A Brief Deep-Dive into Attacking and Defending Kubernetes
Всем привет!
По ссылке доступен материал, который может быть полезен, если вы начинаете изучать безопасность Kubernetes.
В нём Автор постепенно переходит от того, как устроен оркестратор к различным способам атак на него.
Рассматриваются такие разделы, как:
🍭 Unauthenticated API Access
🍭 Overly Permissive Role-based Access Control
🍭 SeviceAccount Token Abuse
🍭 Malicious Admission Controllers
🍭 CoreDNS Poisoning и не только
Материал хорош тем, что в нём собрано много всего интересного и полезного в единой «точке».
Кроме того, для каждого раздела Автор приводит наглядные примеры со скриншотами и конфигурациями.
Всем привет!
По ссылке доступен материал, который может быть полезен, если вы начинаете изучать безопасность Kubernetes.
В нём Автор постепенно переходит от того, как устроен оркестратор к различным способам атак на него.
Рассматриваются такие разделы, как:
🍭 Unauthenticated API Access
🍭 Overly Permissive Role-based Access Control
🍭 SeviceAccount Token Abuse
🍭 Malicious Admission Controllers
🍭 CoreDNS Poisoning и не только
Материал хорош тем, что в нём собрано много всего интересного и полезного в единой «точке».
Кроме того, для каждого раздела Автор приводит наглядные примеры со скриншотами и конфигурациями.
heilancoos.github.io
A Brief Deep-Dive into Attacking and Defending Kubernetes
What attackers do in Kubernetes and how to catch them.
👍5
BadPods: «всё разрешено» на AWS EKS
Всем привет!
Есть такой проект – BadPods – в котором собраны 8 «плохих» конфигураций для
«Плохими» они являются потому, что недостатки в их конфигурации могут привести к серьезным последствиям по информационной безопасности.
В статье Автор разбирает самый первый и самый «простой» из них – Everything Allowed.
Получается следующий сценарий:
🍭 Использование ошибок в конфигурации для побега (escape) на узел кластера
🍭 Горизонтальное перемещение, поиск «жертвы»
🍭 Побег (escape), но уже на уровень самого облака
Да, с такой конфигурацией
Помимо этого, рекомендуем посмотреть на все 8 BadPods, т.к. проект позволяет наглядно убедиться, чем «плоха» та или иная конфигурация.
Для каждого из них есть детальное описание, которое позволит воспроизвести весь пусть самостоятельно.
Всем привет!
Есть такой проект – BadPods – в котором собраны 8 «плохих» конфигураций для
pod, запускаемых в кластере Kubernetes.«Плохими» они являются потому, что недостатки в их конфигурации могут привести к серьезным последствиям по информационной безопасности.
В статье Автор разбирает самый первый и самый «простой» из них – Everything Allowed.
Получается следующий сценарий:
🍭 Использование ошибок в конфигурации для побега (escape) на узел кластера
🍭 Горизонтальное перемещение, поиск «жертвы»
🍭 Побег (escape), но уже на уровень самого облака
Да, с такой конфигурацией
pod реализовать это не очень сложно, но материал может быть полезен для начинающих.Помимо этого, рекомендуем посмотреть на все 8 BadPods, т.к. проект позволяет наглядно убедиться, чем «плоха» та или иная конфигурация.
Для каждого из них есть детальное описание, которое позволит воспроизвести весь пусть самостоятельно.
CyberSec Nerds
BadPods Series: Everything Allowed on AWS EKS - CyberSec Nerds
Let's start with Bad Pod #1: Everything Allowed, which is a pod with every dangerous configuration enabled. These are intentionally insecure defaults designed to show the different possible ways to attack a cluster.
❤3🔥2
KubeStellar Console: еще один Kubernetes UI?
Всем привет!
KubeStellar Console – open-source проект, который представляет из себя Kubernetes Dashboard, позволяющий работать с несколькими кластерами.
И вроде всё как всегдавсё те же чашки, ложки, но да не совсем!
Отличительной особенностью KubeStellar Console является адаптивность: он анализирует то, как вы работаете с кластерами и «подстраивает» отображение под ваши предпочтения.
Самостоятельно. С использованием ИИ.
Если говорить про общие функции, то можно выделить следующие:
🍭 Работа с множеством кластеров (OpenShift, GKE, EKS, Kind, или иной «дистрибутив» Kubernetes
🍭 Персонализированные dashboard’ы
🍭 Обновления состояния в режиме реального времени
🍭 Отслеживание состояния «здоровья» всех приложений
🍭 Уведомления через Slack, почту или с использованием webhook
После установки KubeStellar Console «спросит» у вас несколько вопросов (ваша роль, что наиболее интересно, используете ли GitOps и т.д.).
