security Archive

มาแล้วนะ OWASP Kubernetes Top 10

somkiat March 15, 2023 dev-ops

มาแล้วนะสำหรับ OWASP Kubernetes Top 10โดยทำการสรุปความเสี่ยงที่อาจจะเกิดขึ้นทั้งจาก application และ infrastructureที่ทำการ deploy บน Kubernetes clusterซึ่งจะเป็นแนวทางช่วยเหลือสำหรับ security, system admin และ developer อีกด้วยมีความเสี่ยง 10 ข้อที่แนะนำมา ดังนี้ลองดูรายละเอียดกันนะครับ น่าจะมีประโยชน์

ลองใช้งาน Go Vulnerability Management ในการตรวจสอบเรื่องความปลอดภัย

somkiat February 20, 2023 Programming, Tools

ทางทีมพัฒนา Go ได้ปล่อย Go Vulnerability Management ออกมาเมื่อปลายปี 2022ซึ่งมีเป้าหมายเพื่อตรวจสอบความปลอดภัยของ codeที่เขียนด้วยภาษา Go รวมทั้ง 3-party library ต่าง ๆว่าอาจจะเสี่ยงหรือมีช่องโหว่ในการโจมตีหรือไม่โดยได้ปล่อย CLI tool ทซึ่งเป็น opensource มาให้ใช้งานชื่อว่า vulncheck

น่าสนใจกับ Top 10 CI/CD Security Risks จาก OWASP

somkiat January 20, 2023 dev-ops, Practice

เพิ่งเห็นว่าทาง OWASP นั้นได้ทำ project ด้าน security ของ CI/CD ออกมานอกจากจะมี Web, API, Mobile และ Docker Securityเนื่องจาก CI/CD ได้รับความนิยม หรือ เรียกได้ว่าเป็นสิ่งที่ต้องทำเป็นปกติทั้ง environmentทั้ง process การทำงานทั้งระบบงาน และ pipeline การทำงานเพื่อให้สามารถส่งมอบระบบงานได้อย่างรวดเร็ว และ มีคุณภาพ

สวัสดี Github’s CodeQL กัน

somkiat July 19, 2022 Architecture, dev-ops, Tools

มาทำความรู้จักและลองใช้งาน GitHub CodeQL กันซึ่งสร้างขึ้นมาเพื่อทำการ scan sourcecode ต่าง ๆเพื่อตรวจสอบหาจุดบกพร่องของ code ในมุมมองของ bug และ securityหรือเป็น Static Application Security Testing (SAST)ซึ่งสามารถเขียน query เพื่อหารูปแบบที่ต้องการได้

สรุปแนวทางการป้องกันปัญหา Log4Shell สำหรับ Docker container

somkiat April 22, 2022 Tools

ใน blog ของ Docker เรื่อง 10 tips for keeping your Docker containers safe from Log4Shellได้สรุป 10 ข้อ สำหรับการป้องกันปัญหา Log4Shellที่อาจจะเกิดขึ้นได้ใน Docker containerโดยมี Cheat Sheet :: Docker + Snyk log4shell remediation ออกมาให้จึงทำการสรุปสั้น ๆ ไว้หน่อย

Update สถานการณ์ของปัญหา Spring4Shell

somkiat April 1, 2022 Programming

หลาย ๆ คนน่าจะกำลังเผชิญอยู่กับปัญหาที่เรียกว่า Spring4Shellหรือจาก CVE-2022-22965 : Spring Framework RCE via Data Binding on JDK 9+โดยทางทีมพัฒนาของ Spring ได้เขียนสรุปปัญหาและการแก้ไขปัญหาต่าง ๆไว้ในบทความนี้ Spring Framework RCE, Early Announcement

Elasticsearch 8 จะเปิด security by default

somkiat March 1, 2022 Tools

ใน Elasticsearch 8 นั้น ถ้าใครลองทำการ download และมาติดตั้งจะพบว่ามีการ enable ระบบ security มาให้เลยโดย defaultโดยในการ start ครั้งแรกแบบอัตโนมัติ

Postman :: Live ว่าด้วยเรื่อง Secure APIs

somkiat January 22, 2022 Tools

ไปเจอว่าทาง Postman ได้จัด live ด้วยเรื่อง How secure are your APIs?ว่า APIs ที่ดีควรจัดการเรื่องความปลอดภัยพื้นฐานอะไรบ้างลองไปดูกันนะ

Meme เกี่ยวกับ Log4Shell ในโลก online

somkiat December 21, 2021 เรื่องทั่วไป

เห็นในโลก online มีการทำ meme ของปัญหา Log4Shell ออกมาเลยทำการบันทึกไว้นิดหน่อยใครเห็นเพิ่มเติม แนะนำมาได้นะครับ

สรุปจากบทความเรื่อง Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)

somkiat December 14, 2021 Architecture, Programming

หลังจากอ่านบทความเรื่อง Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)เกี่ยวกับแนวทางการแก้ไขปัญหาของ Log4j version 2 แล้วมีสิ่งที่น่าสนใจคือ คำแนะนำต่าง ๆ หรือบทความในโลก online มีทั้งผิดและล้าสมัย มีคำแนะนำที่ไม่ดีมากมาย เช่น แก้ไขด้วย WAF หรือ ทำการ upgrade version ของ Java หรือ update format ของ log เป็นต้น

← Older posts