
DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал
JetHabr 8 минут назад DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал Средний 21 мин 163 Блог компании Инфосистемы Джет Информационная безопасность * Хакатоны Туториал В марте...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
Значимый прорыв формирует отрасль ИИ: JetHabr 8 минут назад DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал Средний 21 мин 163 Блог компании Инфосистемы Джет Информационная безопасность * Хакатоны Туториал В марте состоялся второй эпизод DevSecOps-митапа CyberCamp, в программу которого вошли киберучения на платформе Jet CyberCamp. Три задания, максимально приближенных к реальным задачам специалиста по безопасности приложений — в этом материале разберем их все. Вы узнаете, какие идеи закладывались в задания, где авторы расставили ловушки, и какие реальные кейсы из практики за ними стоят.
А пока вы с головой уходите в разбор этих кейсов, мы уже вовсю готовимся к новому формату — 17 июля в Москве на свежем воздухе пройдёт первый опен-эйр-фестиваль «Лето в Киберкэмпе 2026» с новыми киберучениями, докладами про ИИ, DFIR и живым общением у воды. Профиль небезопасностиЧто случилось? Вам как специалистам по безопасности контейнерных сред поручено изучить текущий профиль /etc/apparmor.
Технические детали
d/task-b-66, выявить недочёты и исправить их так, чтобы веб-сервер заработал корректно, а вредоносная активность внутри контейнера была заблокирована. Вам предоставлен доступ к тестовому кластеру Kubernetes с развёрнутым веб-сервером Apache HTTP Server, защищённым профилем AppArmor. Тем не менее, политика компании близка к zero-trust, в связи с чем предоставленный вам доступ весьма ограничен: вы можете только наблюдать за состоянием рабочей нагрузки через k9s, управлять профилем AppArmor (перезагружать и удалять) через sudo apparmor_parser, а также перезапускать поды.
Прямого доступа к контейнеру нет. Флаг № 1: Проваливаемся в пользователя. Пытаемся сориентироваться.
Sudo-команды для нас недоступны. Все, что есть — управление одним-единственным профилем task-b-66. conf надеяться не приходится, docker недоступен, skopeo тоже.
Отраслевые последствия
Благо, команда DSO благословила нас даром в виде k9s и доступным контекстом куба. Проваливаемся в контекст, открываем кластер, обнаруживаем себя всё такими же зажатыми, как и в ОС. Находясь в namepace task-b-66 без возможности просмотра других, видим умирающий страшный CrashLoopBackOff под:Начинаем разбираться.
Первым делом обнаруживаем, что нам доступны describe, logs и delete, но запрещен exec. Перезапуск пода, даже будучи ультимативным способом решения всех бед, в нынешних обстоятельствах не помогает. Изучаем describe, но, увы, здесь мы видим базовый минимальный одноподовый deployment с образом httpd:2.
23 (запомните этот тег, он нам понадобится! ) и подключенным профилем AppArmor task-b-66:Оставшись почти ни с чем, переходим к log и, наконец, натыкаемся на зацепку.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.





