D
DevSecOps Talks
17.07.2026 04:21 · 👁 769
GuardDog: 3.0
Всем привет!
GuardDog – проект от Datadog, который позволяет идентифицировать вредоносные пакеты за счёт анализа исходного кода и метаданных о пакете.
Мы про него уже писали (тут и тут). Можно проследить постепенное развитие проекта: добавление возможностей расширения правил анализа пользователями, поддержка новых пакетных менеджеров и т.д.
Недавно было выпущено ещё одно крупное обновление – GuradDog 3.0!
Из основных изменений можно выделить:
🍭 Отказ от Semgrep в сторону YARA-правил. Почему? Ответ есть в статье 😊
🍭 Новая модель оценки рисков пакетов
🍭 Новый набор правил для идентификации подозрительных пакетов (через определение capabilities и через определение threat indicators)
🍭 Поддержка Nono в качестве «песочницы» при проведении анализа
🍭 Улучшение производительности и не только
Подробнее обо всех изменениях можно прочесть в статье. В ней есть всё, что нужно – причины изменений, описания, комментарии.
Рекомендуем!
D
DevSecOps Talks
16.07.2026 04:24 · 👁 1.1K
Secure AI Lifecycle Framework 2.0
Всем привет!
В приложении можно найти документ, в котором описан SAIL – Secure AI Lifecycle Framework 2.0 (~ 50 страниц).
Он представляет из себя практическое руководство о создании и запуске AI-приложений и агентов в «безопасном режиме».
Материал структурирован по разделам:
🍭 Executive Summary. Описание используемого подхода
🍭 Shape of the Agentic Attack Surface. Описание основных ИБ-проблем, с которыми можно столкнуться
🍭 SAIL. Основные разделы framework и их описание
Сам framework разбит на 7 разделов: AI Policy (Plan), AI Discovery (Code/No Code), Agentic Posture (Build), Agentic Red Teaming (Test), Runtime Controls (Deploy), Sandbox (Operate), Govern (Monitor & Retire).
Чтобы им удобнее было пользоваться, для каждого раздела (домена) определён перечень характерных рисков. Всего доступно описание 91 риска.
Описание содержит идентификатор (ID), риск, описание, пример, подверженные активы, способы устранения, соотношения со стандартами.
В завершении материала представлен небольшой пример (use case), который наглядно описывает использование SAIL 2.0.
D
DevSecOps Talks
15.07.2026 04:23 · 👁 1.3K
State of MCP Security 2026
Всем привет!
В приложении можно найти небольшой (~ 10 страниц) отчёт, посвященный безопасности MCP-серверов.
«Мы просканировали более 11 000 публично доступных MCP серверов. В отчёте можно найти нюансы, связанные с безопасностью, что мы нашли» - так начинается отчёт.
Примеры статистики из отчёта:
🍭 232 сервера позволяли выполнять произвольный код, запускать команды, десериализировали непроверенные данные и т.д.
🍭 78% из проверенных серверов не использовали dependency pinning
🍭 1617 содержат известные уязвимости. Перечень наиолее часто встречающихся приведён в отчёте
🍭 260 – запускали install scripts на рабочем месте пользователя
🍭 В 31% случаев наблюдались нюансы, связанные с аутентификацией (возможность анонимных вызовов)
Никакой воды, только цифры и немного комментариев – отлично подойдёт для быстрого изучения.
Кстати, Авторы заметили интересную корреляцию – чем больше у MCP-сервера «звёзд» на GitHub, тем больше у него нюансов с безопасностью.
D
DevSecOps Talks
14.07.2026 04:25 · 👁 1.3K
AppSec: вопросы для собеседований
Всем привет!
Мало кто любит собеседования, но все же иногда их приходится проходить для получения желанной работы.
Чтобы было чуть проще подготовиться, можно посмотреть на вот этот вот репозиторий. Да, он не будет учитывать специфику российского рынка, но всё равно может быть полезен.
Например, для практики – «А как бы я ответил на этот вопрос?». Возможно, что при чтении перечня найдётся область, в которой требуется изучение дополнительных материалов и т.д.
Примеры рассматриваемых вопросов:
🍭 Базовые. Объяснить несколько уязвимостей из OWASP Top 10, разница между SAST и SCA и т.д.
🍭 Общие. Точки «встраивания» ИБ в процессы разработки, что и кто делает и т.д.
🍭 Сценарные. Вы нашли X уязвимостей от инструмента Y, что вы будете с ними делать и почему?
🍭 Синтетические. Перед вами пример исходного кода. Есть ли тут уязвимость, какая и чем она опасна, при каких условиях?
🍭 Концептуальные. Как противодействовать brute force атакам, как именно SSL/TLS помогает в защите, разница между шифрованием и хэшированием и т.д.
Помимо безопасной разработки в репозитории есть аналогичные «опросники» и по иным темам: API Security, AI Security, Container Security и не только.
D
DevSecOps Talks
13.07.2026 04:21 · 👁 1.4K
k8scout: визуализация путей атак в Kubernetes
Всем привет!
k8scout решает простую, но интересную задачу: «Допустим, что в кластере есть pod с RCE. К чему это может привести?».
Утилита анализирует возможности компрометированного pod и пытается совершить разные «нехорошие действия».
Например:
🍭 Повышение привилегий до cluster-admin
🍭 Горизонтальное перемещение (exec в другие pod, «кража» их токенов)
🍭 Побег из контейнера (через привилегированные контейнеры, hostPID, hostNetwork, hostPath и т.д.)
