Size: a a a

DevSecOps - русскоговорящее сообщество

2020 February 20

GG

George Gaál in DevSecOps - русскоговорящее сообщество
единственное, что бы я все-таки сделал - отключил из гита доступ в инет и наоборот - т.е. доступ только в периметре, для внешних клиентов - впн
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
buggy c0d3r
Твой разраб или малварь на его компе закидывают в репу шифрованный блоб, который благополучно переезжает из твоего "недоверенного" гита в твой "довренный" и деплоится на прод. Вот и скажи, какой ты слой безопасности кроме имитации построил?
Да, это не лечится, но теоретически можно отловить
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
И точно не разделением гита
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
George Gaál
единственное, что бы я все-таки сделал - отключил из гита доступ в инет и наоборот - т.е. доступ только в периметре, для внешних клиентов - впн
Конечно есть peer review и прочее
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Petr Rozhkovskiy
Конечно есть peer review и прочее
люди, к сожалению, умудряются проморгать ошибки
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
вот у тебя бинарный блоб - секрет в гите - как будешь ревьювить ? (он на то и закодирован, потому что секрет)
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
вопрос серьезный, кстати
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
buggy c0d3r
И точно не разделением гита
Мы только пытаемся минимизировать:))
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
и, да, вариант с НСД и кражей интеллектуальной собственности - закрывается нормальным договором
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Petr Rozhkovskiy
Мы только пытаемся минимизировать:))
вы театр безопасности устраиваете а не минимизацию
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
норм чел на это не пойдет, а договор только увеличит шансы, что он на это не пойдет
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
(но в РФ есть нюансы с NDA)
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
buggy c0d3r
вы театр безопасности устраиваете а не минимизацию
ПАПА-ПАПА, НАУЧИ КАК НАДО!
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
Понятно, что есть программы лояльности админов и разработчиков, они могут сами по глупости что-то поймать
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
George Gaál
ПАПА-ПАПА, НАУЧИ КАК НАДО!
Я выше ссылку уже дал. Вот так и надо
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
buggy c0d3r
вы театр безопасности устраиваете а не минимизацию
Предлагайте решение.??
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
👆
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
Почитаю обязательно
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
Хотя, думаю, если панацеи нет, то и это не панацея, но за советы и критику всем спасибо! Если будут ещё какие-нибудь мысли, буду признателен!
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Petr Rozhkovskiy
Предлагайте решение.??
логирование включите для начала на всех тачках и алертинг на аномалии. Пройдитесь тулзами по репозиториям в поисках ключей, сертификатов и интересностей
источник