DevSecOps Talks

Telegram t.me web k

Статистика

Вся статистика

7396

Подписчики

Посты (30 дней)

29.81%

ERR%

0.00

Средний охват (сутки)

Язык

Russian

Описание:

Рассказываем об актуальном в мире DevSecOps. Канал DevSecOps-команды "Инфосистемы Джет"

Телеграм канал DevSecOps Talks @devsecops_weekly добавлен на наш сайт 10.02.2024
Информация о канале обновлена 17.11.2025.

Посты

Все посты

OWASP Top 10: 2025

Всем привет!

6 ноября 2025 года был представлен OWASP Top Ten 2025 Release Candidate.

Изменений получилось достаточно и даже появилось кое-что новое.

Сейчас список выглядит следующим образом:
🍭 A01:2025 - Broken Access Control // сюда «переехал» SSRF из OWASP Top 10 2021
🍭 A02:2025 - Security Misconfiguration // ⬆️
🍭 A03:2025 - Software Supply Chain Failures // Новое
🍭 A04:2025 - Cryptographic Failures // ⬇️
🍭 A05:2025 - Injection // ⬇️
🍭 A06:2025 - Insecure Design // ⬇️
🍭 A07:2025 - Authentication Failures
🍭 A08:2025 - Software or Data Integrity Failures
🍭 A09:2025 - Logging & Alerting Failures
🍭 A10:2025 - Mishandling of Exceptional Conditions // Новое

A03:2025 - Software Supply Chain Failures стала «расширением» A06:2021-Vulnerable and Outdated Components, демонстрируя, что безопасность цепочки поставки не ограничивается только управлением версиями используемых компонент.

A10:2025 - Mishandling of Exceptional Conditions – новая категория, «внутри» которой 24 CWE, связанных с некорректной обработкой ошибок, логическими и иными ошибками, которые могут привести к неконтролируемому поведению системы.

Подробнее с изменениями можно ознакомиться по ссылке.

Open Source Malware

Всем привет!

Open Source Malware – общедоступный ресурс, на котором собрана информация по вредоносным пакетам, которые можно найти в NPM и PyPi.

Также на сайте присутствует информация о Malicious Repositories, которые могут содержать криптомайнеры, использоваться для скама и/или фишинга.

Для каждого пакета приводится информация:
🍭 Описание угрозы
🍭 Детали payload’a (доступно только после регистрации через GitHub)
🍭 Информация о пакете и «издателе»
🍭 Ссылки на полезные ресурсы

На текущий момент база содержит информацию о 60к+ NPM пакетах, 9,7k PyPi пакетах и о 14 репозиториях.

Взаимодействовать с ресурсом можно и через API, описание которого представлено на сайте.

Chaos Engineering и MCP

Всем привет!

Цель Chaos Engineering – создание устойчивых систем. Проведение экспериментов с целью понимания скорости - локализации, реагирования и исправления проблемы.

Однако, реализация Chaos Engineering далеко не всегда (если вообще) – простая задача. Начиная от банального «а вдруг я что-то сломаю» и заканчивая технической сложностью реализации.

Именно вторую проблему пытается решить LitmusChaos MCP Server. Он позволяет проводить различные эксперименты.

Например:
🍭 Удаление frontend pod’ов
🍭 Изменение network latency
🍭 Создание http probe, которая проверяет API каждые 5 секунд
🍭 Получение статистики о (не) удавшихся экспериментах и не только

Никакого кода, никаких YAML или иных конфигурационных файлов, только «живое общение на обычном языке».

Больше о том, что может LitmusChaos MCP Server можно узнать в статье или в GitHub-репозитории проекта.

А стали бы вы использовать (доверять) подобную систему? Или все это слишком непонятно, рискованно, неконтролируемо?

IDOR Testing Checklist

Всем привет!

Продолжение темы предыдущего поста про IDOR. На случай, если вы не доверяете LLM и хотите во всем разобраться сами.

По ссылке можно найти checklist, в котором собраны рекомендации о том, что, как и когда стоит проверять для выявления IDOR.

