1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
И так с кадрами беда, чтобы еще всему миру помогать, ну нафиг
Читать полностью…
В PT AI тоже аналогично, бывают и фолзы. Суть в опенсорсе, некому накинуть за кривизну, нужно самому напильник настраивать
Читать полностью…
/channel/sec_devops_chat/29418
Читать полностью…
BlackDuck w/ signature scan. У меня девелоперы иногда диву давались откуда в артефакте такое взялось…
Читать полностью…
Про точность и как ее увеличить
Читать полностью…
если бы твой сбом формировал сборщик, то норм
а так, нет
за работу с PR отдельный респект))
Читать полностью…
Всем бы такое. Ну, ладно, хотя бы подобное
Читать полностью…
Как минимум по шифлевту с cve в PR беспощадно наличие хоть одной новой не обработанной cve - блок PR. Жаль скриншоты нельзя прикрепить.
Читать полностью…
Ну если у тебя идеальный вариант - круто конечно, чего уж тут добавить, но частота утечек этих самых говорит об обратном
Читать полностью…
Это к вопросу о ролях, мы тут говорили. Да, начальники, которые владеют конторами - они не особо интересуются и им эти картинки-цвета надо показать.
А вот если мы говорим про цисо - то он должен чётко понимать что у него делает и кто, всё таки он цисо
Ну вот отсюда ноги и растут, понял
Читать полностью…
Так, стоп. Хорошо. Какие задачи решает девсекопс?
Читать полностью…
Ну, я ситуацию описал, где бизнес-начальник ставит задачу - сделать безопасно, не поднимая вопроса о деньгах, типа любые капризы
Читать полностью…
А мы вообще про что? 😀
Читать полностью…
Когда некому - всегда можно себе 😂😅
Читать полностью…
Думаю ещё годик подождать надо, пока обратят внимание 😅
Читать полностью…
Dep-scan: ну да, ну да, пошёл я нахер 🙄
Читать полностью…
Ну и все равно не понял, применять уг owasp я бы не стал
Читать полностью…
Об этом есть в статье
Читать полностью…
анализ на уровне манифестов\контента проекта не даст гарантий что все зависимости определены корректно
только сборщик знает из чего он собирает код
лол хотел написать и разраб, но нет)))
все херня
главное он понимает depndencyTree
ИМХО киллерФича
Мой подход: https://habr.com/ru/companies/ingos_it/articles/836630/
Читать полностью…
С этим тезисом из статьи согласен, бизнес не сильно этого боится
Читать полностью…
Ну т.е. ситуация опять же упирается в нечёткое понимание кто за что отвечает
Читать полностью…
Потому, что хти 1.5 девопса автоматизировали этот процесс
Читать полностью…
В моем случае - сам обновляет базовый образ закрывая цвета
Читать полностью…
Вот ему эти цвета и показательны, видит красное - кричит внедряем, вот тебе + N спецов
Читать полностью…
Я когда-то даже % покрытия DevSecOps-ом считал, которая будет через квартал и которую хотелось бы в следующем году как обоснование бюджета
Читать полностью…
Наверное какая-то параллельная РФ 🤔
Читать полностью…