В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DevSecOps - русскоговорящее сообщество

443 membersпожаловаться на группу
2020 February 20

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
buggy c0d3r
Основания? Вы математически можете доказать "доверенность" среды? Для любого мо ента времени? Скорее всего нет, либо это будет фикцией. Так что относитесь к любой среде как к недоверенной
В ИБ мы отталкиваемся от рисков, вероятности из реализации и тп.
источник
14:52пожаловаться#1

GG

George Gaál in DevSecOps - русскоговорящее сообщество
эм, может стоит поменять подход ?
источник
14:53пожаловаться#2

GG

George Gaál in DevSecOps - русскоговорящее сообщество
а то получается, что самый безопасный код - это код, который не написан
источник
14:53пожаловаться#3

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Petr Rozhkovskiy
В ИБ мы отталкиваемся от рисков, вероятности из реализации и тп.
sticker.webp
(32.83 Кб)
источник
14:53пожаловаться#4

GG

George Gaál in DevSecOps - русскоговорящее сообщество
или - код запускаемый на сферическом компе под какой-то непонятной версией линукса за 10 стенками под землей под 10 замками и без доступа куда бы то ни было
источник
14:53пожаловаться#5

GG

George Gaál in DevSecOps - русскоговорящее сообщество
ок, такой системой пользоваться нельзя, но что поделаешь )
источник
14:53пожаловаться#6

GG

George Gaál in DevSecOps - русскоговорящее сообщество
зато БЕЗОПАСНО и ДОВЕРЕННО )
источник
14:54пожаловаться#7

GG

George Gaál in DevSecOps - русскоговорящее сообщество
извините, просто накипело
источник
14:54пожаловаться#8

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
В доверенной среде риски и вероятностно ниже, в виду наличия контролей srp, отсутствие привилегированных прав и т.п.
источник
14:54пожаловаться#9

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
George Gaál
извините, просто накипело
Ничего, привык уже за 20 лет:))
источник
14:54пожаловаться#10

GG

George Gaál in DevSecOps - русскоговорящее сообщество
> отсутствие привилегированных прав

на машине разраба, откуда он коммитит ?
источник
14:54пожаловаться#11

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
George Gaál
> отсутствие привилегированных прав

на машине разраба, откуда он коммитит ?
На рабочих станциях пользователей :)
источник
14:55пожаловаться#12

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Petr Rozhkovskiy
В доверенной среде риски и вероятностно ниже, в виду наличия контролей srp, отсутствие привилегированных прав и т.п.
А потом джун обсирается и не чистит инпут и ваши контроли srp и отсутствие привелегий вместе с вашей доверенной средой превращаются в тыкву
источник
14:55пожаловаться#13

GG

George Gaál in DevSecOps - русскоговорящее сообщество
у меня плохие новости опять же )
источник
14:55пожаловаться#14

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
У админов отдельные рабочие станции для посадки патчей и прочего
источник
14:55пожаловаться#15

GG

George Gaál in DevSecOps - русскоговорящее сообщество
buggy c0d3r
А потом джун обсирается и не чистит инпут и ваши контроли srp и отсутствие привелегий вместе с вашей доверенной средой превращаются в тыкву
примерно. У нас почему-то думают, что те же VDI станции решат все проблемы. На самом деле это проблемы не решает, зато создает - а) новые вектора угрозы б) делает типичный security through obscurity
источник
14:56пожаловаться#16

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Petr Rozhkovskiy
У админов отдельные рабочие станции для посадки патчей и прочего
админ по памяти пишет шеллкод в машинных кодах и вставляет его в командную строку доверенной рабочей станции
источник
14:56пожаловаться#17

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
И сидят потом такие средостроители после пентеста чешут репу и приходят к пониманию Zero Trust =)))) Ну че, до кого-то через грабли доходит только
источник
14:57пожаловаться#18

GG

George Gaál in DevSecOps - русскоговорящее сообщество
image_2020-02-20_14-57-25.png
(1.59 Мб)
БЕЗОПАСНО
источник
14:57пожаловаться#19

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
buggy c0d3r
А потом джун обсирается и не чистит инпут и ваши контроли srp и отсутствие привелегий вместе с вашей доверенной средой превращаются в тыкву
Если вы о кодерах, то их косяки waf подчищает
источник
14:58пожаловаться#20