Материал структурирован по разделам:
🍭 Setup & Target Identification
🍭 Direct ID Substitution & Enumeration
🍭 Path and URL Manipulation Bypasses
🍭 Logic & Endpoint Bypasses
🍭 Parameter & Body Abuse и не только

Для каждого раздела описано то, на что стоит обратить внимание.

Внушительный материал, в котором точно можно найти что-то интересное для себя.

Использование LLM для поиска IDOR

Всем привет!

Команда Semgrep продолжает анализировать возможность использования LLM для поиска ИБ-дефектов в исходном коде.

В «первой части» ребята использовали Claude Code и OpenAI Codex для анализа популярных open-source Python-приложений.

На этот раз они сфокусировались на одном определенном типе – IDOR. Перечень LLM остался без изменений.

Если кратко, то:
🍭 Всего было найдено 15 true positive и 93 false positive
🍭 Claude показал лучшие результаты
🍭 LLM хорошо показали себя в поиске простых ИБ-дефектов и не так хорошо в примерах со сложной логикой (например, когда проверка полномочий осуществлялась в разных файлах)
🍭 Возможно, что prompt engineering сможет улучшить полученные результаты

Больше деталей можно найти в статье. Включая информацию о том, почему для LLM поиск IDOR не такая тривиальная задача.

В результате имеем очень хорошее исследование, с которым мы рекомендуем вам ознакомиться ☺️

Forkspacer: создание fork’ов ресурсов и данных Kubernetes

Всем привет!

Forkspacer – open-source решение, которое позволяет создавать fork для окружения разработки. При этом «копируется» не только конфигурация, но и данные.

Может быть полезно, например, для случаев, когда каждой ветке разрабатываемого приложения нужно свое собственное окружение.

Помимо этого, Forkspacer позволяет реализовать гибернацию используемых ресурсов. Например, на случай, когда они не используются.

Настраивается достаточно просто – необходимо создать ресурс Workspace, в котором указать какой namespace мы хотим «скопировать» и указать что именно нужно копировать (ресурсы, данные и т.д.).

После этого Forkspacer создаст нужное окружение, с которым можно работать не опасаясь, что в исходном «что-то сломается».

Подробнее об архитектуре, установке, настройке, сценариях использования и примерах можно узнать в GitHub-репозитории проекта или в официальной документации.

Breaking Into GitLab

Всем привет!

Небольшая «пятничная статья», в которой Автор разбирает простую атаку на Self-Hosted GitLab. Начинается она с краткого описания сущностей и дальше переходит к самому интересному.

Рассматривается сценарий:
🍭 Initial Access: Hijacking a Runner. Задача – найти Instance Runner, который будет использован для дальнейшего развития атаки
🍭 Закрепление через Reverse Shell
🍭 Поиск того, что может помочь развить атаку
🍭 Закрепление в облаке (при условии, что Self-Managed GitLab развернут в нем)

Сам сценарий достаточно простой, но хорошо иллюстрирует то, что может произойти если не задумываться о безопасность процесса сборки.

В завершении Автор дает общие рекомендации о том, как можно защититься.

Если хочется больше материалов по теме, то можно обратить к этому руководству от Wiz.

Trivy MCP Server

Всем привет!

Trivy – очень популярный open source инструмент, который используется многими специалистами. Она позволяет сканировать образы контейнеров на наличие уязвимостей, искать секреты, анализировать конфигурационные файла и не только.

Недавно был представлен Trivy MCP Server. Если просто, то это некий «помощник», который может встраиваться в IDE.

Он может помочь, например, в решении задач:
🍭 Я хочу использовать образ в качестве базового, но не уверен есть ли в нем уязвимости
🍭 Мне нужно обновить образ до последней версии

В IDE будут предоставлены ответы от Trivy о том, какие есть уязвимости, какие есть ошибки в конфигурациях и как это можно исправить.

На текущий момент поддерживается VS Code, Cursor, IDE от JetBrains и Claude Desktop Integration.

Больше информации о проекте можно найти в репозитории или в документации.