Z
Ivan Shestopal
5 команд, где-то пол года
спасибо!
Size: a a a
2020 March 17
IS
спасибо!
Нзчт
NK
задача стоит) просто всем и хочется, и колется
Я бы спросил у того кто ставит задачу - какой результат нужен?
Если надо чтобы просто был куб - делать этот степ неблокирующим - просто отсылать репорты лидам.
Если надо чтобы в прод не шёл код с какой - валить пайплайн с ошибками, и вместе с лидами составлять список эксепшонов и false positives.
Если надо чтобы просто был куб - делать этот степ неблокирующим - просто отсылать репорты лидам.
Если надо чтобы в прод не шёл код с какой - валить пайплайн с ошибками, и вместе с лидами составлять список эксепшонов и false positives.
NK
Как вариант - договориться о периоде обучения куба, на который не валить пайплайн. Как-то так.
NK
В зависимости от размера конторы, learning period может быть от недели до года. )))
Z
Как вариант - договориться о периоде обучения куба, на который не валить пайплайн. Как-то так.
спасибо.
наверное буду тестить оба варианта. у нас не было опыта секьюрити в cicd. никто не знает, какой вариант для нас будет лучше. скорее всего попробую и так, и так, а начну со второго и понаблюдаю насколько это будет всех нас задалбливать. просто 3 стека, 7 команд и прежде чем отправляться, хотелось бы знать че ждет то впереди)
наверное буду тестить оба варианта. у нас не было опыта секьюрити в cicd. никто не знает, какой вариант для нас будет лучше. скорее всего попробую и так, и так, а начну со второго и понаблюдаю насколько это будет всех нас задалбливать. просто 3 стека, 7 команд и прежде чем отправляться, хотелось бы знать че ждет то впереди)
IS
По опыту, больше валит CI/CD dependency check, чем сонаркуб
IS
С этого и надо начинать
Z
Ivan Shestopal
С этого и надо начинать
проверка dependencies на cve?
GG
Ещё и на лицензии !
GG
А то затащишь агпл компонент в свой коробочный софт и привет
IS
проверка dependencies на cve?
Да
A
А в dependency check python requirements.txt ещё не завезли?
2020 March 18
S
спасибо.
наверное буду тестить оба варианта. у нас не было опыта секьюрити в cicd. никто не знает, какой вариант для нас будет лучше. скорее всего попробую и так, и так, а начну со второго и понаблюдаю насколько это будет всех нас задалбливать. просто 3 стека, 7 команд и прежде чем отправляться, хотелось бы знать че ждет то впереди)
наверное буду тестить оба варианта. у нас не было опыта секьюрити в cicd. никто не знает, какой вариант для нас будет лучше. скорее всего попробую и так, и так, а начну со второго и понаблюдаю насколько это будет всех нас задалбливать. просто 3 стека, 7 команд и прежде чем отправляться, хотелось бы знать че ждет то впереди)
Мы примерно месяца 4 шли к первым результатам и сейчас процесс продолжаем отлаживать. Разрабы самостоятельно заходят и черпают уязвимости, а безопасность апрувит их решения
S
Ну и до сих пор не блокируем сборки
S
И надо же как то контролировать, что из сборки не убрали сонар, что нет новых сборок без сонора и тд, в противном случае, блокировки сборок больше фикция
K
А в dependency check python requirements.txt ещё не завезли?
в owasp нет. trivy/depspy умеет в requirements, trivy ещё и в poetry.lock умеет.
anchore просто сканит всё, что напихано в site-packages.
anchore просто сканит всё, что напихано в site-packages.
2020 March 21
Н
👋 Буду рада, если вы сможете подсказать хорошие стажировки в ИБ
2020 March 22
K
можно верховному безопаснику его креды подарить в конверте. с таким никакая стажировка не сравнится.
С
Зачем конверт? Всё равно менять - сразу в рамочке