Falco הוא פרוייקט Cloud Native וקוד פתוח להגנת runtime. למעשה הוא מנוע זיהוי איומים ל- Kubernetes. Falco נוצר ב-2016 ע"י חברת Sysdig, והוא פרוייקט ה- runtime security הראשון שהצטרף ל CNCF (ארגון Cloud Native Computing Foundation). Falco מזהה התנהגות לא-צפויה של אפליקציות, ומתריע על איומים בזמן אמת. Sysdig Secure מרחיב את היכולות של Falco בזיהוי […]
כל הפוסטים בקטגוריה ‘DevSecOps’
מוזמנים לוובינרים הקרובים שלנו!
אני שמח להזמין אותך לוובינרים הקרובים שלנו בנושאי DevOps + Security . כל הפתרונות והמוצרים שיוצגו בוובינרים מתאימים גם לריצה בענן וגם לריצה על שרת פרטי (Self-hosted) כולל רשתות סגורות. לכל הוובינרים תהיה הקלטה (והיא תשלח לנרשמים ימים ספורים לאחר המפגש). תוכן עניינים הגנה וניטור Containers ו- Kubernetes מה חדש ב- HashiCorp Vault ? […]
הקלטה חדשה: וובינר SonarQube – סיכום, הקלטה ושקפים
ביום רביעי ה- 28/4/2021 העברנו וובינר (בעברית) על SonarQube והרעיונות של Code Security ו- SecDevOps, וזאת בעקבות שאלות שנשאלנו לעתים תכופות בנוגע להבדלים בין גירסאות SonarQube השונות ומה מספק המוצר. בוובינר סקרנו את ההבדלים בין הגירסא החינמית לגירסאות השונות, ובפרט לגבי היכולות הנוספות שבגירסת SonarQube Enterprise (ובדגש על Security Reports). הוובינר כלל גם הדגמה קצרה […]
הזמנה לוובינר חי: Code Security and Compliance using GitLab
לא רבים יודעים, אבל ב- GitLab יש גם אפשרות למגוון בדיקות security על קוד שאתם מפתחים ו/או משתמשים (קוד פתוח), וכן יכולות של code compliance – דהיינו לוודא שאתם עושים שימוש תקין וחוקי בקוד הפתוח שאתם משתמשים בו. למעשה ב – GitLab אפשר גם להריץ את הבדיקות על הקוד, ולאחר מכן לראות הכל באמצעות דשבורד […]
איך לשמור את אפליקציית ה- Java שלכם מוגנת?
מאז ש- Oracle הפסיקה לספק עדכוני אבטחה בחינם עבור Java 8 ו- 11, פורסמו מעל 70 נקודות תורפה של Java (והרשימה מתארכת). פריסת התיקונים לאבטחת זמן ההפעלה של Java הפכה מאתגרת יותר יותר, וכוללת בתוכה כמה אתגרים, כגון: האם יש צורך באבטחת סביבות זמן ריצה של Java? מה האסטרטגיה של הארגון שלך לאבטחת Java? בהקלטת […]
הדגמת Fossa : סריקת חולשות קוד פתוח יחד עם GitHub Actions
בשנים האחרוונות יותר ויותר ארגונים מבינים את היתרונות של קוד פתוח – מה שתורם לכך שרבים מהם משתמשים בקוד פתוח (וספריות קוד פתוח) כחלק מפיתוח התוכנה שלהם. אבל יחד עם היתרונות זה מביא גם אתגרים – וככל שמשתמשים יותר ויותר בקוד פתוח, חשוב להבין את המשמעות של כך ולטפל בכך. מוזמנים לצפות בהקלטה חדשה, המספקת […]
צ'קליסט – אבטחת Kubernetes (מסמך להורדה)
קוברנטיז (Kubernetes) הפכה בפועל למערכת ההפעלה של הענן. היא מאפשרת למפתחים לארוז בקלות את האפליקציה שלהם לתוך microservices ניידים (שניתן לנייד ולהעביר). יחד עם זאת קוברנטיס מאתגרת מאוד לתפעול, בפרט בהיבטי ה- security. מפתחים ואנשי DevOps מזניחים לעתים את נושאי האבטחה וה- security ומשאירים זאת לסוף (אם בכלל). Kubernetes דורש גישה חדשה ל- Security כלי […]
הסברים והדגמה איך להשתמש ב- GitLab CI יחד עם Vault
