Size: a a a

DevSecOps - русскоговорящее сообщество

2020 April 14

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Alex Akulov
У меня есть виртуалочка в DO.
С такими настройками ssh
PasswordAuthentication no #  запрещено логиниться по паролю, только по ключам
PermitEmptyPasswords no # запрещено логиниться с пустыми паролями
PermitRootLogin no # запрещено логиниться под root

Но на случай проблем с сетью я хочу иметь возможность зайти через консоль DO в виртуалку под root и что-то починить.
Какие риски если я сделаю локальный вход под root вообще без пароля?
не надо рута без пароля
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
с другой стороны - у тебя скорее всего любой кулхацкер работающий в ДО при наличии физического доступа к гипервизору или панели управления твоей может сбросить пасс
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Anton
Оставив ключи для ssh без авторизации по паролю
+
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Anton
Для доступа в консоль DO имеется ввиду. Там вроде есть возможность получения доступа к виртуалке, а так же сброса root пароля
Доступ в консоль DO уже двухфакторный.
Система которая сбрасывает root-пароль на виртуалке работает через агента и в случае проблем с сетью может сломаться. Поэтому я ей до конца не доверяю. Хочется заранее подготовить возможность быстро зайти на нужную тачку через консоль.
источник
2020 April 15

Z

Zhannur in DevSecOps - русскоговорящее сообщество
ребят, по sonarqube вопрос. есть ли в бесплатной версии возможность по дефолту подписывать участников группы на notifications когда меняется статус по quality gate?
или каждому придется ручками тыкать на что он хочет подписываться
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Zhannur
ребят, по sonarqube вопрос. есть ли в бесплатной версии возможность по дефолту подписывать участников группы на notifications когда меняется статус по quality gate?
или каждому придется ручками тыкать на что он хочет подписываться
Only users who subscribe themselves will get notifications. With only one exception, there is no admin functionality to proactively subscribe another user. If you believe a user should be receiving notifications, then it's time to practice the gentle art of persuasion.

https://docs.sonarqube.org/latest/instance-administration/notifications/

Или ты не об этом?
источник

Z

Zhannur in DevSecOps - русскоговорящее сообщество
rus dacent
Only users who subscribe themselves will get notifications. With only one exception, there is no admin functionality to proactively subscribe another user. If you believe a user should be receiving notifications, then it's time to practice the gentle art of persuasion.

https://docs.sonarqube.org/latest/instance-administration/notifications/

Или ты не об этом?
ух, спасибо, проглядел видать
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Zhannur
ух, спасибо, проглядел видать
🤝
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Смотрю, тут есть несколько интересных докладов про DevSecOps. Если кто-то посмотрит, напишите впечатления.
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
И сегодня же, в 09:00 UTC начнется AllTheTalks.online — 24 часовая онлайн конференция с 3 треками на разные темы вокруг DevOps, Development & Security 📺

Программа: https://www.allthetalks.org/schedule/
#conference #AllTheTalks
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Мне особенно нравится, что тут не только доклады про SDLC под соусом DevSecOps, но и про другие аспекты, в том числе про изменение культуры.
источник

AD

Alex D in DevSecOps - русскоговорящее сообщество
ПОЧТИ СССР ПОЛУЧИЛСЯ
источник
2020 April 18

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Liz Rice. Container Security: Fundamental Technology Concepts that Protect Containerized Applications. April 2020.
источник
2020 April 20

NM

Never Mind in DevSecOps - русскоговорящее сообщество
Кто может посоветовать SAST для PHP open-source/free 🙂
источник
2020 April 21

DD

Denis Denisov in DevSecOps - русскоговорящее сообщество
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Never Mind
Кто может посоветовать SAST для PHP open-source/free 🙂
С пыхой можно и просто грепать уязвимые функции)
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Если надо просто чекнуть софт на грубые ошибки , то вот берите грепалку)
https://github.com/httpnotonly/small-sast/blob/master/small_sast.py
источник

S

St in DevSecOps - русскоговорящее сообщество
Never Mind
Кто может посоветовать SAST для PHP open-source/free 🙂
Посмотри на сонаркубе
источник

NM

Never Mind in DevSecOps - русскоговорящее сообщество
спасибо, да по сонаркуб пойду почекаю, он как раз с ларавел дружит
источник

S

St in DevSecOps - русскоговорящее сообщество
Never Mind
спасибо, да по сонаркуб пойду почекаю, он как раз с ларавел дружит
У него ещё есть модули, которые отвечают за разные языки
источник