1043
Обсуждения на тему DevOps and Security. Делимся полезным контентом и практиками. https://github.com/devops-ru/awesome-devsecops_ru За DevOps/SRE можно потереть тут: @devopsmoscow
Здравствуйте!
У минцифры есть 2 вида сертов: сделанных с помощью RSA 2048 или элиптика ЕСС 256.
Когда мы генерим ключ, то указали и алгоритм, и ключа
openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048
[ req ]
# Options for the `req` tool (`man req`).
default_bits = 2048
default_bits = 256, то как мне указать, что это не RSA, а элиптики ЕСС?
Читать полностью…
Лицензия ФСТЭК ТЗКИ с соответствующими пунктами
Читать полностью…
Приветствую! Вот тут наши курсы бесплатно
/channel/secchamps/324
Всем привет! Вопрос такой: кто-то работал с этой херней хоть раз? Слышал может?
https://www.gitkraken.com/git-client-integrations/jira
Привет! у операторов Victoria metrics и rabbitmq по умолчанию очень шировакие права. В том числе на role binding. а это значит, что есть риск повышения привилегий. Кто как с этим борется?
Читать полностью…
Если бы слово насрано было командой, то это мы
Читать полностью…
У меня нет доступа до их инфры. Я просто предложил мониторить безопасность и показал как
Читать полностью…
Если бы моя работа ещё влияла на что-то, кроме лабораторного стенда...
Читать полностью…
Нас ломают стабильно раз в 3 месяца. Чудики из бекофиса, админы, приходили, мол, помогите нам мониторить безопасность. Я на лабораторном стенде настроил стек вазух, сурикату и прочее. После обращения к нам они обратились 0 раз
Читать полностью…
Ну эт довольно типичная ситуация, я только у прям больших компаний видел, что за этим нормально следят
Может у маленьких из-за сильного желания сильного девсека и следят, но это исключения
Ну ваще, дайте мне полномочия - я в бубен пропишу каждому. Наши додики не справились прочитать доку по ci и пихнули в мастер ветку в открытом виде логопасы от нексуса, например
Читать полностью…
А где там сек? Конфижить безопасно?
Читать полностью…
Есть люди, которые крутят только кубер и называют себя DevSecOps-ами (ничего против не имею). Им куда знания аппсека?
Читать полностью…
Не вводите коллег в заблуждение, пожалуйста!
DevSecOps - это про подходы к реализации процессов SDLC и автоматизацию.
AppSec - это про сам SDLC со всеми процессными/процедурными составляющими, где нет места DevSecOps (арх ревью, ручные аудиты и пр.). При этом возможно кто-то удивится, но SDLC можно вообще то посторить без DevSecOps.
Помимо прочего, DevSecOps еще и с инфрасеком граничит в области рантайма (куверны там, дистролесы, сек контексты, внедрение механизмов защиты на базе Linux, отслеживание аномалий и отправка событий в SOC).
По вашей логике инфрасек тоже входит в DevSecOps.
На стикере на экране?
Читать полностью…
А дальше авторизационное письмо от компании, что они вам разрешают, договор и правильные должностные у исполнителей
Читать полностью…
всем привет, есть контора по разработке сайтов и у руководства есть желание поделать безопасность, что нужно с точки зрения разрешений/бюрократии для законного использования DAST сканеров на сайтах клиентов?
разрешения на поиск уязвимостей/пентест от собственника, обученные ИБшники в штате, Акредитация IT конторы на проведения аудитов ИБ...
есть где то информация от и до, что нужно программа минимум и максимум условный
Здравствуйте! Более 10 лет работал специалистом ИБ, знаю все про ГОСТы, ФЗ и требования ФСТЭКа. Посоветуйте курс обучения, что бы мог работать в Devsecops.
Читать полностью…
База иб нужна точно. Что такое уязвимости их виды и как с ними работать. Остальное зависит от направления и задач. У нас два вида devsecops с разными наборами скилов. Один больше про инфру и iac, другой про безопасность продуктов. Из знаний разработки у них требования разные. Если devsecops все в одном, то скорее всего попросят знать как работает примерно стек языка, как на нем делается сборка, как происходит управление зависимостями в коде. Дальше обычно начинается appsec
Читать полностью…
Привет! может у кого-то есть обучающие материалы по Программно-аппаратный комплекс ViPNet TIAS+ViPNet IDS ?
Читать полностью…
Точнее, к нам подошли, попросили, а потом повертели на известном органе
Читать полностью…
Мне интересно, разобрался ли ты кто и почему их ломает или сразу предложил стек, который знаешь. А то может им тупо антивирус был нужен, а ты вазух, суриката
Читать полностью…
Ну кто-то же должен работать, в вашем случае похоже, что это вы
Читать полностью…
Да я как раз в большой
Читать полностью…
Лид в курсе, Лиду похуй
Читать полностью…
Да, внедрять говно всякое типа валтов, рбаков
Читать полностью…
Факт , как по мне девсек это такая же культура как и девопс со своими углублениями , хочешь в аппсек качайся, хочешь в клаудсек, ну итд
Читать полностью…
Дак так и говорят Входит. Как часть
Читать полностью…
и я тут не про правила внутри если что)
Читать полностью…
Секреты не в гитлабе храните? Суньор!
Читать полностью…