Size: a a a

DevSecOps - русскоговорящее сообщество

2020 January 21

RA

Ruslan Alekperov in DevSecOps - русскоговорящее сообщество
Ruslan Alekperov
insightvm не дает сканить без соглашения об отправке
tenable io сканит, но доступ к результатам только в облаке их конторы доступен
вот жеж. tenable уже развернут, но там очень туго со сканированием контейнеров, какой-то ад в описании. и в конечном счете нужно подключаться к их облачному сервису для отправки результатов
источник

RA

Ruslan Alekperov in DevSecOps - русскоговорящее сообщество
Nessus вроде контейнеры не умеет...
источник

RA

Ruslan Alekperov in DevSecOps - русскоговорящее сообщество
и в идеале бы конечно интеграцию с k8s
источник

ДК

Дмитрий Ключников in DevSecOps - русскоговорящее сообщество
Ruslan Alekperov
кто использует коммерческие сканеры уязвимостей для контейнеров. есть решения которые делают скан и результаты без отправки в инет? то есть когда весь процесс проходит локально в своей инфраструктуре.
Twistlock (Prisma Cloud), Aqua
источник

ДК

Дмитрий Ключников in DevSecOps - русскоговорящее сообщество
прекрасно интегрируются
источник

NK

Niyaz Kashapov in DevSecOps - русскоговорящее сообщество
Ruslan Alekperov
кто использует коммерческие сканеры уязвимостей для контейнеров. есть решения которые делают скан и результаты без отправки в инет? то есть когда весь процесс проходит локально в своей инфраструктуре.
У synopsys BlackDuck вроде есть. Многие довольны

Anchore Enterprise. Бесплатный юзал, вроде очень даже ничего
источник

RA

Ruslan Alekperov in DevSecOps - русскоговорящее сообщество
спасибо, посмотрю
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Ruslan Alekperov
вот жеж. tenable уже развернут, но там очень туго со сканированием контейнеров, какой-то ад в описании. и в конечном счете нужно подключаться к их облачному сервису для отправки результатов
У них есть cloud и не cloud версия. Но сказать конкретно не могу.
источник

ДК

Дмитрий Ключников in DevSecOps - русскоговорящее сообщество
SC у них сканирует без отправки в облако
источник

ДК

Дмитрий Ключников in DevSecOps - русскоговорящее сообщество
так же как и у Rapid7
источник

ДК

Дмитрий Ключников in DevSecOps - русскоговорящее сообщество
А у Aqua еще есть контейнер, который пентестит контейнеры))
источник

RA

Ruslan Alekperov in DevSecOps - русскоговорящее сообщество
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
"Secure DevOps Appsec Cheat Sheet" SANS AppSec

#tools #checklist
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
На второй странице тоже есть некий чеклист по вебу
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
Это в продолжение этого
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
Народ привет, при аудите IT инфраструктуры часто ссоставляют security checklist чтобы потом оценить масштаб, ну и был план работ
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
Дмитрий Ключников
А у Aqua еще есть контейнер, который пентестит контейнеры))
Aqua не продается же в России
Через кого вы будете покупать?
источник

ДК

Дмитрий Ключников in DevSecOps - русскоговорящее сообщество
Через нас)
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
🤔
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
Denis Denisov
"Secure DevOps Appsec Cheat Sheet" SANS AppSec

#tools #checklist
ага спасибо, там если составить категориии по каждой категории находяться какие-то чеклисты, можно закопаться )
источник