Избранное про ИБ

2021-12-13 22:13:24 Привет!

Helm позволяет удобно структурировать все, что нужно для deploy и управлять изменениями.

Бывает, что при первом deploy надо создать секреты, используемые для аутентификации сервисов. Это можно сделать "вручную", а можно чуть иначе!

В статье описаны возможные способы автогенерации секретов с использованием возможностей helm:
Использование генераторов случайных чисел, поддерживаемых Helm
А если это не первый deployment и секрет уже был создан? Не вопрос, можно использовать "условное" (conditional) создание секрета - несколько if и lookup. Helm проверит существование секрета и создаст его, только если не обнаружит данных
Явное задание пользователем секрета в Values, но так лучше не делать, если только для тестов

P.S. Всем отличной пятницы и волшебных выходных! Открыть/Комментировать

2021-12-13 22:13:24 Решил прокачать свой devsecops поэтому в ближайшее время видимо будет много по этой теме Открыть/Комментировать

2021-12-13 20:36:03 Смотря на ситуацию с уязвимостью CVE-2021-42448, она же Log4j, она же Log4Shell, задаешься вопросом: "А кто у нас в стране отвечает за то, чтобы своевременно уведомлять всех заинтересованных лиц о наличии такой уязвимости, которая уже 3 дня как известна и примерно столько же активно эксплуатируется?"

БДУ ФСТЭК была обновлена сегодня, но этой дыры там нет. База уязвимостей НКЦКИ (на сайте safe-surf.ru) обновлена 6-го декабря и там этой уязвимости тоже нет.

Вообще, кто из двух регуляторов отвечает за уязвимости? Открыть/Комментировать

2021-12-13 20:35:40 Log4j - impacted products

Самое время посмотреть на те продукты, которые попали под impact от log4j:

https://github.com/NCSC-NL/log4shell/tree/main/software

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Фиксить придется много

#dev #ops #attack Открыть/Комментировать

2021-11-30 11:54:29 Опубликовал первую часть сравнения этапов лучших практик управления рисками ИБ с этапами моделирования угроз из методики ФСТЭК России #proib #подписка https://sborisov.blogspot.com/2021/11/blog-post.html Открыть/Комментировать

2021-11-26 15:56:48 НКЦКИ ФСБ России предупреждает опасаться RAT - легитимных средств удаленного администрирования используемых злоумышленниками Открыть/Комментировать

2021-11-26 15:38:48 Интересный разбор уязвимостей типа SSRF, который недавно попал в обновленный рейтинг  OWASP TOP-10 https://habr.com/ru/company/solarsecurity/blog/590673/ Открыть/Комментировать

2021-11-24 20:49:46 ​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​#events #privacy

Когда: 25 ноября
Где: онлайн пространство
Тема: Infobip Privacy Forum
Организатор: Infobip, Forbes
Язык: русский
Стоимость: бесплатно
Трансляция: здесь, программа Открыть/Комментировать

2021-11-23 09:58:45 Открыть/Комментировать

2021-11-19 16:13:14 Свежий плакат от safe-surf по безопасности аккаунтов Госуслуг: меры защиты, причины НСД от злоумышленников, возможные последствия, рекомендации Открыть/Комментировать