На основании ответов будет создан dashboard, соответствующий вашим предпочтениям.
Далее он анализирует ваше поведение в «повседневной деятельности»: что вы часто используете, что не очень, на каких «экранах» останавливаетесь и т.д.
Используя эти данные KubeStellar Console предложит варианты по изменению «внешнего вида».
Звучит достаточно интересно. Насколько это применимо на практике – вопрос.
Возможно, что кто-то уже им пользовался – пишите в комментариях свои впечатления.
И, по традиции, больше подробностей про KubeStellar Console можно найти в GitHub-репозитрии проекта и в документации.
Всем привет!
KubeStellar Console – open-source проект, который представляет из себя Kubernetes Dashboard, позволяющий работать с несколькими кластерами.
И вроде всё как всегда
Отличительной особенностью KubeStellar Console является адаптивность: он анализирует то, как вы работаете с кластерами и «подстраивает» отображение под ваши предпочтения.
Самостоятельно. С использованием ИИ.
Если говорить про общие функции, то можно выделить следующие:
🍭 Работа с множеством кластеров (OpenShift, GKE, EKS, Kind, или иной «дистрибутив» Kubernetes
🍭 Персонализированные dashboard’ы
🍭 Обновления состояния в режиме реального времени
🍭 Отслеживание состояния «здоровья» всех приложений
🍭 Уведомления через Slack, почту или с использованием webhook
После установки KubeStellar Console «спросит» у вас несколько вопросов (ваша роль, что наиболее интересно, используете ли GitOps и т.д.).
На основании ответов будет создан dashboard, соответствующий вашим предпочтениям.
Далее он анализирует ваше поведение в «повседневной деятельности»: что вы часто используете, что не очень, на каких «экранах» останавливаетесь и т.д.
Используя эти данные KubeStellar Console предложит варианты по изменению «внешнего вида».
Звучит достаточно интересно. Насколько это применимо на практике – вопрос.
Возможно, что кто-то уже им пользовался – пишите в комментариях свои впечатления.
И, по традиции, больше подробностей про KubeStellar Console можно найти в GitHub-репозитрии проекта и в документации.
GitHub
GitHub - kubestellar/console: World's first fully integrated and fully Automated Kubernetes management and orchestration solution
World's first fully integrated and fully Automated Kubernetes management and orchestration solution - kubestellar/console
🤡2🥴2🤔1
Обход Content Security Policy
Всем привет!
Content Security Policy – CSP – является важным аспектом обеспечения информационной безопасности при работе с веб-сайтами.
Но, если она не настроена или настроена некорректно, то это может привести к не самым приятным последствиям.
В статье от Intigriti можно ознакомиться с некоторыми способами ее «обхода».
Рассматриваются такие сценарии как:
🍭 No Content Security Policy (CSP) declaration
🍭 Bypassing CSP enabled in reporting mode only
🍭 Bypassing CSP via non-restrictive declarations
🍭 Bypassing CSP via predictable nonces
🍭 Bypassing CSP via CSP injection
Каждый пример разбирается достаточно подробно.
А понимание способов «обхода» может дать лучшее представление о том, как лучше настроить CSP.
Всем привет!
Content Security Policy – CSP – является важным аспектом обеспечения информационной безопасности при работе с веб-сайтами.
Но, если она не настроена или настроена некорректно, то это может привести к не самым приятным последствиям.
В статье от Intigriti можно ознакомиться с некоторыми способами ее «обхода».
Рассматриваются такие сценарии как:
🍭 No Content Security Policy (CSP) declaration
🍭 Bypassing CSP enabled in reporting mode only
🍭 Bypassing CSP via non-restrictive declarations
🍭 Bypassing CSP via predictable nonces
🍭 Bypassing CSP via CSP injection
Каждый пример разбирается достаточно подробно.
А понимание способов «обхода» может дать лучшее представление о том, как лучше настроить CSP.
Intigriti
CSP Bypasses: Advanced Exploitation Guide
Learn how to identify and hunt for Content Security Policy (CSP) bypasses using multiple testing methods. Read the article now!
👍2
Safe Chain: безопасность цепочки поставки
Всем привет!
Safe Chain – open-source инструмент от команды Aikido Security, который может быть использован для защиты цепочки поставки ПО.
Если просто, то он блокирует загрузку пакета, если есть подозрение о том, что он может быть вредоносным.
Если чуть более развёрнуто, то Safe Chain представляет из себя proxy, который перехватывает запрос на скачивание пакета.
Далее происходит проверка пакета с использованием Aikido Intel – Open Source Threat Intelligence и, если что-то было найдено, скачивание блокируется.
На текущий момент утилита работает с
В планах у ребят реализовать поддержку большего количество языков.
