YS
Ну и по мотивам вчерашнего что-то дошли руки наклейки, которые мы делали в стикерпак оформить)))
Size: a a a
2020 March 03
S
Классные))
YS
Добавим ещё потом, как для нового оффзона будем готовить))
A
нам тут предъявили за попытку повесить подобный плакатик 🙁
но спасибо, будем в подполье передавать 🙂
но спасибо, будем в подполье передавать 🙂
YS
Классные))
Супер!
YS
нам тут предъявили за попытку повесить подобный плакатик 🙁
но спасибо, будем в подполье передавать 🙂
но спасибо, будем в подполье передавать 🙂
Эх, жаль(
у нас висит на стеночке, смотрит)))
у нас висит на стеночке, смотрит)))
A
Эх, жаль(
у нас висит на стеночке, смотрит)))
у нас висит на стеночке, смотрит)))
ну внутри кабинета мы повесили, снаружи - увы
2020 March 05
A
Это про обновлении pod, я про обновление самого кластера
Неделю назад 1.15 на 1.16 обновили. Нажали кнопку и все :)
Конечно до этого эту кнопку много раз нажимали чтобы подготовить версию на Ops окружение, потом Dev и только потом Prod. Спокойно и не спеша, читая доки и change log. OpenShift не обновлял, но соглашусь с комментарием выше, при наличии опыта и времени обновление ставится на поток и делается автоматически. P.S. Я все ещё про кластер
Конечно до этого эту кнопку много раз нажимали чтобы подготовить версию на Ops окружение, потом Dev и только потом Prod. Спокойно и не спеша, читая доки и change log. OpenShift не обновлял, но соглашусь с комментарием выше, при наличии опыта и времени обновление ставится на поток и делается автоматически. P.S. Я все ещё про кластер
A
нет)
пока в процессе тестирования anchore и truvy в CI пайплайн
пока в процессе тестирования anchore и truvy в CI пайплайн
Оба + Clair подымали в k8s. Clair по использованию оказался самый приятный. Но когда Sec принесли несколько контейнеров подготовленных только Anchore оказался более менее годен.
Но это очевидно учитывая что он идёт глубже всех.
Но настроить его стабильно на образы в 15 Мб и 4+Гб без хороших доков заняло время. Сейчас работает но там пришлось вертикальный скейлинг в K8S делать горизонтального нам не хватало.
Но это очевидно учитывая что он идёт глубже всех.
Но настроить его стабильно на образы в 15 Мб и 4+Гб без хороших доков заняло время. Сейчас работает но там пришлось вертикальный скейлинг в K8S делать горизонтального нам не хватало.
NK
Оба + Clair подымали в k8s. Clair по использованию оказался самый приятный. Но когда Sec принесли несколько контейнеров подготовленных только Anchore оказался более менее годен.
Но это очевидно учитывая что он идёт глубже всех.
Но настроить его стабильно на образы в 15 Мб и 4+Гб без хороших доков заняло время. Сейчас работает но там пришлось вертикальный скейлинг в K8S делать горизонтального нам не хватало.
Но это очевидно учитывая что он идёт глубже всех.
Но настроить его стабильно на образы в 15 Мб и 4+Гб без хороших доков заняло время. Сейчас работает но там пришлось вертикальный скейлинг в K8S делать горизонтального нам не хватало.
А чем же trivy не понравился? относительно быстрый и стабильный, сканит не хуже anchore
A
А чем же trivy не понравился? относительно быстрый и стабильный, сканит не хуже anchore
Он вообще ничего не находит, из реально опастного, что могут руками засунуть разработчики, даже не специально, а быстро потому что hash layer посмотрел и решил что все знает про контейнер
NK
Он вообще ничего не находит, из реально опастного, что могут руками засунуть разработчики, даже не специально, а быстро потому что hash layer посмотрел и решил что все знает про контейнер
а есть примеры из "реально опасного"?)
что например нашел anchore/...
как я понимаю, оба решения ищут известные CVE
что например нашел anchore/...
как я понимаю, оба решения ищут известные CVE
A
а есть примеры из "реально опасного"?)
что например нашел anchore/...
как я понимаю, оба решения ищут известные CVE
что например нашел anchore/...
как я понимаю, оба решения ищут известные CVE
Банально фейковые бинари, старые уязвимые версия поставленны поверх новых пропатченных
A
Anchore сканирует содержимое - trivy нет
A
вот и разница
A
Clair смотрит вроде как по середине, какие пакеты поставленны. Но если кто-то руками поставить типа make install, или просто curl - то уже все, не видит
NK
спасибо за инфу! надо будет ручками потестить на своей стороне, на OpenShift