hacker-245-36.pdf
1.4 MB
"Непробиваемый
DevOps-кластер - Настраиваем и усиливаем безопасность Kubernetes, Иван Пискунов"
- Обзор основных векторов атак
- Проблемы безопасности K8s
- Примеры багов
- Усиливаем безопасность Kubernetes
- Утилиты для аудита безопасности (open source и enterprise)
Журнал: Xakep
Номер: 245
Год: 2019
#k8s #article #ops
DevOps-кластер - Настраиваем и усиливаем безопасность Kubernetes, Иван Пискунов"
- Обзор основных векторов атак
- Проблемы безопасности K8s
- Примеры багов
- Усиливаем безопасность Kubernetes
- Утилиты для аудита безопасности (open source и enterprise)
Журнал: Xakep
Номер: 245
Год: 2019
#k8s #article #ops
"Обороняем порт. Как защитить инфраструктуру на Docker минимальными силами" Иван Пискунов
https://xakep.ru/2019/07/05/docker-security/
#article #Docker #ops
https://xakep.ru/2019/07/05/docker-security/
#article #Docker #ops
xakep.ru
Обороняем порт. Как защитить инфраструктуру на Docker минимальными силами
Docker — прекрасная вещь, которая может экономить массу сил и времени. В этой статье мы поговорим о том, как использовать Docker максимально безопасно и отлавливать потенциальные угрозы заранее. Также ты найдешь здесь готовые рекомендации, команды и инструменты…
"Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала" Перевод статьи Paulo Gomes
https://habr.com/ru/company/flant/blog/481114/
Seccomp - механизм безопасности ядра Linux, который позволяет ограничить набор доступных системных вызовов для приложений, в частсности для работы контейнеров.
#k8s #article #ops
https://habr.com/ru/company/flant/blog/481114/
Seccomp - механизм безопасности ядра Linux, который позволяет ограничить набор доступных системных вызовов для приложений, в частсности для работы контейнеров.
#k8s #article #ops
Хабр
Seccomp в Kubernetes: 7 вещей, о которых надо знать с самого начала
Прим. перев.: Представляем вниманию перевод статьи старшего инженера по безопасности приложений британской компании ASOS.com. С ней он начинает цикл публикаций,...
Использование машинного обучения в статическом анализе исходного кода программ
Среди инструментов:
- DeepCode
- Infer
- Sapienz
- SapFix
- Embold
- Source{d}
- Clever-Commit
+ Нюансы обучения на большом количестве открытого исходного кода
https://habr.com/ru/company/pvs-studio/blog/484208/
#tools #article #dev
Среди инструментов:
- DeepCode
- Infer
- Sapienz
- SapFix
- Embold
- Source{d}
- Clever-Commit
+ Нюансы обучения на большом количестве открытого исходного кода
https://habr.com/ru/company/pvs-studio/blog/484208/
#tools #article #dev
Хабр
Использование машинного обучения в статическом анализе исходного кода программ
Машинное обучение плотно укоренилось в различных сферах деятельности людей: от распознавания речи до медицинской диагностики. Популярность этого подхода столь велика, что его пытаются использовать...
Threat Modeling - Подборка статей и курсов
Решил запустить серию постов с подборкой материала по каждому этапу DevSecOps. Начнем с Design/Plan, а именно подборки статей и курсов по Threat Modeling (моделирование угроз) - процессу, ориентированному на выявление угроз, определение атак, анализ сокращения и устранение угроз. Выявляя потенциальные угрозы на протяжении всего жизненного цикла разработки программного обеспечения, безопасность становится приоритетом, а не запоздалой мыслью, экономя время и деньги групп безопасности и разработчиков.
Статьи:
What Is Security Threat Modeling? by Lawrence C. Miller, Peter H. Gregory
Threat-modeling CheatSheet by OWASP
Threat Modeling in the Enterprise, Part
1: Understanding the Basics by Stiliyana Simeonova
Threat Modeling: What, Why, and How? By Adam Shostack
Threat Modeling blog by Security Innovation
Threat Modeling: 6 Mistakes You’re Probably Making by Jeff Petters
How to Create a Threat Model for Cloud Infrastructure Security by Pat Cable
Why You Should Care About Threat Modelling by Suresh Marisetty
Курсы:
Threat Modeling, or Architectural Risk Analysis by Coursera
Threat Modeling Workshop by Robert Hurlbut
#threatmodeling #article #dev #ops
Решил запустить серию постов с подборкой материала по каждому этапу DevSecOps. Начнем с Design/Plan, а именно подборки статей и курсов по Threat Modeling (моделирование угроз) - процессу, ориентированному на выявление угроз, определение атак, анализ сокращения и устранение угроз. Выявляя потенциальные угрозы на протяжении всего жизненного цикла разработки программного обеспечения, безопасность становится приоритетом, а не запоздалой мыслью, экономя время и деньги групп безопасности и разработчиков.