Больше про Safe Chain, включая сценарии использования, можно прочесть в GitHub-репозитории проекта.
Всем привет!
Safe Chain – open-source инструмент от команды Aikido Security, который может быть использован для защиты цепочки поставки ПО.
Если просто, то он блокирует загрузку пакета, если есть подозрение о том, что он может быть вредоносным.
Если чуть более развёрнуто, то Safe Chain представляет из себя proxy, который перехватывает запрос на скачивание пакета.
Далее происходит проверка пакета с использованием Aikido Intel – Open Source Threat Intelligence и, если что-то было найдено, скачивание блокируется.
На текущий момент утилита работает с
npm и PyPi. Реализована поддержка следующих пакетных менеджеров: npm, npx, yarn, pnpm, pnpx, bun, bunx, pip, pip3, uv, poetry, pipx. В планах у ребят реализовать поддержку большего количество языков.
Больше про Safe Chain, включая сценарии использования, можно прочесть в GitHub-репозитории проекта.
GitHub
GitHub - AikidoSec/safe-chain: Protect against malicious code installed via npm, yarn, pnpm, npx, and pnpx with Aikido Safe Chain.…
Protect against malicious code installed via npm, yarn, pnpm, npx, and pnpx with Aikido Safe Chain. Free to use, no tokens required. - AikidoSec/safe-chain
✍1
Kubernetes the (Very) Hard Way
Всем привет!
«Kubernetes – это всего 5 бинарей» - такую фразу можно часто услышать.
Её достаточно трудно оспорить, однако всё ли так просто на самом деле?
В своё время появился такой проект как «Kubernetes The Hard Way», который показывал, что это так, да не совсем.
Суть его состояла в том, что вас «лишают» всех удобств, средств автоматизации и всё устанавливается и настраивается «руками».
Впоследствии он был дополнен и реализован на русском языке Дмитрием Путилиным (ознакомиться можно тут).
Но что, если и этого недостаточно и хочется «еще больше жести»?
С этим может помочь курс «Kubernetes the (Very) Hard Way».
В нём придется «развернуть» кластер Kubernetes «с нуля» без использования средств автоматизации.
Курс состоит из модулей:
🍭 Introduction
🍭 Worker Node
🍭 Control Plane
🍭 Cluster
Каждый модуль внутри делится на более точные и конечные задачи.
И, что самое классное! Пока что курс бесплатный ☺️
Такой подход позволяет гораздо лучше понять, что такое Kubernetes, из чего он состоит и что именно делает тот или иной его компонент.
P.S. Курс еще «не завершен», следить за публикациями новых материалов можно непосредственно на сайте.
Всем привет!
«Kubernetes – это всего 5 бинарей» - такую фразу можно часто услышать.
Её достаточно трудно оспорить, однако всё ли так просто на самом деле?
В своё время появился такой проект как «Kubernetes The Hard Way», который показывал, что это так, да не совсем.
Суть его состояла в том, что вас «лишают» всех удобств, средств автоматизации и всё устанавливается и настраивается «руками».
Впоследствии он был дополнен и реализован на русском языке Дмитрием Путилиным (ознакомиться можно тут).
Но что, если и этого недостаточно и хочется «еще больше жести»?
С этим может помочь курс «Kubernetes the (Very) Hard Way».
В нём придется «развернуть» кластер Kubernetes «с нуля» без использования средств автоматизации.
Курс состоит из модулей:
🍭 Introduction
🍭 Worker Node
🍭 Control Plane
🍭 Cluster
Каждый модуль внутри делится на более точные и конечные задачи.
И, что самое классное! Пока что курс бесплатный ☺️
Такой подход позволяет гораздо лучше понять, что такое Kubernetes, из чего он состоит и что именно делает тот или иной его компонент.
P.S. Курс еще «не завершен», следить за публикациями новых материалов можно непосредственно на сайте.
iximiuz Labs
Kubernetes the (Very) Hard Way (course) | iximiuz Labs
A hands-on, step-by-step guide to assembling a Kubernetes cluster from the ground up, (without using any automation) while deeply exploring each component's role and functionality along the way.
❤10🔥6👍3
Агент был скомпрометирован Агентом для установки Агента
Всем привет!
Нет, вам не показалось – всё так. Эта история недавно случилась с Cline (AI-ассистентом с открытым исходным кодом).
Произошло примерно следующее Агент (Cline) был скомпрометирован Агентом (Claude Issue Reviewer) для установки Агента (OpenClaw).
Такое получилось реализовать из-за уязвимости, о которой исследователь по безопасности сообщил Cline, но!
PoC на эту уязвимость оказался в открытом доступе ДО того, как она была устранена.
