Size: a a a

DevSecOps - русскоговорящее сообщество

2019 December 17

GG

George Gaál in DevSecOps - русскоговорящее сообщество
другой вопрос, что это титанический объем работы, т.к. все это дерьмо активно пытается лезть в интернет
источник

P-

Pavel - in DevSecOps - русскоговорящее сообщество
St
основные требования ложатся нормально, есть специфика продукта
Я к тому, что презентация явно была не про то, как делать псидсс в одной отдельно взятой конторе. Иначе, отработав в ящике н-ное количество времени любая современная конференция по иб будет казаться бредом, потому что "у нас это не заработает"
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Nikita Remezov
Большинство аудиторов хотят видеть "где ваши доказательства" в рамках работающего регламента
это как?
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
типа "бля буду все ок" - не верят?
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
я уж не говорю, что как-то народ выкручивается (правда, зарубежом) с защищенными облаками амазон и пр.
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
просто если так рассуждать, то пришел аудитор, провел. Все ок. PCI DSS. Потом приходит инженер Петя и все разламывает к херам. До следующего аудита. Потемкинские деревни какие-то
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
ну, ок. Единственный варик - у нас была утечка, нас поймали за руку и назначили штраф. Но много кого ловят? Как-то я посмотрю всякие эквифаксы тупо штрафы платят и усе
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Pavel -
Я к тому, что презентация явно была не про то, как делать псидсс в одной отдельно взятой конторе. Иначе, отработав в ящике н-ное количество времени любая современная конференция по иб будет казаться бредом, потому что "у нас это не заработает"
Не надо просто умничать про Комплаенс, когда им не занимаешься.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
George Gaál
просто если так рассуждать, то пришел аудитор, провел. Все ок. PCI DSS. Потом приходит инженер Петя и все разламывает к херам. До следующего аудита. Потемкинские деревни какие-то
Для это есть SoX и HIPPA, где "Вас поломали?- все пиздец, ваш сертификат не валиден, пиздуйте за новым после нового аудита"
источник

S

St in DevSecOps - русскоговорящее сообщество
George Gaál
ну, ок. Единственный варик - у нас была утечка, нас поймали за руку и назначили штраф. Но много кого ловят? Как-то я посмотрю всякие эквифаксы тупо штрафы платят и усе
Так не говорят вроде про то, что делать для галочки
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
Anton
Да схему сети потребует, как и список правил фаера
Но есть вариант сделать типовые конфигурации в том же ансибл, а потом тегать сервера под них
В том числе, в тег/конфиг вписываете софт который стоит и вуаля
Но найдутся аудиторы из прошлого которые этого не примут
вы ведь в курсе, что аудиторов тоже можно выбирать? Выберите из будущего.
источник

P-

Pavel - in DevSecOps - русскоговорящее сообщество
buggy c0d3r
Не надо просто умничать про Комплаенс, когда им не занимаешься.
Без контекста вообще не ясно, про что там было
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Сергей
вы ведь в курсе, что аудиторов тоже можно выбирать? Выберите из будущего.
Они люди подневольные. Они же свою отчетность в Counsil сдают
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
короче, я понял
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
каунсил - это очередные паразиты
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
нужна революция )
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
чертовы бюрократы. Которые вместо генерации дохода, забирают его )
источник

S

St in DevSecOps - русскоговорящее сообщество
buggy c0d3r
Они люди подневольные. Они же свою отчетность в Counsil сдают
В некоторых моментах можно притянуть за уши доказательство)
источник

A

Anton in DevSecOps - русскоговорящее сообщество
сейчас чатик прикроют, аккуратнее 😂
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Anton
сейчас чатик прикроют, аккуратнее 😂
за экстремизм?
источник