1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Скорее в общей стратегии (чтобы в будущем если это не только артифактори), но в конкретный момент времени - только он, да
Читать полностью…
то есть вопрос в развертывании Арти?
Читать полностью…
HA - High Availabilty
Читать полностью…
это то что я не ожидал тут увидеть)
Читать полностью…
оба варианты возможны
Читать полностью…
Почему-то клавиатура токен на член пытается заменить 🤡🤔
Читать полностью…
А что с того что кто-то увидит твой токен?
Читать полностью…
Ну правильно, вместо них будем показывать очередную "уж я то знаю как правильно" реализацию токенов
Читать полностью…
https://curity.io/resources/learn/phantom-token-pattern/
Читать полностью…
Прикреплю свежую версию расписания:
Читать полностью…
Коллеги, добрый день! Не сочтите за рекламу, все у нас бесплатно и для слушателей и для спикеров. Вчера на встрече сообщества SDL в РФ про такую активность рассказывал. Тема внедрения БРПО весьма сложная. Вот, пытаемся разбираться вместе. Добро пожаловать! Уже прошло 4 вебинара, впереди ещё 6 и экзамен для слушателей) Но, судя по запросам, мы продолжим вещание и дальше, чем 10 вебинаров.
Читать полностью…
Почему я о методичках радею? - с ними очень удобно вести переговоры с руководством/разрабами/тестерами по процессу. Аргумент "Свыше велено" очень хорошо кроет любое их своеволие :)
Читать полностью…
Все больше и больше компаний вступают в сертификацию РБПО, ФСТЭК готовит хорошие документы, становится понятнее + коллеги рассказывают о собственном опыте. Прорвёмся)
Читать полностью…
Как вчера выяснилось, на 2025 почти все расписано
Читать полностью…
Не, ты же у себя так называемую лабораторию делаешь для сертификации процесса РБПО, поэтому каждое изменение тоже документируешь, но улучшать то не возбраняется
Читать полностью…
фишка в том, что даже если доскер и хакнут - есть риск выхода хакИра на узел
Читать полностью…
что за софт? вы уже пакуете его в контейнеры?
Читать полностью…
А нана виртуалки простыми словами - это вообще что?
Читать полностью…
сам по себе доскер 25% деградации не дает
Читать полностью…
Всем привет, вопрос около ИБ.
Ситуация: разворачивается некотороый сервис в режиме HA на виртуальных машинах (три ноды). Разворачивается просто на виртуалке, не в контейнерах.
Позиция инженеров: контейнеризация съедает ресурсы системы
Позиция безопасности: если вам этот сервис хакнут или если вам потребуется его обновить - вы замучаетесь это делать + дополнительная головная боль безопасности для вычистки после взлома.
Вопрос: в похожей ситуации (когда вы разворачиваете сервис в HA на виртуалках) вы упаковываете приложение в контейнер или устанавливаете сразу на виртуалку?
P.S. Ресерчи читал, про ~25% degradation из-за докера знаю
audience и scope например
Читать полностью…
Нет бы стандарт взять (paseto.io)
Читать полностью…
Чтобы не светить клиенту jwt токены
Читать полностью…
Приветствую! Кто-нибудь реализовывал Phantom token exchange protocol на уровне Kubernetes Ingress/Gateway?
Читать полностью…
БЕСПЛАТНЫЕ ОНЛАЙН ВЕБИНАРЫ!
Уважаемые слушатели!
Каждую среду в 19.00 Учебный центр МАСКОМ проводит бесплатные онлайн вебинары по направлению РБПО👨💻
Специально для вас мы пригласили в качестве спикеров настоящих профессионалов в области кибербезопасности - разработчики, руководители разработки и преподаватели-практики из ведущих ВУЗов страны (МАИ, Мосполитех, МГТУ им. Н.Э. Баумана, РосНОУ) эксклюзивно поделятся своим опытом и секретами разработки
📝Всем, кто поучаствует в минимум 5 вебинарах и сдаст финальный экзамен, будет выдан именной сертификат
РЕГИСТРАЦИЯ
РАСПИСАНИЕ ВЕБИНАРОВ
О))про РБПО, интересное, тоже стараемся, в процессе
Читать полностью…
Я думаю, что это просто неизбежно. Разница между ГОСТ 2016 и 2024 весьма значительна, хотя, да, нужно и его, наверное, "вылизать", нет пределов совершенству. Нужно только поскорее два методических сделать, по внедрению и проверке соответствия, с тем, чтобы минимизировать разносортицу в процессе (она, безусловно, неизбежна, но лучше строить всё каким-то одним /несколькими оптимальными способами, я так думаю)
Я, всё же, не только за учебники, но и за методички :)
Так что можно не гнать коней и обтачивать процесс. Если обзавестись какими-то материалами по тому ГОСТу/методике, что будет описывать процесс оценки - ещё лучше, авто-аудит можно провести приближённый к реальности.
Читать полностью…
Либо заносить статью расходов для внешней лабы, у которых уже расписано все на 3 года вперед работ)
Читать полностью…
Ну, я не вижу никаких соображений относительно ап.версий, кроме чисто экономических, если нет критерия по регулятору. Если нет никаких заморочек с применением для серт.продукции или чего-то похожего (процесса рбпо в целом), то я исхожу из минимизации угроз по линии безопасности. Т. Е. использование крайних версий предпочтительнее.
Разумеется, если внутренний нарушитель "минимален", и нет неконтролируемого взаимодействия с внешними сетями, то можно и на старых работать, в принципе, отчего нет..