Сообщения

Сообщения за 2022

Secure Supply Chain Consumption Framework (S2C2F)

Изображение
В ноябре Microsoft разработали и опубликовали интересный фреймфорк (набор практик) безопасности опенсорсного ПО в составе корпоративных продуктов - Open Source Software (OSS) Secure Supply Chain (SSC) Framework. Чуть позже они передали этот фреймворк сообществу Open Source Security Foundation, где он был опубликован уже под именем Secure Supply Chain Consumption Framework (S2C2F). Давайте посмотрим подробнее что там было интересного. 1. Во первых дается перечень актуальных угроз, связанных с использованием опенсорсных библиотек в продуктах, с примерами инцидентов и практик безопасности, которые помогут закрыть аналогичную проблему в вашем проекте Эта информация будет очень полезной при корректировки модели угроз для отдельного продукта - если вы знаете какие угрозы наиболее актуальны именно для вас, можно обратить свое внимание именно на соответствующие им практики защиты. Threats Real examples Mitigation via OSS SSC Framework Framework requirement reference Accidental vulnerabilities

OWASP Top 10 CI/CD Security Risks

Изображение
  В декабре OWASP опубликовали   Top 10 CI/CD Security Risk Сообщество OWASP уже отличалось широко известным рейтингом Top 10 web уязвимостей и мало известным Top 10 kubernetes уязвимостей. Почему решили сделать такой рейтинг и для CI/CD? Процессы, системы и окружения CI/CD - это сердце современной софтовой компании. Они доставляют код от разработчика до продакшена. В комбинации с подходами DevOps и микросервисными архитектурами CI/CD системы и процессы меняются и приобретают все большую значимость для бизнес-процессов компании: современные подходы автоматизации тестирования, использование K8s, непрерывной доставки GitOps приводят к усложнению цепочек доставки ПО (pipeline) развиваются практики Infrastructure as Code (IaC), Security as Code и даже Everything as Code интеграция с внешними поставщиками, партнерами и иными третьими лицами также является часть экосистемы CI/CD. Эти особенности позволяют быстрее, гибче и удобнее выпускать ПО, но они же приводят к росту числа атак на CI/CD.