Size: a a a

DevSecOps - русскоговорящее сообщество

2020 March 11

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Alex Akulov
Не понял вообще про аудитора.
Любой аудитор по любому стандарту ИБ или нет, требует в первую очередь документацию. Нет документации - нет процесса, либо его очень сложно доказать
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Любая проверка контрагента на "вменяемость" начинается с чтения его бумажек и если их нет, то хер вам, а не контракт. И вопросы про разработку, методики, и т.д. сейчас в каждом опроснике.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Кто-то формально шпарит, а кто-то весьма подробно копает и спрашивает через сколько и каких сканеров sast-dast-хуяст вы прогоняете свой код
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Тут товарищ спрашивал про документацию процессов в DevOps.
Я рассуждаю так.
Процес сборки кода задокументрован в gitlab.yml идёшь и смотришь.
Процесс выкатки софта на сервера задокументрован в плейбуках идёшь и читаешь.
Подобным образом со всем остальным.
В идеале никакой доп. документация нет.
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
ужасно
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
зачем вам документация по ansible
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
зашел в гитхаб - посмотрел как реализовываются модули и какие параметры принимают
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
» Подобным образом со всем остальным.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Alex Akulov
Тут товарищ спрашивал про документацию процессов в DevOps.
Я рассуждаю так.
Процес сборки кода задокументрован в gitlab.yml идёшь и смотришь.
Процесс выкатки софта на сервера задокументрован в плейбуках идёшь и читаешь.
Подобным образом со всем остальным.
В идеале никакой доп. документация нет.
Не все аудиторы такие продвинутые, это раз. Два, есть много организационных моментов, которые в коде не отражаются
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
вчера моден шеф, сегодня ансибл, завтра еще какую хуету придумают... и так по каждому процессу... аудитор конечно все это должен знать и понимать :D
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Я не совсем понимаю при чём тут аудитор. Может я вопрос не правильно понял?
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Не знаю на счёт документации для аудторов.
Знаю компании где кучу сил тратится на ведение документацию для самих себя и она почти всегда бесполезна.
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Я могу множество примеров привести. Например есть страничка в вики, где списком написаны какие команды нужно выполнить чтобы получить какой-то результат.
Вот по мне эти команды надо в скрипте написать и запускалку удобную сделать, а не в вики.
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
значит так ведут, можно много бесполезного писать и воду лить
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
весь код хранить надо в vcs
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Alex Akulov
Я не совсем понимаю при чём тут аудитор. Может я вопрос не правильно понял?
Ты спросил, зачем вести документацию, если можно просто показывать репы с кодом. Я тебе привел одну из причин - докуменатция может понадобиться аудитору или при M&A или для business review
источник

as

alex suslin in DevSecOps - русскоговорящее сообщество
да хотя бы понять новому челу, где плейбуки лежат и как сервак к которому подключиться надо называется и где креды взять )
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Alex Akulov
Тут товарищ спрашивал про документацию процессов в DevOps.
Я рассуждаю так.
Процес сборки кода задокументрован в gitlab.yml идёшь и смотришь.
Процесс выкатки софта на сервера задокументрован в плейбуках идёшь и читаешь.
Подобным образом со всем остальным.
В идеале никакой доп. документация нет.
+++
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
покажи мне свои манифесты - и я скажу кто ты!
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Alex Akulov
Я могу множество примеров привести. Например есть страничка в вики, где списком написаны какие команды нужно выполнить чтобы получить какой-то результат.
Вот по мне эти команды надо в скрипте написать и запускалку удобную сделать, а не в вики.
+
источник