Упрощенно порядок действий был таким:
🍭 Создание Issue с определённым заголовком
🍭 Этот заголовок позволил реализовать prompt injection для установки вредоносного кода
🍭 Утечка секретов (NPM_TOKEN, VSCE_PAT, OVSX_PAT) были «переданы» злоумышленнику
🍭 Публикация «обновлённого» пакета злоумышленником – [email protected]
🍭 Установка пакета приводила к
Из хорошего – это трудно назвать «атакой», но в качестве примера «что может пойти не так» - очень наглядно.
В самой статье все описано в разы детальнее. Ссылки на commits, комментарии, пояснения происходящего и дополнительная информация.
То, что надо для пятницы! Рекомендуем!
Всем привет!
Нет, вам не показалось – всё так. Эта история недавно случилась с Cline (AI-ассистентом с открытым исходным кодом).
Произошло примерно следующее Агент (Cline) был скомпрометирован Агентом (Claude Issue Reviewer) для установки Агента (OpenClaw).
Такое получилось реализовать из-за уязвимости, о которой исследователь по безопасности сообщил Cline, но!
PoC на эту уязвимость оказался в открытом доступе ДО того, как она была устранена.
Упрощенно порядок действий был таким:
🍭 Создание Issue с определённым заголовком
🍭 Этот заголовок позволил реализовать prompt injection для установки вредоносного кода
🍭 Утечка секретов (NPM_TOKEN, VSCE_PAT, OVSX_PAT) были «переданы» злоумышленнику
🍭 Публикация «обновлённого» пакета злоумышленником – [email protected]
🍭 Установка пакета приводила к
npm install -g openclaw@latestИз хорошего – это трудно назвать «атакой», но в качестве примера «что может пойти не так» - очень наглядно.
В самой статье все описано в разы детальнее. Ссылки на commits, комментарии, пояснения происходящего и дополнительная информация.
То, что надо для пятницы! Рекомендуем!
Michael Bargury
Agent Compromised by Agent To Deploy an Agent
An investigation into the Cline supply chain attack, revealing how a bug bounty hunter weaponized a public PoC via prompt injection to steal npm credentials.
🔥4❤2
CredData: набор данных с секретами
Всем привет!
Если вы хотели найти набор данных (data set) для тестирования инструментов по поиску секретов или для обучения модели, то CredData – Credentials Data – от Samsung может вам подойти!
Набор данных состоит из 19,459,282 строк кода, которые были «извлечены» из 11,408 файлов, находящихся в 297 репозиториях.
Данные также разделены по языкам:
Для некоторой части данных реализована разметка.
С использованием этого набора команда Samsung, в том числе, сделала сравнительный анализ таких open-source решений, как:
Кстати, в сравнении участвовал и собственная разработка Samsung – CredSweeper, с которым можно ознакомиться тут.
Результаты сравнения, больше информации о CredData можно найти в GitHub-репозитории проекта.
Всем привет!
Если вы хотели найти набор данных (data set) для тестирования инструментов по поиску секретов или для обучения модели, то CredData – Credentials Data – от Samsung может вам подойти!
Набор данных состоит из 19,459,282 строк кода, которые были «извлечены» из 11,408 файлов, находящихся в 297 репозиториях.
Данные также разделены по языкам:
Golang, YAML, Python, Markdown, PHP и т.д. Для некоторой части данных реализована разметка.
С использованием этого набора команда Samsung, в том числе, сделала сравнительный анализ таких open-source решений, как:
detect-secrets, gitleaks, truffleHog и не только.Кстати, в сравнении участвовал и собственная разработка Samsung – CredSweeper, с которым можно ознакомиться тут.
Результаты сравнения, больше информации о CredData можно найти в GitHub-репозитории проекта.
GitHub
GitHub - Samsung/CredData: CredData is a set of files including credentials in open source projects. CredData includes suspicious…
CredData is a set of files including credentials in open source projects. CredData includes suspicious lines with manual review results and more information such as credential types for each suspic...
❤4
sbom-tools: TUI для работы со SBoM
Всем привет!
sbom-tools – open-source проект для анализа SBoM, представляющий из себя «графическую оболочку» для терминала.
Из ключевых возможностей можно отметить:
🍭 Определение изменений (добавлено, удалено, изменено): зависимости, лицензии и уязвимости
🍭 Поддержка CycloneDX (1.4 – 1.6), SPDX (2.2 – 2.3)
🍭 Обогащение данными об уязвимостях за счёт интеграции с OSV и KEV
🍭 Анализ качества – оценка SBoM на соответствие требованиям стандартов (NTIA, FDA, CRA и не только)
🍭 Предоставление «отчётности» в разных форматах: JSON, SARIF, MD, CSV и не только
Больше информации про sbom-tools (включая множество скриншотов) можно найти в GitHub-репозитории или в документации.
