можно ориентироваться на посты RoryMcCune. он там рассказывал как можно натянуть проверки в кубе под pci dss /channel/k8security/708

так ещё есть небольшой пак https://github.com/nirmata/kyverno-policies/tree/main/pci-dss

Читать полностью…

Ну, я только использовал жар сгинер из состава ждк.
Ну, суть же та же

Читать полностью…

а как ты проверяешь потом джары?

Читать полностью…

Ну типа вот так, если про докеры говорить.
А джары - там никакой магии нет и жарсигнера достаточно

Читать полностью…

на ум ток аттест_файлы приходят которые опять же сбоку лежат

Читать полностью…

https://docs.oracle.com/javase/8/docs/technotes/tools/windows/jarsigner.html

Читать полностью…

AI Security Newsletter

В свете текущих тенденций мы всё чаще пишем о синергии AI и безопасности. История про автоматизацию ИБ с помощью ИИ - это не только способ преодолеть пресловутый дефицит кадров (который, если смотреть исторически существовал, кажется, всегда: что во времена индустриализации 30х годов 20 века; что времена средних веков и аграрного хозяйства, что...), но и возможность реализовать пресловутый риск-ориентированный подход и гибкость системы защиты на практике (именно за счет применения ИИ, и высокоскоростной аналитики событий, журналов, изменений, угроз и т.д. мы впервые в истории получаем объективную возможность попытаться выстроить достаточно взвешенный подход к управлению ИБ организации).

В этот раз мы решили не мелочиться и предлагаем ознакомиться с пакетом материалов, который мы нашли за последние несколько недель.

1). jthack/ffufai – расширение для известного фазера ffuf, которое предлагает варианты файловых расширений для тестирования на основе предоставленного URL и заголовков. В основе используется выбор между OpenAI и Anthropic;

2). Using AI for Offensive Security - материал от Cloud Security Aliance о применении AI в OffSec, включая методики reconnaissance, scanning, vulnerability analysis, exploitation, и reporting.

3). The tech behind Semgrep Assistant’s triage and remediation guidance – статья о том, как работает AI Assistant от Semgrep. Используемый LLM помогает предложить варианты исправления уязвимостей в PR. Semgrep пошли дальше и предоставили клиентам своей enterprise-версии возможность автоматически генерировать правила на базе их движка, используя промпт.

4). Provisioning cloud infrastructure the wrong way, but faster - статья посвящена рискам использования LLM для генерации небезопасного Terraform-кода. Одной из проблем является то, что ИИ может сгенерировать инструкции для создания виртуальных машин с захардкоженными паролями, далеких от соответствия корпоративным политикам безопасности. В качестве примера в статье приведён пароль "P@ssw0rd1234!", предложенный ИИ при создании VM. Это происходит потому, что ИИ использует метод "следующего наиболее вероятного токена" для генерации текста, который не подразумевает полноценную рандомизацию, делая пароли предсказуемыми. Примечательно, что даже при использовании скриптов, созданных с помощью ChatGPT, пароли генерируются через небезопасный метод random...

5). TL;DR: Every AI Talk from BSidesLV, Black Hat, and DEF CON 2024. Подборка материалов по AI и security с конференций BSidesLV, Black Hat USA, DEF CON, проводимых в 2024 году (больше 60 докладов).

#ai

Читать полностью…

А чем тебе Алекс не нравится?

Читать полностью…

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

Он короткий всего 32 страницы (для нист дока это прям лаконично) но при этом описано доступным языком и с должной системнойстью. Правильный уровень детализации что бы на примере рассказывать всякие ИБ стратегии сеньор менеджменту за пределами ИБ

Читать полностью…

Когда самопровозгласил себя CISO слишком рано и приходится придумывать Mega-CISO (5+/3) 😄

Читать полностью…

cyberesilienceuae/the-taxonomy-of-ciso-roles-01580dac8c46" rel="nofollow">https://medium.com/@cyberesilienceuae/the-taxonomy-of-ciso-roles-01580dac8c46

Читать полностью…

За доказательство того, что в людях "куда больше астрологии", чем они думают в 2002, кажется, году Канеман нобелевку получил (даже у топовых "рациональных" экспертов)...

Читать полностью…

Как же ты ультанул с этими стикерами)

Читать полностью…

Спасибо! Теперь я знаю, что делать ! Куплю звезды 🌟 оптом и в розницу

Читать полностью…

/start@antispamname_bot

Читать полностью…

Ктонть видел готовые политики kyverno для NIST\PCI DSS
?))

