DevSecOps - русскоговорящее сообщество

19 Feb 2023 23:20

на домене получаю 404 ошибку

DevSecOps - русскоговорящее сообщество

19 Feb 2023 09:42

Ну и главное ответ на важный вопрос 😁

DevSecOps - русскоговорящее сообщество

19 Feb 2023 09:05

Привет всем : ) , хочу изучать devops с чего начать и что нужно изучать?

DevSecOps - русскоговорящее сообщество

11 Feb 2023 18:16

или совсем плохой way?

DevSecOps - русскоговорящее сообщество

11 Feb 2023 18:14

А вы по oauth синхронизируете иерархию проектов из гитлаба согласно составу?
У нас поздний АД был на гитлабе, по сути структура гитлаба формирует премиссы для инструментов ИБ.
Не кажется костыльным подходы? В том плане, что можно же организовать эндпойнт по середине который мог бы вопервых сопровождать создание проектов забирая из гитлаба минимальные свойства, во вторых сократить кол-во access key гуляющих по рукам и упростить настройку нового репо (допустим достаточно было бы просто имя коммитера + свойство репо имя, id, группа. Отлавливаем отчеты, там же допустим конвертируем и грузим в необходимый инструмент/проект обозначая авторов и данные о иерархии. Иначе говоря если прям совсем упростить - разработчику понадобиться лишь эндпойнт адрес этого распределителя ну и скажем что ключик общий на гитлаб для шифрования передачи всех этих данных.

идея в том чтобы унифицировать и избавиться от гуляющих токенов. если бы у нас было бы пару сотен разрабов.... плюс токены по хорошему должны иметь ограниченный цикл жизни (как по дефолту 30 дней в сонаре), но конечно же его выпускают бещ срока скорее всего...

DevSecOps - русскоговорящее сообщество

11 Feb 2023 11:38

У нас немного иначе организованы репозитории)

DevSecOps - русскоговорящее сообщество

11 Feb 2023 11:30

Кстати, вопрос по хранению DAST reports например от ZAP.
Как вы выбираете DD product для dast репортов, если тестируется api или сайт в целом, который может состоять из кучи репозиториев (микросервисы). У нас в DD продукты мапятся на репозитории. Мб есть смысл создавать отдельный dd продукт, с именем домена или еще как, и уже туда загружать репорты? Мб кто-то имеет похожую проблему.

DevSecOps - русскоговорящее сообщество

10 Feb 2023 22:21

интересный подход, взял на вооружение

DevSecOps - русскоговорящее сообщество

10 Feb 2023 21:39

Все варианты имеют право на жизнь, но я все таки пошел в сторону бесконечно живущих engagement'ов, именованных по имени ветки. Ну и дедупликация на уровне eng.
Иначе было бы сложно трекать уязы когда у тебя все сливается в кучу, да еще с включенным дедупом на уровне проекта.

DevSecOps - русскоговорящее сообщество

10 Feb 2023 20:53

Ценность для ИБ отрицательная)

DevSecOps - русскоговорящее сообщество

10 Feb 2023 20:37

Так гитлаб доставить может релиз.

DevSecOps - русскоговорящее сообщество

10 Feb 2023 19:27

Нахера он нужен в этой связке

DevSecOps - русскоговорящее сообщество

10 Feb 2023 17:21

А что делает дженкинс, например в связке gitlab cicd + sq + dojo, часто вижу туда еще и дженкинс подкидывают, для какой цели?