А если хочется «видео-сопровождения», то можно посмотреть вот это видео, в котором Автор утилиты (Alex Matrosov) рассказывает про нее и показывает возможности.
Всем привет!
sbom-tools – open-source проект для анализа SBoM, представляющий из себя «графическую оболочку» для терминала.
Из ключевых возможностей можно отметить:
🍭 Определение изменений (добавлено, удалено, изменено): зависимости, лицензии и уязвимости
🍭 Поддержка CycloneDX (1.4 – 1.6), SPDX (2.2 – 2.3)
🍭 Обогащение данными об уязвимостях за счёт интеграции с OSV и KEV
🍭 Анализ качества – оценка SBoM на соответствие требованиям стандартов (NTIA, FDA, CRA и не только)
🍭 Предоставление «отчётности» в разных форматах: JSON, SARIF, MD, CSV и не только
Больше информации про sbom-tools (включая множество скриншотов) можно найти в GitHub-репозитории или в документации.
А если хочется «видео-сопровождения», то можно посмотреть вот это видео, в котором Автор утилиты (Alex Matrosov) рассказывает про нее и показывает возможности.
GitHub
GitHub - sbom-tool/sbom-tools: Semantic SBOM diff and TUI analysis tool. Compares CycloneDX/SPDX files to component changes, dependency…
Semantic SBOM diff and TUI analysis tool. Compares CycloneDX/SPDX files to component changes, dependency shifts, license conflicts, and vulnerabilities. - sbom-tool/sbom-tools
🔥6👏1
Agentic AI Threat Landscape
Всем привет!
В статье (~ 25 минут на прочтение) можно найти информацию о способах атак и защиты на агентские AI.
Начинается всё с погружения в контекст – как именно работают AI агенты, и какие могут быть фундаментальные проблемы ИБ с ними связанные.
Далее материал структурирован по разделам:
🍭 Indirect Prompt Injection
🍭 Tool Poisoning
🍭 Memory Poisoning
🍭 Data Exfiltration, Code Execution и 🍭 Expanding Attack Toolkit
🍭 Persistence, Backdoors и не только
Для каждого раздела приводится краткое описание проблематики с диаграммами и примерами, иллюстрирующими технику атаки.
В завершении описаны (очень кратко) описаны способы защиты.
Итого – неплохой обзорный материал для лучшего погружения в тему. Рекомендуем!
Всем привет!
В статье (~ 25 минут на прочтение) можно найти информацию о способах атак и защиты на агентские AI.
Начинается всё с погружения в контекст – как именно работают AI агенты, и какие могут быть фундаментальные проблемы ИБ с ними связанные.
Далее материал структурирован по разделам:
🍭 Indirect Prompt Injection
🍭 Tool Poisoning
🍭 Memory Poisoning
🍭 Data Exfiltration, Code Execution и 🍭 Expanding Attack Toolkit
🍭 Persistence, Backdoors и не только
Для каждого раздела приводится краткое описание проблематики с диаграммами и примерами, иллюстрирующими технику атаки.
В завершении описаны (очень кратко) описаны способы защиты.
Итого – неплохой обзорный материал для лучшего погружения в тему. Рекомендуем!
SnailSploit
Agentic AI Threat Landscape: Attack Vectors & Defenses
Full agentic AI threat landscape: prompt injection, MCP tool poisoning, multi-agent infection, memory poisoning, and why no single defense works.
❤7👎1
Защита Kubernetes с Kyverno и KubeArmor
Всем привет!
В статье Автор рассматривает способы обеспечения безопасности кластера Kubernetes в двух «временных точках».
Первая – контроль того, что запускается. Для этого он предлагает использовать Kyverno. Задача – сократить вероятность того, что будет создано «нечто», что противоречит требованиям ИБ.
Однако, мир не идеален. На все случаи жизни политики не напишешь. Поэтому важна и вторая «временная точка» – защита того, что уже запущено. Для этого Автор предлагает использовать KubeArmor.
Да, это далеко не все «точки», но отлично демонстрирует важность использования разных подходов в разные моменты времени для повышения общего уровня ИБ и минимизации вероятности того, что что-то «пойдет не так».
Далее Автор рассказывает о том, как установить решения и настроить первичные (базовые) политики, чтобы лучше разобраться в том, как это работает.
В завершении – набор общих советов о том, на что стоит обращать внимание для защиты кластера.
Статья вряд ли заинтересует «бывалых», но может быть полезна для тех, кто только начинает разбираться в безопасности Kubernetes.
Всем привет!
В статье Автор рассматривает способы обеспечения безопасности кластера Kubernetes в двух «временных точках».
