Size: a a a

DevSecOps - русскоговорящее сообщество

2019 December 17

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Nikita Remezov
Аудит раз в год. Пентесты иногда надо делать дополнительные при больших изменениях
Пентесты надо полюбому делать вне зависимости от.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Если не юзаете WAF, то пентест после каждого релиза, как компенсационная мера.
источник

NR

Nikita Remezov in DevSecOps - русскоговорящее сообщество
buggy c0d3r
Пентесты надо полюбому делать вне зависимости от.
Я говорю про дополнительные - при больших изменениях
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Индус мне усирался доказывал, что новая система в скоупе - это катастрофа и отзыв сертификата
источник

NR

Nikita Remezov in DevSecOps - русскоговорящее сообщество
buggy c0d3r
Индус мне усирался доказывал, что новая система в скоупе - это катастрофа и отзыв сертификата
Или квалификация слабая или разводил на доп.аудит/конслатинг
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Конечно он жаждал бабла, только вот ткнуть этого нехорошего человека в Стандарт, дабы устыдить и пресечь его подлые намерения невозможно. В стандарте ничего про это не написано.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
И поскольку в репорте они описывают скоуп, то с формальной точки зрения, его мнение тоже вроде как недалеко от истины. В скоупе новая система не описана, а значит подтвердить комплаенс невозможно
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Сертификатом без ROCа можно печку топить
источник

NR

Nikita Remezov in DevSecOps - русскоговорящее сообщество
Вот такой вот нехороший человек...
источник

IA

Ivan Afanasiev in DevSecOps - русскоговорящее сообщество
buggy c0d3r
Конечно он жаждал бабла, только вот ткнуть этого нехорошего человека в Стандарт, дабы устыдить и пресечь его подлые намерения невозможно. В стандарте ничего про это не написано.
Если быть максимально задротом, то стандарты пишут более абстрактными и это норма
источник

IA

Ivan Afanasiev in DevSecOps - русскоговорящее сообщество
Ты пишешь гайдлайны на уровень ниже, где ссылаешься на стандарт
источник

IA

Ivan Afanasiev in DevSecOps - русскоговорящее сообщество
???
источник

IA

Ivan Afanasiev in DevSecOps - русскоговорящее сообщество
PROFIT
источник

IA

Ivan Afanasiev in DevSecOps - русскоговорящее сообщество
Но бумаг надо написать много, да
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
А потом твоим стандартом хуевертят, как с ISO.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Формально все пиздато, но под капотом ждет много удивительных открытий
источник

IA

Ivan Afanasiev in DevSecOps - русскоговорящее сообщество
buggy c0d3r
А потом твоим стандартом хуевертят, как с ISO.
Что есть, то есть
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Стандарты просто надо апдейтить постоянно, а не раз в три года
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Индустрия вон каждый день меняется
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
вчера монолит, сегодня микросервисы. Стандарты только только отдупляют, что есть среды виртаулизации. Про контейнеры они наверное еще через лет пять напишут.
источник