DevSecOps - русскоговорящее сообщество

10 Feb 2023 12:26

привет. 1 прогон пайплайна -это 1 запись с отчетом со всех сканеров. Не умрет

DevSecOps - русскоговорящее сообщество

10 Feb 2023 11:28

Парни, подскажите где можно скачать варезную версию checkmarx, в ЛС

DevSecOps - русскоговорящее сообщество

19 Feb 2023 23:16

привет всем,пытаюсь задеплоить nodejs скрипт на сервере,с помощью докера

DevSecOps - русскоговорящее сообщество

19 Feb 2023 09:39

Привет. Примерно вот https://roadmap.sh/devops
Зависит от того, какие знания есть на данный момент. Обычно девопс не учат с 0, а вкатываются из другой профессии, которая дала базу, как из сисадмина. Иначе ,с современной скоростью изменений в айти можно попасть в цикл, когда только что то изучил -оно уже не актуально . Если есть знакомые девопсы,можно у них спросить, есть ли вакансия с обучением и на ходу прямо учиться. В идеале поднять свою инфру дома и на ней тренироваться плюс интерактивные базовые уроки с сайта кубера и хашикорпа.

DevSecOps - русскоговорящее сообщество

14 Feb 2023 12:45

Всем привет! Здесь можно разместить годную вакансию?

DevSecOps - русскоговорящее сообщество

11 Feb 2023 18:15

Конечно совсем без токенов не выйдет, как же issue, но хотя бы чисто из процесса cicd

DevSecOps - русскоговорящее сообщество

11 Feb 2023 15:11

2018) да я в целом, от всяких 1с-ников до джетов. Хвалят его, а за что а изза чего не говорят :) Решил на всякий убедиться. Гитлаба более чем достаточно. Боль лишь остается в сборке докеров в докер раннерах. Кубер бы...

DevSecOps - русскоговорящее сообщество

11 Feb 2023 11:35

у нас корневая группа репозитория = product type, проект/микросервис внутри группы = product, каждый вид теста - engagement, внутри engagements - бъются по типу сканера. тесты dast - мапятся на репозиторий, т.к. запускаются в пайпе репозитория конкретного репозитория

DevSecOps - русскоговорящее сообщество

11 Feb 2023 05:18

бесспорно. Может там legacy просто? Сборки в jenkins были давно. Работает, не трогай)

DevSecOps - русскоговорящее сообщество

10 Feb 2023 22:09

У нас сделано так же, только engagement'ы побили на sast, sca, dast
Просто, когда есть несколько последовательных сканов - тяжело разобраться, почему дефект предыдущего скана в текущем - пропал, точнее - он пропал из-за того что исправили или код так поменялся, что дефект теперь в другое место переехал

DevSecOps - русскоговорящее сообщество

10 Feb 2023 21:17

Подскажите плиз, а в чем плюсы по сравнению с подходом уважаемого @bim00074 ?

DevSecOps - русскоговорящее сообщество

10 Feb 2023 20:41

Единственный кейс может быть это автоматическое создание проектов в сонаре. В доке сонора описан процесс с дженкинсом и мол в этой связке при первом скане создаст в сонаре проект если его не было

DevSecOps - русскоговорящее сообщество

10 Feb 2023 19:45

Ну как.. Скомпрометировать систему через уязвимый плагин 😁

DevSecOps - русскоговорящее сообщество

10 Feb 2023 17:27

Деплой целевой приложухи?

DevSecOps - русскоговорящее сообщество

10 Feb 2023 14:07

привет
мы используем 1 engament на 1 ветку
т.е. если тестишь master branch, загружаешь репорты в master eng всегда

DevSecOps - русскоговорящее сообщество

10 Feb 2023 11:35

Всем привет. А расскажите пжл, у кого есть опыт с DefectDojo, кто как понимает engagements? Исходя из описания в доке это промежуток времени, в течении которого происходит тестирование. Эта логика неплохо накладывается на некие ручные тестирования, но не понятно как применить к CI. По логике - создавать под каждый build_id свой engagement? Не умрет ли DD от такого? Или мб создать какой то долгоживущий engagement на каждую ветку и в нем уже делать reimport к примеру чтобы не плодить тесты?

DevSecOps - русскоговорящее сообщество

09 Feb 2023 09:14

https://ip-calculator.ru