AZ
Основной вектор всех атак про которые я знаю, скомпрометированные приложеньки
Size: a a a
2021 April 26
PM
Гит раннерами вроде. Ну и разработчики внутренние
AZ
Ну вот смотреть что можно подложить туда полезного
PM
Если только кто-то совсем внутренний решит, что пора пойти во все тяжкие
AZ
В узких кругах известен случай когда через скомпрометированную машину разработчика положили полезный питонячий скрипт, а на кластере у людей аутбаунд был не ограничен...
PM
спасибо за вектор. у нас исходящий тоже ограничен ☺️
ME
Интересно, а до подписей кода ещё нигде не дошли? Чтобы в кластере выполнялся только подписанный код, а подписи надо собрать у разработчика, тимлида и девопса? Тогда нало ломать троих или центр сертификатов)
AZ
Мы в AnalyticOps дошли, подписываем пиклфайлы с моделями
ME
CI/CD подписывает артефакты?
AZ
Но там был кейс контрактора, у него не было доступа к кластеру вообще, он писал приложение которое потом ещё ревьюили, троян прошёл ревью и его задеплоили)
AZ
ME
Ревью уровня lgtm 😁
ME
Зато найти просто, кто и когда
AZ
Там была строка в requirements.txt чтоли, как-то замаскировано
AZ
Само приложение продолжало работать
PM
Страшный сон безопасника. А он как запустился то
ME
Это почти атака на цепочку поставок) для этого надо пакеты из публичных репозиториев себе в локальный выкачивать по аппруву и юзать только его...
AZ
Таких деталей я уже не знаю
AZ
Мне рассказывали в рамках историй про то что всякие блекдак и коверити свой хлеб не зря едят, и полезны не только для бэкенда, но и для аналитики
AS
может ссылка есть ознакомиться, интересная тема