Читать полностью…

https://www.ssl.com/how-to/cloud-code-signing-integration-with-github-actions/

Читать полностью…

эт почти победили
ну ок

Читать полностью…

seifeddinerajhi/sign-and-verify-container-images-with-cosign-and-kyverno-a-complete-guide-b32b1f6e6264" rel="nofollow">https://medium.com/@seifeddinerajhi/sign-and-verify-container-images-with-cosign-and-kyverno-a-complete-guide-b32b1f6e6264

Читать полностью…

аха, его смотрю, думал может еще какой лайфхак есть
еще момент как верифицировать подпись при сборке имаджа из докерфайла

Читать полностью…

ктонть jar\бинари подписывает?чем?
хочется добавлять инфу прям в артефакт, а не тащить отдельным файлом (.sig как у cosign)

всем привет)))

Читать полностью…

есть причины, не для чата, хочешь в личку

Читать полностью…

Жаль что это Бодрик)

Читать полностью…

Но кстати, там в конце ссылка на нист CSF 2.0, я только недавно добрался, мне прям понравилось почему-то

Читать полностью…

Думаю людям интересно будет. Там про роли и какие функции выполнять должны.
Да, жаль что не по РФ оно 🙄

Читать полностью…

когда название книги переводили маркетологи

Читать полностью…

🙃

#Юмор

Читать полностью…

странная методика выбора репы - по звёздам.
это больше на астрологию похоже, чем на разработку.

Читать полностью…

3.7 Million Fake GitHub Stars

«Чем больше количественный социальный индикатор используется для принятия решений, тем сильнее он подвержен коррупционному давлению и тем выше вероятность, что он исказит и разрушит социальные процессы, которые должен отслеживать» (Закон Кэмпбелла).

О том, что на GitHub существуют фейковые звезды, известно давно. Однако насколько часто можно объективно оценить безопасность репозитория, исходя лишь из его популярности? Насколько эта проблема актуальна сегодня и какие последствия она влечет за собой? Ведь часто на аудитах коллеги пытаются аргументировать отсутствие собственного контроля безопасности supply chain тем, что "используют массово популярные компоненты", которые "наверняка безопасны, а если что-то вредоносное случится, то это сразу станет заметно и изменения отзовут/заблокируют ответственные ребята".

Рассмотрим ключевые моменты статьи компании Socket, специализирующейся на безопасности цепочки поставок:

1) Звезду можно купить всего за $0.10;

2) Накрутку часто используют в репозиториях, содержащих бэкдоры и вредоносные программы, включая те, которые крадут криптовалюту;

3) Поддельные звезды вводят в заблуждение венчурных инвесторов, побуждая их инвестировать в компании с низкокачественными продуктами и слабой активностью;

4) Несмотря на активную борьбу GitHub с накруткой, 89% подозрительных репозиториев с фейковыми звездами были удалены, однако 11% остаются доступными для пользователей (1 136 репозиториев), причем 28 из них отмечены на Virus Total;

5) Репозитории с накруткой существуют в среднем около одного месяца, что представляет ощутимую угрозу для пользователей, скачивающих такие проекты;

6) Лишь 18% аккаунтов, использованных для накрутки, удаляются с платформы.

В качестве решения данной проблемы сотрудник компании Socket предложил разработать детектор для выявления поддельных звезд на GitHub. Он основывается на данных из GHArchive, ежедневно обновляемого зеркала активности на GitHub, и двух ключевых эвристических методах:

Эвристика низкой активности: Позволяет выявлять аккаунты, которые создаются массово и используются однократно для проставления звезды репозиторию, после чего становятся неактивными. Такие аккаунты часто создаются с помощью автоматизированных скриптов.

Эвристика кластеризации: Определяет группы пользователей, которые отмечают большое количество репозиториев звездами в короткий промежуток времени, что свидетельствует о массовой покупке фейковых звезд.

Оба метода могут давать ложные срабатывания, поскольку фейковые аккаунты могут специально отмечать звездами легитимные репозитории для маскировки своей активности. Для повышения точности детектор использует дополнительную проверку, выявляющую репозитории с аномальными всплесками звёзд, указывающими на возможные покупки.

В результате данный детектор был добавлен в GitHub App компании. На их сайте также доступен список подозрительных репозиториев и другие полезные списки. Например, список репозиториев с подтвержденным вредоносным ПО, репозитории используемые с typosquat атаках и т.д.

На этом примере мы наглядно видим как эволюционное развитие технологии и бесконечное время злоумышленников для поиска уязвимостей неизбежно порождает новые сценарии атак, и вынуждает защитников создавать "костыли". Наподобие тематики вчерашнего поста.

#supplychain #securitycontrol

Читать полностью…

/start@antispamname_bot

Читать полностью…