CROC&TALK. Истории о командных процессах и коммуникации в DevSecOps
Привет, Хабр! Приглашаем начать “давайте после майских” с митапа :) Ждем вас 12 мая в 18:00 на новый CROC&TALK – в этот раз будем обсуждать DevSecOps. Поговорим о том, как запустить процесс безопасной разработки, не выстрелить себе в колено, а спецам по информационной безопасности и разработке...
Небезопасная разработка
Статья является продолжением статьи: История утечки персональных данных через Github. Сегодняшняя подборка: 1. Персданные, пароли, рабочие секреты, все в куче 2. Пасхалка с персональными данными в рабочем проекте 3. Креды для доступа в даркнет Читать далее...
CLD — Open source проект для ИТ компаний и SRE/DevOps инженеров
CLD это система для обеспечения комплексной информационной безопасности и организации разграничения доступа к серверам и скриптам с возможностью оперативно внедрять пользовательские модули и инструменты автоматизации. Мы высоко ценим автоматизацию процессов и унификацию инфраструктуры, проект...
Эволюция системы безопасности Android или как защищается система сегодня
С ростом популярности операционных систем, растет также и необходимость в обеспечении безопасности системы. С каждым днём количество атак увеличивается, а каждое обновление несет в себе новые «дыры» в системе безопасности. Я Анастасия Худоярова, ведущий специалист по безопасной разработке в...
Как мы мигрировали в облако… пепла
Такой вот звонок ко мне пришел от нашего VP of Engineering Виктора около 7 вечера 9 марта прошлого года. Дело в том, что Виктор знает русский, но никогда не жил в России, поэтому он часто добавляет "как у вас говорят" или какие-то другие только ему ведомые присказки, поговорки и пословицы. Но...
Kubernetes: трансформация к SecDevSecOpsSec
Данная статья — взгляд на то, как Kubernetes способен повысить уровень безопасности, упростив управление ею и ускорив внедрение механизмов безопасности с точки зрения специалиста по ИБ, который большую часть своей карьеры занимался наступательной безопасностью. Сейчас на примере Kubernetes я вижу,...
DevSecOps by Swordfish Security. Часть вторая
Продолжение статьи про комплексный подход реализации DevSecOps. В первой части были рассмотрены индустриальные вызовы, цели и задачи инструментов класса ASOC, Оркестрация и Корреляция. Первая часть: https://habr.com/ru/company/swordfish_security/blog/596817/ Читать далее...
DevSecOps by Swordfish Security. Часть первая
Меня зовут Юрий Сергеев, я основатель и управляющий партнер в Swordfish Security. С 2017 наша компания активно занимается проблематикой построения процессов разработки защищенного ПО (Secure Software Development Lifecycle). За прошедшие годы нам посчастливилось реализовывать поистине уникальные...
Безопасная разработка: какую часть Sec занимает в DevSecOps
Всем привет! Меня зовут Тимур Гильмуллин, я руководитель направления по построению процессов безопасной разработки в компании Positive Technologies. Раньше я работал в DevOps-отделе, где инженеры занимаются автоматизацией различных процессов и помогают программистам и тестировщикам. В числе прочего...
Для секьюрной разработки: ролик о защите сред контейнерной оркестрации
Заходите под кат смотреть видео о защите сред контейнерной оркестрации. Спецы по DevSecOps упаковали в пятиминутный ролик выжимку из NIST SP 800-190, официальной документации Kubernetes, десятки страниц материалов производителей средств защиты и свой опыт на проектах. Будет полезно и тем, кто пишет...
Дыры и заборы в Kubernetes: кейсы взлома, советы как защитить свой кластер и рассказ о первых хакерах
На вебинаре «Дыры и заборы: Безопасность в Kubernetes» встретились эксперты Максим Мошаров и Артём Юшковский, им задал вопросы ведущий Марсель Ибраев. Обсудили, как обезопасить свой кластер, показали три кейса взлома Kubernetes и рассказали, как строить безопасность в организации. В статье...
Security — как много в этом звуке для сердца девопсного слилось
Чтобы понять безопасность, надо думать как безопасник, вести себя как безопасник, стать безопасником. Барух jbaruch Садогурский и Леонид Игольник в своих докладах много рассматривали DevOps с разных сторон — и очередь дошла до вопросов Security. На нашей конференции DevOops они поговорили об этом,...
Опрос: что вы думаете о DevSecOps?
Внимание, разработчики, а еще хабровчане! Кто еще, как ни вы, можете рассказать нам о том, как обстоят дела с безопасной разработкой у вас в компании — ее успехом, присутствием или отсутствием. Расскажите, что вы думаете о DevSecOps и что хотели бы узнать о нем. Предлагаем пройти анонимный опрос. С...
[Перевод] При создании DevSecOps не забывайте о SRE
Введение Сегодня часто говорят о «разрыве между безопасностью и разработкой» или о «разрыве в безопасности DevOps». В этом есть смысл. Действительно, есть необходимость отделить безопасность от процессов разработки и DevOps. Однако на удивление меньше внимания уделяется разрыву между разработкой...
Работа над ошибками: отчет IT-отдела команды Навального
21 июля хабра-пользователь grumpysugar опубликовал статью о найденной им уязвимости в инфраструктуре нашей команды. Уязвимость действительно существовала, и мы ее устранили. Но если вы видите информацию о новых утечках из нашей базы данных, знайте, что это обычный вброс, не имеющий ничего общего с...
Как ФБК* сами слили все данные оппозиции в открытый доступ
Привет! Здесь я хочу указать на возможную причину, почему были слиты данные зарегистрировавшихся в УГ и предупредить, что ФБК* на несколько недель в июне была открыта, как эта калитка в меме. Читать далее...
2-й сезон цикла вебинаров DevSecOps: мониторинг k8s, организация конвейера GitOps и управление «секретами»
Мы запускаем второй сезон вебинаров DevSecOps. В первом — мы говорили «много и обо всем». Теперь рассмотрим более локальные задачи: от мониторинга k8s и организации конвейера GitOps до управления «секретами» и резервного копирования в Kubernetes. Все задачи, которые мы рассмотрим на вебинарах, из...
Часто забываемые правила безопасности Docker: заметки энтузиаста ИБ
Последние пару лет я помогаю клиентам нашего облака внедрять DevOps-практики и делюсь своим опытом инженера DevOps. К сожалению, вопросы про информационную безопасность возникают у клиентов зачастую тогда, когда уже что-то произошло. У меня как у любителя киберзащиты постепенно накопилась целая...