העלנו לכאן סרטון חדש ושימושי, הכולל הסברים והדגמה (דמו). הדמו מציג איך אפשר לחבר בין GitLab CI לבין HashiCorp Vault ע"מ לחשוף את הסודות (secrets) ל- GitLab runners . הדמו גם מציג איך סודות בסביבת production יכולים להיות מוגנים משימוש לא נכון. בתחילת הסרטון יש כמה דקות של רקע ומבוא על Vault ועל GitLab CI […]
יצאה גירסא 8.5 של SonarQube
אנו שמחים לעדכן שגירסא 8.5 של SonarQube שוחררה לאחרונה, ובה פיצ'רים חדשים. מה חדש ב- SonarQube ? חוקים חדשים ל- ++C יכולות חדשות לסריקת Java, Python ו- #C (מבוססות טכנולוגיה של חברת RIPS שנקנתה לאחרונה ע"י SonarQube) חוקים חדשים ל- #C (זיהוי חולשות XSS) Wizard חדש שמאפשר לקשר בין SonarQube לבין פרוייקטים קיימים של GitLab […]
אימוץ שירותים משותפים: Vault, Terraform ו- GitLab במחלקת ההגנה האמריקאית
תתארו לכם העברת 3000 יישומים לענן (30% מהם כתובים ב- Cobol) עבור משרד ההגנה האמריקני, כאשר תמיכה ב- multi-cloud היא דרישת חובה. מסתבר ש- Terraform ו- Vault של HashiCorp הם כלים שימושיים מאוד לצורך זה. בשל הדרישות היחודיות בתוך מחלקת ההגנה האמריקאית, ארכיטקטורת multi-cloud היא בגדר דרישת חובה כדי לעמוד במורכבות של edge computing […]
ניוזלטר חדשות HashiCorp Vault אוגוסט 2020
לאחרונה הצטברו לנו כמה עדכונים על Vault מבית HashiCorp (חברה שאנו מייצגים רשמית בארץ ובחו"ל) – וחשבנו לרכז את כולם יחד. הקלטת וובינר וסיכום: מה חדש ב – Vault לפני כמה שבועות אירחנו את John Boero מחברת HashiCorp , שהציג מה חדש ב- Vault וגם ענה לשאלות ששאלו המשתתפים שנשאל על המוצר. לשמחתי הוא הספיק […]
וובינר: חולשות אבטחה בקוד פתוח בסביבות Enterprise
יותר ויותר ארגונים מבינים את היתרונות של קוד פתוח – מה שתורם לכך שיותר ויותר מהם משתמשים בקוד פתוח (וספריות קוד פתוח) כחלק מפיתוח התוכנה שלהם. אבל יחד עם היתרונות זה מביא גם אתגרים – וככל שמשתמשים יותר ויותר בקוד פתוח, חשוב להבין את המשמעות של כך ולטפל בכך. בוובינר הבא מדבר Xing Ding, מנהל […]
סרטון היכרות עם Sysdig Secure
מוזמנים לצפות בסרטון קצרצר (דקה וחצי) על פתרון Sysdig Secure הפתרון מיועד לעובדים ב- Cloud-native – גם בענן וגם ברשתות סגורות לנוחיותכם תרגמנו והוספנו כתוביות, ותקציר. אנו מייצגים את מוצרי Sysdig בארץ, ולצד רשיונות ומציעים גם יעוץ, הטמעה והדרכה. פנו אלינו למידע נוסף: sysdig@almtoolbox.com או טלפונית 072-240-5222 תקציר סרטון Sysdig Secure: הקצב המהיר של […]
יצאה גירסא 8.4 של SonarQube
אנו שמחים לעדכן שגירסא 8.4 של SonarQube שוחררה לאחרונה, ובה פיצ'רים חדשים. מה חדש ב- SonarQube ? הרחבת התמיכה בשפות Python, Java, C, C++, PHP, Objective-C ועוד: תוספת תמיכה ב- XSS Detection ל- Python כיסוי נוסף ל- 4 מתוך 10 החולשות החמורות יותר לפי ההגדרה של OWASP הרחבת תמיכה בזיהוי חולשות בשפות Java, C, C++, PHP, Objective-C אפשרות לגיבויים חמים (ללא […]
החל מהשבוע הקרוב: מוזמנים ל- 5 וובינרים בנושא DevOps, CI/CD וענן שאנו מארחים
מוזמנים ל- 5 וובינרים שאנו מארחים ממש בקרוב! 4 וובינרים על מוצרי HashiCorp החל מיום ג' הקרוב (30/6/2020) אני מארח סדרה של וובינרים על מוצרי HashiCorp, בשיתוף עם חברת HashiCorp (אנו מייצגים את החברה בארץ ובמדינות נוספות). כל וובינר יוקדש לאחד המוצרים הבאים: Vault, Terraform, Consul, Nomad , ובכל וובינר נציג מה התחדש לאחרונה במוצר […]