Size: a a a

DevSecOps - русскоговорящее сообщество

2020 January 21

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
Ruslan Alekperov
кто использует коммерческие сканеры уязвимостей для контейнеров. есть решения которые делают скан и результаты без отправки в инет? то есть когда весь процесс проходит локально в своей инфраструктуре.
Вообще из on-prem: capsule8, Layered Insight, NeuVector, StackRox,Sysdig Secure, тинейбл, твистлок, Anchore Enterprise
Из всех насколько помню интеграция с k8s есть у всех
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
Ну и aqua
Но далеко не все в моем списке легко продаются в Рашке
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
а что такое "интеграция с k8s"? у меня pipeline тупо до деплоя не дойдёт, если 4 сканера чем-то недовольны.
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
Konstantin
а что такое "интеграция с k8s"? у меня pipeline тупо до деплоя не дойдёт, если 4 сканера чем-то недовольны.
Использование пространств имен, контроль доступа к API на основе RBAC, расширение политики безопасности подов
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
Ну это если про twistlock говорить
источник

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
как пример
источник

RA

Ruslan Alekperov in DevSecOps - русскоговорящее сообщество
Konstantin
а что такое "интеграция с k8s"? у меня pipeline тупо до деплоя не дойдёт, если 4 сканера чем-то недовольны.
в сравнении с tenable:
вот команда по которой сканить образ
docker save <your image name as it appears in the repository> | docker run \
-e TENABLE_ACCESS_KEY=<variable> \
-e TENABLE_SECRET_KEY=<variable> \
-e IMPORT_REPO_NAME=<variable> \
-i tenableio-docker-consec-local.jfrog.io/cs-scanner:latest inspect-image <Image name as you want it to appear in Tenable.io> \
я не сумасшедший такое проделывать. это должно быть "по-умному". указал ему оркестратор, дальше пусть там сам все проверяет.
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
Denis Denisov
Использование пространств имен, контроль доступа к API на основе RBAC, расширение политики безопасности подов
я просто думал, что задача просто после сборки проверить, что же собрали.
источник
2020 January 23

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Парни, а кто в спланке на такое наступал - создал Data input 514/tcp и вписал в вайтлист, что логи принимать с 192.168.170.0./24:514, он эту строку скушал, соединения рвал даже с этой сети, а потом не дал удалить этот Data input с ошибкой: Error occurred attempting to remove 192.168.170.0/24:514: Malformed IP address: 192.168.170.0/24:514.
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
кстати нет, переделал whitelist на сеть - так же ругается на malformed IP....
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Stanislav Sharakhin
Парни, а кто в спланке на такое наступал - создал Data input 514/tcp и вписал в вайтлист, что логи принимать с 192.168.170.0./24:514, он эту строку скушал, соединения рвал даже с этой сети, а потом не дал удалить этот Data input с ошибкой: Error occurred attempting to remove 192.168.170.0/24:514: Malformed IP address: 192.168.170.0/24:514.
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
не стоит конфигурить вообще через гуй
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Ну я чисто по наивности подумал что если гуй есть, им надо пользоваться, а оно вон как
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
пофиксил, через удаление в inputs.conf, но печалька в целом, сколько там ещё таких граблей
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
Stanislav Sharakhin
пофиксил, через удаление в inputs.conf, но печалька в целом, сколько там ещё таких граблей
если кластер или стретчед кластер не начнёшь делать то не так и много
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
у меня есть нищебродская лицензия на 5Гб в сутки и один крепенький хост, до кластеров ещё далеко )
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
от такого нищебродства бы никто не отказался
источник

GM

Gleb Mekhrenin in DevSecOps - русскоговорящее сообщество
ну кластер для HA даже. там идеология специфическая. кластризуются отдельные компоненты отдельно и менеджятся отдельно
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Да, я архитектурные гайды уже покурил, но пока не вижу большого смысла. Логи пока что терять не жалко, я на этапе сбора событий, так что до аналитики может и не дойдёт )
источник