеспечения информационной безопасности при работе с веб-сайтами.
Но, если она не настроена или настроена некорректно, то это может привести к не самым приятным последствиям.
В статье от Intigriti можно ознакомиться с некоторыми способами ее «обхода».
Рассматриваются такие сценарии как:
🍭 No Content Security Policy (CSP) declaration
🍭 Bypassing CSP enabled in reporting mode only
🍭 Bypassing CSP via non-restrictive declarations
🍭 Bypassing CSP via predictable nonces
🍭 Bypassing CSP via CSP injection
Каждый пример разбирается достаточно подробно.
А понимание способов «обхода» может дать лучшее представление о том, как лучше настроить CSP.
Intigriti
CSP Bypasses: Advanced Exploitation Guide
Learn how to identify and hunt for Content Security Policy (CSP) bypasses using multiple testing methods. Read the article now!
👍2
Safe Chain: безопасность цепочки поставки
Всем привет!
Safe Chain – open-source инструмент от команды Aikido Security, который может быть использован для защиты цепочки поставки ПО.
Если просто, то он блокирует загрузку пакета, если есть подозрение о том, что он может быть вредоносным.
Если чуть более развёрнуто, то Safe Chain представляет из себя proxy, который перехватывает запрос на скачивание пакета.
Далее происходит проверка пакета с использованием Aikido Intel – Open Source Threat Intelligence и, если что-то было найдено, скачивание блокируется.
На текущий момент утилита работает с
В планах у ребят реализовать поддержку большего количество языков.
Больше про Safe Chain, включая сценарии использования, можно прочесть в GitHub-репозитории проекта.
Всем привет!
Safe Chain – open-source инструмент от команды Aikido Security, который может быть использован для защиты цепочки поставки ПО.
Если просто, то он блокирует загрузку пакета, если есть подозрение о том, что он может быть вредоносным.
Если чуть более развёрнуто, то Safe Chain представляет из себя proxy, который перехватывает запрос на скачивание пакета.
Далее происходит проверка пакета с использованием Aikido Intel – Open Source Threat Intelligence и, если что-то было найдено, скачивание блокируется.
На текущий момент утилита работает с
npm и PyPi. Реализована поддержка следующих пакетных менеджеров: npm, npx, yarn, pnpm, pnpx, bun, bunx, pip, pip3, uv, poetry, pipx. В планах у ребят реализовать поддержку большего количество языков.
Больше про Safe Chain, включая сценарии использования, можно прочесть в GitHub-репозитории проекта.
GitHub
GitHub - AikidoSec/safe-chain: Protect against malicious code installed via npm, yarn, pnpm, npx, and pnpx with Aikido Safe Chain.…
Protect against malicious code installed via npm, yarn, pnpm, npx, and pnpx with Aikido Safe Chain. Free to use, no tokens required. - AikidoSec/safe-chain
✍1
Kubernetes the (Very) Hard Way
Всем привет!
«Kubernetes – это всего 5 бинарей» - такую фразу можно часто услышать.
Её достаточно трудно оспорить, однако всё ли так просто на самом деле?
В своё время появился такой проект как «Kubernetes The Hard Way», который показывал, что это так, да не совсем.
Суть его состояла в том, что вас «лишают» всех удобств, средств автоматизации и всё устанавливается и настраивается «руками».
Впоследствии он был дополнен и реализован на русском языке Дмитрием Путилиным (ознакомиться можно тут).
Но что, если и этого недостаточно и хочется «еще больше жести»?
С этим может помочь курс «Kubernetes the (Very) Hard Way».
В нём придется «развернуть» кластер Kubernetes «с нуля» без использования средств автоматизации.
Курс состоит из модулей:
🍭 Introduction
🍭 Worker Node
🍭 Control Plane
🍭 Cluster
Каждый модуль внутри делится на более точные и конечные задачи.
И, что самое классное! Пока что курс бесплатный ☺️
Такой подход позволяет гораздо лучше понять, что такое Kubernetes, из чего он состоит и что именно делает тот или иной его компонент.
P.S. Курс еще «не завершен», следить за публикациями новых материалов можно непосредственно на сайте.
Всем привет!