Первая – контроль того, что запускается. Для этого он предлагает использовать Kyverno. Задача – сократить вероятность того, что будет создано «нечто», что противоречит требованиям ИБ.
Однако, мир не идеален. На все случаи жизни политики не напишешь. Поэтому важна и вторая «временная точка» – защита того, что уже запущено. Для этого Автор предлагает использовать KubeArmor.
Да, это далеко не все «точки», но отлично демонстрирует важность использования разных подходов в разные моменты времени для повышения общего уровня ИБ и минимизации вероятности того, что что-то «пойдет не так».
Далее Автор рассказывает о том, как установить решения и настроить первичные (базовые) политики, чтобы лучше разобраться в том, как это работает.
В завершении – набор общих советов о том, на что стоит обращать внимание для защиты кластера.
Статья вряд ли заинтересует «бывалых», но может быть полезна для тех, кто только начинает разбираться в безопасности Kubernetes.
Medium
Security Inside Kubernetes: Admission & Runtime Guardrails with Kyverno and KubeArmor
Adding deployment-time and runtime guardrails inside Kubernetes using Kyverno and KubeArmor
👍7❤1
sk8r: Kubernetes Dashboard Clone!
Всем привет!
Небольшой пятничный пост. Да! sk8r – еще один open-source дашборд для работы с кластерами Kubernetes.
Он может:
🍭 Создавать, просматривать, изменять Kubernetes-ресурсы
🍭 Отображать логи
🍭 Отображать информацию о метриках за счет интеграции с Prometheus
🍭 Получать доступ к терминалу pod’a
Да, ничего сверхъестественного.
С другой стороны – всё очень лаконично и просто, ничего лишнего для получения «первичной информации» о том, что происходит в кластере.
А каким инструментом пользуетесь вы?
Всем привет!
Небольшой пятничный пост. Да! sk8r – еще один open-source дашборд для работы с кластерами Kubernetes.
Он может:
🍭 Создавать, просматривать, изменять Kubernetes-ресурсы
🍭 Отображать логи
pod’ов в режиме реального времени🍭 Отображать информацию о метриках за счет интеграции с Prometheus
🍭 Получать доступ к терминалу pod’a
Да, ничего сверхъестественного.
С другой стороны – всё очень лаконично и просто, ничего лишнего для получения «первичной информации» о том, что происходит в кластере.
А каким инструментом пользуетесь вы?
GitHub
GitHub - mvklingeren/sk8r: A kubernetes-dashboard clone
A kubernetes-dashboard clone. Contribute to mvklingeren/sk8r development by creating an account on GitHub.
❤4👎1
Container Exploration Kit
Всем привет!
Бывают случаи, когда нужно «посмотреть» что-то внутри контейнера и при этом не хочется (или не представляется возможным) его запускать, делать
Одним из возможных решений может оказаться Dive. Из нюансов – он хорош для получения информации о содержании и структуре, анализа слове и изменений, но… он все равно запускает контейнер.
Если надо нечто более простое и с меньшим функционалом, то cek – Container Exploration Kit – может вам пригодиться.
Он позволяет анализировать содержимое контейнеров без непосредственного их запуска.
Из возможностей можно отметить:
🍭 Просмотр файлов в образе, директории, по определенным шаблонам, слоям
🍭 Чтение содержимого файлов
🍭 Получать перечень доступных
🍭 Экспортировать образы контейнеров в
🍭 Отображать дерево директорий внутри контейнера
И все это в небольшом исполняемом файле. Очень удобно, если надо быстро что-то получить из образа.
Больше подробностей можно прочесть в GitHub-репозитории проекта.
Всем привет!
Бывают случаи, когда нужно «посмотреть» что-то внутри контейнера и при этом не хочется (или не представляется возможным) его запускать, делать
exec и просматривать содержимое.Одним из возможных решений может оказаться Dive. Из нюансов – он хорош для получения информации о содержании и структуре, анализа слове и изменений, но… он все равно запускает контейнер.
Если надо нечто более простое и с меньшим функционалом, то cek – Container Exploration Kit – может вам пригодиться.
Он позволяет анализировать содержимое контейнеров без непосредственного их запуска.
Из возможностей можно отметить:
🍭 Просмотр файлов в образе, директории, по определенным шаблонам, слоям
🍭 Чтение содержимого файлов
🍭 Получать перечень доступных
tags для контейнера🍭 Экспортировать образы контейнеров в
*.tar-архивы🍭 Отображать дерево директорий внутри контейнера
И все это в небольшом исполняемом файле. Очень удобно, если надо быстро что-то получить из образа.
Больше подробностей можно прочесть в GitHub-репозитории проекта.
