GG
единственное, что бы я все-таки сделал - отключил из гита доступ в инет и наоборот - т.е. доступ только в периметре, для внешних клиентов - впн
Size: a a a
2020 February 20
PR
Твой разраб или малварь на его компе закидывают в репу шифрованный блоб, который благополучно переезжает из твоего "недоверенного" гита в твой "довренный" и деплоится на прод. Вот и скажи, какой ты слой безопасности кроме имитации построил?
Да, это не лечится, но теоретически можно отловить
bc
И точно не разделением гита
PR
единственное, что бы я все-таки сделал - отключил из гита доступ в инет и наоборот - т.е. доступ только в периметре, для внешних клиентов - впн
Конечно есть peer review и прочее
GG
Petr Rozhkovskiy
Конечно есть peer review и прочее
люди, к сожалению, умудряются проморгать ошибки
GG
вот у тебя бинарный блоб - секрет в гите - как будешь ревьювить ? (он на то и закодирован, потому что секрет)
GG
вопрос серьезный, кстати
PR
И точно не разделением гита
Мы только пытаемся минимизировать:))
GG
и, да, вариант с НСД и кражей интеллектуальной собственности - закрывается нормальным договором
bc
Petr Rozhkovskiy
Мы только пытаемся минимизировать:))
вы театр безопасности устраиваете а не минимизацию
GG
норм чел на это не пойдет, а договор только увеличит шансы, что он на это не пойдет
GG
(но в РФ есть нюансы с NDA)
GG
вы театр безопасности устраиваете а не минимизацию
ПАПА-ПАПА, НАУЧИ КАК НАДО!
PR
Понятно, что есть программы лояльности админов и разработчиков, они могут сами по глупости что-то поймать
bc
ПАПА-ПАПА, НАУЧИ КАК НАДО!
Я выше ссылку уже дал. Вот так и надо
PR
вы театр безопасности устраиваете а не минимизацию
Предлагайте решение.??
GG
👆
PR
Почитаю обязательно
PR
Хотя, думаю, если панацеи нет, то и это не панацея, но за советы и критику всем спасибо! Если будут ещё какие-нибудь мысли, буду признателен!
bc
Petr Rozhkovskiy
Предлагайте решение.??
логирование включите для начала на всех тачках и алертинг на аномалии. Пройдитесь тулзами по репозиториям в поисках ключей, сертификатов и интересностей