🍭 Попытки изменения ресурсов кластера
🍭 Изменение конфигурации webhooks, созданных в кластере и т.д.
Результаты работы представлены в виде интерактивной карты (пример которой можно увидеть в GitHub-репозитории проекта).
Каждая сработка содержит идентификатор MITRE ATT&CK, уровень риска и пошаговый путь того, как это было сделано.
Подробности, по классике, в GitHub-репозитории проекта.
Важно: утилита совершает активные действия, которые могут повлиять на работоспособность кластера. Использовать аккуратно ☺️
D
DevSecOps Talks
10.07.2026 04:23 · 👁 1.7K
Observability с Monoscope
Всем привет!
Если вы в поисках observability-решения, которое работает с S3 и использует возможности LLM, то, возможно, Monoscope может вас заинтересовать.
Основные возможности Monoscope:
🍭 Возможность написания запросов «на обычном» языке с использованием LLM
🍭 Подключение агентов, которые будут сообщать об аномалиях
🍭 Оповещения, направляемые по электронной почте
🍭 Наличие графического web-интерфейса, в котором можно посмотреть информацию по событиям
Возможна локальная установка через Docker Compose. Есть ещё облачная версия, которая обладает большими возможностями (разница приведена в GitHub-repository).
Посмотреть на то, как это выглядит и уточнить подробности про возможности можно в репозитории проекта или на сайте с документацией.
D
DevSecOps Talks
09.07.2026 04:24 · 👁 1.7K
Secrets Ninja: валидация секретов
Всем привет!
Secrets Ninja – open-source проект, задача которого помочь в валидации найденных секретов, например, при анализе ПО или конфигурационных файлов.
Он поддерживает много сервисов, среди которых:
🍭 Bitbucket, GitLab, GitHub
🍭 Jira
🍭 MongoDB
🍭 NpmToken
🍭 PostgresQL и не только
Работает максимально просто: выбираем нужны сервис, указываем секрет, копируем curl-запрос и смотрим на ответную реакцию.
Можно установить локально (через npm или с использованием Docker) или использовать online-сервис (но лучше всё-таки для целей ознакомления с сервисом).
D
DevSecOps Talks
08.07.2026 04:23 · 👁 1.6K
Модели угроз пакетных менеджеров
Всем привет!
Недавно мы писали про CWE, характерные для пакетных менеджеров. Но это лишь «начало истории».
Автор статьи – Andrew Nesbitt – написал вторую часть, посвященную модели угроз пакетных индексов.
Именно её перевела на русский язык команда CodeScoring и разместила на Habr’e.
Самое интересное то, что Andrew рассматривает механизмы, которые «работают так, как и задумано», поэтому на них не заводят CVE, но их можно использовать для совершения атак.
Как и в предыдущей статье, внимание уделяется как клиентской части (логике пакетного менеджера), так и серверной (логике пакетного индекса).
Внутри можно найти:
🍭 Выполнение кода до/в момент установки
🍭 Однозначная идентификация имени пакета
🍭 Распределение имён
🍭 Неизменяемость опубликованных версий
🍭 Происхождение от исходного кода до артефакта и не только
Помимо понимания возможных ИБ-нюансов статья рассматривает (пусть и не очень детально) логику работы разных пакетных индексов и то, как сильно разные действия могут отличаться в зависимости от используемой технологии.
Это помогает лучше понять, как оно «работает на самом деле» и чего стоит ожидать.
Кроме этого, в статье очень много отсылок на «Package Manager CWEs», что делает её ещё более наглядной.
Однозначно рекомендуем к прочтению!
D
DevSecOps Talks
07.07.2026 04:23 · 👁 1.5K
Package Proxy: защита supply chain с Cloudflare
Всем привет!
Package Proxy – open-source инструмент, который содержит в себе набор встроенных проверок для работы с пакетами, получаемыми с и использованием популярных пакетных менеджеров: npm, pip, uv и cargo).
Примеры проверок:
🍭 Выпущен не более 10 дней назад (можно параметризировать)
🍭 (Не) входит в перечень разрешённых к установке версий
🍭 Версия пакета не является «yanked»
🍭 Способ загрузки пакета в индекс (не) изменился и не только
Дополнительно можно указать webhook-url, на который будет отправлена информация о заблокированном пакете.
Из нюансов – «локально» установить не получится, решение работает только с Cloudflare.
Подробнее можно прочитать в GitHub-репозитории или вот в этой статье.
D
DevSecOps Talks
06.07.2026 04:24 · 👁 1.6K
CWE пакетных менеджеров
Всем привет!
Интересное исследование провёл Автор статьи. Он проанализировал все доступные ему CVE, характерные для пакетных менеджеров.
После этого он собрал и систематизировал информацию о CWE, которые встречаются как на стороне клиента, так и на стороне реестра.
Например:
🍭 Archive extraction writes outside the target directory
🍭 Argument injection into git, hg, svn, and friends
🍭 Integrity checks that fail open
🍭 Stored XSS in rendered package pages
🍭 Publishing or replacing someone else’s package и не только
Интересно, что указанный список характерен для многих реестров – в независимости от того, с какими пакетами они работают и когда были разработаны.
Для каждой CWE приводится краткое описание (именно от Автора) и примеры CVE, на основании которых был сделан вывод.