GitHub
GitHub - bschaatsbergen/cek: Explore the (overlay) filesystem and layers of OCI container images, without running them.
Explore the (overlay) filesystem and layers of OCI container images, without running them. - bschaatsbergen/cek
❤4👍2
Использование AI агентов для исследования CVE
Всем привет!
В статье от Praetorian описан концепт, в котором AI агенты используются для автоматизации процесса исследования уязвимостей (CVE).
За основу взят Google’s Agent Development Kit (ADK), который «координирует» весь процесс, состоящий из 4-х шагов.
Шаги представляют из себя:
🍭 Deep Research. Получение максимального количества информации о CVE
🍭 Technology Reconnaissance. Определение технологий, которые могут быть «подвержены» CVE
🍭 Actor-critic Template Generation. Формирование Nuclei Template на базе собранной информации
🍭 Exploitation Analysis. Анализ векторов атак, возможных техник, ущерба и т.д.
На выходе, в идеале, получается Nuclei Template, который можно использовать для проверки того, подвержен ли сервис X уязвимости Y.
Для каждого этапа вышеописанного процесса используются различные модели.
Т.е., в зависимости от решаемой задачи, выбирается «оптимальный инструмент».
Больше подробностей, включая краткое описание того, как это используется, можно найти в статье.
Всем привет!
В статье от Praetorian описан концепт, в котором AI агенты используются для автоматизации процесса исследования уязвимостей (CVE).
За основу взят Google’s Agent Development Kit (ADK), который «координирует» весь процесс, состоящий из 4-х шагов.
Шаги представляют из себя:
🍭 Deep Research. Получение максимального количества информации о CVE
🍭 Technology Reconnaissance. Определение технологий, которые могут быть «подвержены» CVE
🍭 Actor-critic Template Generation. Формирование Nuclei Template на базе собранной информации
🍭 Exploitation Analysis. Анализ векторов атак, возможных техник, ущерба и т.д.
На выходе, в идеале, получается Nuclei Template, который можно использовать для проверки того, подвержен ли сервис X уязвимости Y.
Для каждого этапа вышеописанного процесса используются различные модели.
Т.е., в зависимости от решаемой задачи, выбирается «оптимальный инструмент».
Больше подробностей, включая краткое описание того, как это используется, можно найти в статье.
Praetorian
How AI Agents Automate CVE Vulnerability Research
A technical deep-dive into Praetorian’s multi-agent CVE research pipeline, exploring how orchestrated AI agents transform vulnerability data into validated detection templates.
👍3
Multi-Cluster Scaling: опыт Kedify
Всем привет!
Зачастую, кластер Kubernetes существует в единственном числе недолгое время. Рано или поздно кластеров становится несколько.
Например, из-за технических (сокращение задержки), организационных (отдельный кластер под определённую команду) или регуляторных (сокращение «области действия» требований) причин.
И тут начинается самое весёлое: всё, что было сделано для того «первого» кластера надо отмасштабировать на остальные. И не только отмасштабировать, но и централизованно управлять всем этим, что приводит к «двойной работе».
В статье от Kedify описан подход, который использовала команда, чтобы решить эту задачу. Если кратко, то всё просто: создание единого «мозга», который всем управляет. Но дьявол в деталях!
Ребята используют один KEDA-кластер, который анализирует метрики и взаимодействует с Member-кластерами через
Member-кластеры, в свою очередь, создают необходимые нагрузки и всё это с минимально-необходимыми правами.
Для того, чтобы KEDA-кластер мог управлять Member-кластерами команда сделала свой CRD -
Он определяет, на каких Member-кластерах можно создавать ресурсы, что делать в случае их недоступности, как собирать информацию о «здоровье» и т.д.
В итоге получается конструкция, которая позволяет управлять несколькими кластерами Kubernetes «на масштабе» и может работать в случае недоступности некоторых Member-кластеров.
Больше информации, как обычно, можно найти в статье.
Всем привет!
Зачастую, кластер Kubernetes существует в единственном числе недолгое время. Рано или поздно кластеров становится несколько.
Например, из-за технических (сокращение задержки), организационных (отдельный кластер под определённую команду) или регуляторных (сокращение «области действия» требований) причин.
И тут начинается самое весёлое: всё, что было сделано для того «первого» кластера надо отмасштабировать на остальные. И не только отмасштабировать, но и централизованно управлять всем этим, что приводит к «двойной работе».
В статье от Kedify описан подход, который использовала команда, чтобы решить эту задачу. Если кратко, то всё просто: создание единого «мозга», который всем управляет. Но дьявол в деталях!
Ребята используют один KEDA-кластер, который анализирует метрики и взаимодействует с Member-кластерами через
kube-apiserver.Member-кластеры, в свою очередь, создают необходимые нагрузки и всё это с минимально-необходимыми правами.
