DevSecOps - русскоговорящее сообщество

07 Nov 2024 19:04

Хорусек вроде гоняет

DevSecOps - русскоговорящее сообщество

07 Nov 2024 12:02

Они обычно внутренние, либо у интеграторов можно попросить, они за конкурентами смотрят

DevSecOps - русскоговорящее сообщество

07 Nov 2024 12:00

https://owasp.org/www-community/Source_Code_Analysis_Tools

DevSecOps - русскоговорящее сообщество

06 Nov 2024 19:41

Мой косяк, согласен, версию не указал, намёк понял-принял)

DevSecOps - русскоговорящее сообщество

06 Nov 2024 19:38

Попробую флаги -XX:+UseG1GC -XX:+UseStringDeduplication -XX:MaxGCPauseMillis=250 -XX:MaxRAMPercentage=80.0 отсюда использовать, у нас версия 4.11.7, в этом issue пишут что после 4.9.0 всё должно работать) спасибо!

DevSecOps - русскоговорящее сообщество

06 Nov 2024 17:48

Guys, кто-нибудь сталкивался с протечкой памяти у dependency track? После запуска начинает жрать память в поде, пока не упирается в лимит и не перезапускается раз в 2 часа. Проектов 12,5к, от нагрузки график не меняется - потребление памяти растет также пока не упадет. Ограничение кучи дало только то что падать стало интенсивнее)

DevSecOps - русскоговорящее сообщество

02 Nov 2024 05:03

Я бы посоветовал ознакомиться с общими принятыми факторами

https://12factor.net/ru/codebase

в рамках одного продукта кодовая база должна быть одна и та-же, в ином случае ее стоит разделить на самостоятельные модули

отличия dev/stage/prod только в окружение в котором происходит развертывание.

Идем дальше, покрывать в идеале нужно shift left, но в текущей реалии сдвинуть "влево" без затрат возможно например secret detection анализ, данный класс решений отлично адаптирован на условный quality gate, можем вполне даже блокировать сборку при обнаружении (секрет убежавший в прод - это та еще проблема)

sast - в зависимости от используемой ASOC системы, если по классике - defectdojo, то исходим из бизнеса и рисков, а именно: если вы вендор ПО, продуктовая разработка, то вам достаточно на первых этапах просто покрывать релизы (MR в мейн/мастер с протектед тегом). Но если вы предоставляете услугу в народ и от работоспособности ваших сервисов зависит бизнес (процессинг,маркеталейсы, услуги коммуникации и прочее) - в таком случае я бы анализировал каждый MR в бранчах, так как важно в уже быть в момент продакшена осведомленным о рисках.
p.s. в дожу надо сразу правильно продумать подход по дедупликации, как многие знают оригиналы "скачут" по id, а данные о митигациях и прочем не клонируется в дубликаты

dast внедрять надо на staging, вообще у QA должны быть готовые кейсы, а в идеале совместить dast с qa практиками.

DevSecOps - русскоговорящее сообщество

21 Oct 2024 14:34

И от того, куда админ итак имеет доступ😁 но смысл понял, спасибо

DevSecOps - русскоговорящее сообщество

21 Oct 2024 14:25

Всем привет. Планируем проводить dast анализ веб приложения. В приложении есть аутентификация для админов, есть для обычных пользователей. Есть смысл проводить анализ для УЗ администратора?

DevSecOps - русскоговорящее сообщество

17 Oct 2024 14:51

мне бы тоже хотелось подробнее, но аниме и kde зовут.

DevSecOps - русскоговорящее сообщество

17 Oct 2024 14:45

6. Use cURL in your C/C++ code:

Include the curl/curl.h header file in your C/C++ code.
Link your program with the libcurl.a static library.

DevSecOps - русскоговорящее сообщество

17 Oct 2024 14:21

Dim Dim, [17.10.2024 17:11]
господа, что все таки делать с CURL на MINGW64?

Dim Dim, [17.10.2024 17:11]
подскажите директивы компиляции из командной строки?

DevSecOps - русскоговорящее сообщество

17 Oct 2024 08:58

dev и stage это ваши условные договоренности и обозначения у вас в голове)

DevSecOps - русскоговорящее сообщество

17 Oct 2024 08:57

P.S. если прям частые релизы, можно подумать в сторону ночных тестов по шедулеру. тип все что за день влили ночью гоняется. если что фаст патч

DevSecOps - русскоговорящее сообщество

17 Oct 2024 08:55

правильно я понимаю. что разработчики разворачивают свои фича-ветки в отдельном контуре, который вы называете dev, после того как произойдет мерж в (main/dev/.../нужное подчеркнуть) это становиться неким stage?

DevSecOps - русскоговорящее сообщество

07 Nov 2024 15:30

У меня дальше появился вопрос может кто знает фреймворк или утилиту, которая может запускать несколько тестов сразу для репы. Хочу таким образом просканить несколько реп несколькими утилитами

DevSecOps - русскоговорящее сообщество

07 Nov 2024 12:01

Точно, почему-то раньше не видел, спасибо. А может есть еще сравнения?

DevSecOps - русскоговорящее сообщество

07 Nov 2024 11:59

Добрый день, коллеги, может кто знает стравнительную таблицу по опенсорсным sast решениям? Может кто сам собирал или есть публичные

DevSecOps - русскоговорящее сообщество

06 Nov 2024 19:39

Ну это был намек на то, что может обновиться, да. Версия ж не указана в изначальном месседже

DevSecOps - русскоговорящее сообщество

06 Nov 2024 19:26

https://github.com/DependencyTrack/dependency-track/issues/2785#issuecomment-1745352884

DevSecOps - русскоговорящее сообщество

02 Nov 2024 05:20

жирно знаешь где? сборка clickhouse под svace)
это на 20-30 часов процесс 🫠

DevSecOps - русскоговорящее сообщество

29 Oct 2024 15:24

кто брутил 3des ключ?
поделитесь опытом

DevSecOps - русскоговорящее сообщество

21 Oct 2024 14:30

Ну вдруг у тебя через админа можно шелл получить в систему или доступ в бд. Зависит от самого приложения

DevSecOps - русскоговорящее сообщество

18 Oct 2024 07:19

компилил как только мог

DevSecOps - русскоговорящее сообщество

17 Oct 2024 14:45

вот тут хотелось бы по подробнее

DevSecOps - русскоговорящее сообщество

17 Oct 2024 14:38

https://g.co/gemini/share/4e47acaf97cd

DevSecOps - русскоговорящее сообщество

17 Oct 2024 09:00

можно и на dev гонять, очень сильно зависит от продукта, сколько компонентов в нем, сколько у вас мощностей (например, если у вас 500+ микросервисов, то для каждой фичаветки разворачивать такой стенд будет жирно по ресурсам, но когда уже отобранные изменения влиты, то не нужно столько ресурсов) а если 2 микросервиса, то как бы и ок) надо смотреть конкретнее

DevSecOps - русскоговорящее сообщество

17 Oct 2024 08:58

разворачиваем это всё на стенд stage, я правильно понял?

DevSecOps - русскоговорящее сообщество

17 Oct 2024 08:56

Тогда разворачиваем все это на стенд и натравливает DAST. Если совсем ограничены по ресурсам, то можно на этапе интеграционных/регресс тестов. тестирование на проде уже совсем крайний случай(

DevSecOps - русскоговорящее сообщество

17 Oct 2024 08:53

dev больше для разработчиков где они льют свои ветки, stage для QA, он стабильнее и там уже готовые сборки для теста