«Kubernetes – это всего 5 бинарей» - такую фразу можно часто услышать.
Её достаточно трудно оспорить, однако всё ли так просто на самом деле?
В своё время появился такой проект как «Kubernetes The Hard Way», который показывал, что это так, да не совсем.
Суть его состояла в том, что вас «лишают» всех удобств, средств автоматизации и всё устанавливается и настраивается «руками».
Впоследствии он был дополнен и реализован на русском языке Дмитрием Путилиным (ознакомиться можно тут).
Но что, если и этого недостаточно и хочется «еще больше жести»?
С этим может помочь курс «Kubernetes the (Very) Hard Way».
В нём придется «развернуть» кластер Kubernetes «с нуля» без использования средств автоматизации.
Курс состоит из модулей:
🍭 Introduction
🍭 Worker Node
🍭 Control Plane
🍭 Cluster
Каждый модуль внутри делится на более точные и конечные задачи.
И, что самое классное! Пока что курс бесплатный ☺️
Такой подход позволяет гораздо лучше понять, что такое Kubernetes, из чего он состоит и что именно делает тот или иной его компонент.
P.S. Курс еще «не завершен», следить за публикациями новых материалов можно непосредственно на сайте.
iximiuz Labs
Kubernetes the (Very) Hard Way (course) | iximiuz Labs
A hands-on, step-by-step guide to assembling a Kubernetes cluster from the ground up, (without using any automation) while deeply exploring each component's role and functionality along the way.
❤10🔥6👍3
Агент был скомпрометирован Агентом для установки Агента
Всем привет!
Нет, вам не показалось – всё так. Эта история недавно случилась с Cline (AI-ассистентом с открытым исходным кодом).
Произошло примерно следующее Агент (Cline) был скомпрометирован Агентом (Claude Issue Reviewer) для установки Агента (OpenClaw).
Такое получилось реализовать из-за уязвимости, о которой исследователь по безопасности сообщил Cline, но!
PoC на эту уязвимость оказался в открытом доступе ДО того, как она была устранена.
Упрощенно порядок действий был таким:
🍭 Создание Issue с определённым заголовком
🍭 Этот заголовок позволил реализовать prompt injection для установки вредоносного кода
🍭 Утечка секретов (NPM_TOKEN, VSCE_PAT, OVSX_PAT) были «переданы» злоумышленнику
🍭 Публикация «обновлённого» пакета злоумышленником – [email protected]
🍭 Установка пакета приводила к
Из хорошего – это трудно назвать «атакой», но в качестве примера «что может пойти не так» - очень наглядно.
В самой статье все описано в разы детальнее. Ссылки на commits, комментарии, пояснения происходящего и дополнительная информация.
То, что надо для пятницы! Рекомендуем!
Всем привет!
Нет, вам не показалось – всё так. Эта история недавно случилась с Cline (AI-ассистентом с открытым исходным кодом).
Произошло примерно следующее Агент (Cline) был скомпрометирован Агентом (Claude Issue Reviewer) для установки Агента (OpenClaw).
Такое получилось реализовать из-за уязвимости, о которой исследователь по безопасности сообщил Cline, но!
PoC на эту уязвимость оказался в открытом доступе ДО того, как она была устранена.
Упрощенно порядок действий был таким:
🍭 Создание Issue с определённым заголовком
🍭 Этот заголовок позволил реализовать prompt injection для установки вредоносного кода
🍭 Утечка секретов (NPM_TOKEN, VSCE_PAT, OVSX_PAT) были «переданы» злоумышленнику
🍭 Публикация «обновлённого» пакета злоумышленником – [email protected]
🍭 Установка пакета приводила к
npm install -g openclaw@latestИз хорошего – это трудно назвать «атакой», но в качестве примера «что может пойти не так» - очень наглядно.
В самой статье все описано в разы детальнее. Ссылки на commits, комментарии, пояснения происходящего и дополнительная информация.
То, что надо для пятницы! Рекомендуем!
Michael Bargury
Agent Compromised by Agent To Deploy an Agent
An investigation into the Cline supply chain attack, revealing how a bug bounty hunter weaponized a public PoC via prompt injection to steal npm credentials.
🔥4