Для того, чтобы KEDA-кластер мог управлять Member-кластерами команда сделала свой CRD -
DistributedScaledObject.Он определяет, на каких Member-кластерах можно создавать ресурсы, что делать в случае их недоступности, как собирать информацию о «здоровье» и т.д.
В итоге получается конструкция, которая позволяет управлять несколькими кластерами Kubernetes «на масштабе» и может работать в случае недоступности некоторых Member-кластеров.
Больше информации, как обычно, можно найти в статье.
Kedify
Multi-Cluster Scaling: One Kedify Brain for Fleet of Kubernetes Clusters | Kedify
Cut cloud costs by 20%+, auto‑scale any workloads including HTTP, gRPC & ML workloads, and gain centralized multi‑cluster control and insights.
👍2
DevSecOps митап на CyberCamp! 27 марта в 12:00 МСК
С прошлого DevSecOps митапа CyberCamp прошло целых три года, огромное количество событий успели произойти за это время, вышли новые фреймворки и инструменты DevSecOps, изменились подходы к анализу кода и процессам безопасной разработки. И все эти изменения будут освещены на самом большом митапе в истории CyberCamp! Интересные доклады, практические задания, море интерактива ждут тебя, дорогой читатель, как онлайн, так и в оффлайн-студии!
Спикеры:
😎 Антон Михайлов, SAST в DevSecOps: от «сканера в пайплайне» к управлению риском релиза
😎 Женя Богачев, Моделирование угроз как фундамент безопасной архитектуры ПО
😎 Антон Володченко, Композиционный анализ: из чего состоит и как помогает?
😎 Антон Гаврилов, 6 дней AppSec
😎 Полина Соломенцева, В одном далеком-далеком контейнере...
😎 Юра Шабалин, Безопасность мобильных приложений в РФ: риски, требования и практики защиты
😎 Сева Шамов, Runtime — наше всё: как мы ищем уязвимости динамически и какие инструменты используем
😎 Саша Бакин, AppSec под нагрузкой: масштабирование анализа кода в условиях ограниченных ресурсов
😎 Дима Евдокимов, Путеводитель по безопасности контейнеров и Kubernetes
27 марта в 12:00 МСК!
🧿 Регистрация l 👋 Комьюнити
С прошлого DevSecOps митапа CyberCamp прошло целых три года, огромное количество событий успели произойти за это время, вышли новые фреймворки и инструменты DevSecOps, изменились подходы к анализу кода и процессам безопасной разработки. И все эти изменения будут освещены на самом большом митапе в истории CyberCamp! Интересные доклады, практические задания, море интерактива ждут тебя, дорогой читатель, как онлайн, так и в оффлайн-студии!
Спикеры:
27 марта в 12:00 МСК!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤3👍2👎1
Docker Time Machine
Пятница! Самое время для совершения путешествий во времени! И Docker Time Machine (DTM) может в этом помочь.
Эта утилита автоматизирует процесс анализа различных версий (тэгов) одного и того же образа контейнера.
Может работать как с реестром (скачивается только meta-информация об образе), так и с git-репозиторием (для каждого commit создается образ и осуществляется сравнение).
DTM позволяет:
🍭 Осуществлять «послойный» анализ образов
🍭 Идентифицировать изменения в размере образов
🍭 Найти самый «толстый» образ из доступных
🍭 Найти самый «худой» образ из доступных
Результаты работы утилиты «упаковываются» в JSON, CSV, MD или в лаконичный HTML, наглядно отображающий то, как менялся образ.
Подробности о возможностях Docker Time Machine, об использовании и примеры результатов можно найти в GitHub-репозитории проекта.
Пятница! Самое время для совершения путешествий во времени! И Docker Time Machine (DTM) может в этом помочь.
Эта утилита автоматизирует процесс анализа различных версий (тэгов) одного и того же образа контейнера.
Может работать как с реестром (скачивается только meta-информация об образе), так и с git-репозиторием (для каждого commit создается образ и осуществляется сравнение).
DTM позволяет:
🍭 Осуществлять «послойный» анализ образов
🍭 Идентифицировать изменения в размере образов
🍭 Найти самый «толстый» образ из доступных
🍭 Найти самый «худой» образ из доступных
Результаты работы утилиты «упаковываются» в JSON, CSV, MD или в лаконичный HTML, наглядно отображающий то, как менялся образ.
Подробности о возможностях Docker Time Machine, об использовании и примеры результатов можно найти в GitHub-репозитории проекта.
GitHub
GitHub - jtodic/docker-time-machine
Contribute to jtodic/docker-time-machine development by creating an account on GitHub.
❤3👍2