Статьи:
What Is Security Threat Modeling? by Lawrence C. Miller, Peter H. Gregory
Threat-modeling CheatSheet by OWASP
Threat Modeling in the Enterprise, Part
1: Understanding the Basics by Stiliyana Simeonova
Threat Modeling: What, Why, and How? By Adam Shostack
Threat Modeling blog by Security Innovation
Threat Modeling: 6 Mistakes You’re Probably Making by Jeff Petters
How to Create a Threat Model for Cloud Infrastructure Security by Pat Cable
Why You Should Care About Threat Modelling by Suresh Marisetty
Курсы:
Threat Modeling, or Architectural Risk Analysis by Coursera
Threat Modeling Workshop by Robert Hurlbut
#threatmodeling #article #dev #ops
dummies
What Is Security Threat Modeling? - dummies
Threat modeling is a type of risk analysis used to identify security defects in the design phase of an information system. Threat modeling is most often applied
SAST - Статический анализ кода - подборка материала
Статический анализ кода - это метод анализа исходного кода на наличие уязвимостей без его запуска. Это позволяет решить ряд сложностей на этапе Test и Develop в жизненном цикле ПО:
1) Трата времени на ожидание проверки кода старшим разработчиком на наличие уязвимостей
2) Пропуск уязвимостей во время code review, недостаточное уделение внимания вопросам ИБ
3) Выявлять уязвимости на более поздних этапах жизненного цикла обходится дороговато - дополнительные трудозатраты на переписывание кода в случае обнаружения уязвимостей
Видео:
Application Security Testing by Semi Yulianto
Static Analysis for Dynamic Assessments by Greg Patton
SAST, борьба с потенциальными уязвимостями - Андрей Карпов
Внедрение SAST: теория vs практика - Ярослав Александров
Статьи:
How to integrate SAST into the DevSecOps pipeline in 5 simple steps by Meera Rao
What is Static Analysis Within CI/CD Pipelines? by Logan Raki
Ищем уязвимости в коде: теория, практика и перспективы SAST - Владимир Кочетков
«Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости - Maxim Tyukov
#sast #article #video #dev
Статический анализ кода - это метод анализа исходного кода на наличие уязвимостей без его запуска. Это позволяет решить ряд сложностей на этапе Test и Develop в жизненном цикле ПО:
1) Трата времени на ожидание проверки кода старшим разработчиком на наличие уязвимостей
2) Пропуск уязвимостей во время code review, недостаточное уделение внимания вопросам ИБ
3) Выявлять уязвимости на более поздних этапах жизненного цикла обходится дороговато - дополнительные трудозатраты на переписывание кода в случае обнаружения уязвимостей
Видео:
Application Security Testing by Semi Yulianto
Static Analysis for Dynamic Assessments by Greg Patton
SAST, борьба с потенциальными уязвимостями - Андрей Карпов
Внедрение SAST: теория vs практика - Ярослав Александров
Статьи:
How to integrate SAST into the DevSecOps pipeline in 5 simple steps by Meera Rao
What is Static Analysis Within CI/CD Pipelines? by Logan Raki
Ищем уязвимости в коде: теория, практика и перспективы SAST - Владимир Кочетков
«Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости - Maxim Tyukov
#sast #article #video #dev
YouTube
Tutorial Series: Application Security - App Security Testing (DAST & SAST)
A short tutorial that explains the most common application security testing conducted by organizations to quickly identify the existence of vulnerabilities in their applications.
Equipped with live demos on how to perform Dynamic Analysis Software Testing…
Equipped with live demos on how to perform Dynamic Analysis Software Testing…
"A Survey of Istio's Network Security Features"
Очень полезная статья про аспекты безопасности Istio. Статья охватывает следующее: что из себя представляет самый популярный service mesh, развертывание, анализ безопасности, а именно IPv6, Matual TLS, Engress restrictions.
https://research.nccgroup.com/2020/03/04/a-survey-of-istios-network-security-features/
#article #k8s #ops
Очень полезная статья про аспекты безопасности Istio. Статья охватывает следующее: что из себя представляет самый популярный service mesh, развертывание, анализ безопасности, а именно IPv6, Matual TLS, Engress restrictions.
https://research.nccgroup.com/2020/03/04/a-survey-of-istios-network-security-features/
#article #k8s #ops
Как автоматизировать безопасность контейнеров в стиле Policy as Code с помощью CRD
Внедрение Kubernetes custom resource definitions (CRDs) позволит решить вопросы с определением политик безопасности как кода на первоначальном этапе сборки и выкатки приложений, автоматизировать их применение при выкатке приложений в продакшен-среду.
CRD можно использовать для внедрения глобальных политик безопасности, которые определяют поведение приложений и настраивают безопасность нескольких используемых кластеров Kubernetes
https://habr.com/ru/company/mailru/blog/490796/
#k8s #article #ops
Внедрение Kubernetes custom resource definitions (CRDs) позволит решить вопросы с определением политик безопасности как кода на первоначальном этапе сборки и выкатки приложений, автоматизировать их применение при выкатке приложений в продакшен-среду.
CRD можно использовать для внедрения глобальных политик безопасности, которые определяют поведение приложений и настраивают безопасность нескольких используемых кластеров Kubernetes
https://habr.com/ru/company/mailru/blog/490796/
#k8s #article #ops