1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Ну кроме jarsigner
Есть ченть типа политики киверно которая проверяет подпись имаджа ? Только для джарников и канико))))
Какие есть варики проверять джарник при билде имаджа ?
Читать полностью…
Но если его пихнут в докер - в рамках контейнера он будет некоторое время жить и вряд ли сразу выйдет на хостовую тачку, где уже инженер мог забыть что-то (те же ssh ключи)
Читать полностью…
Это прям в яблочко, кстати
Читать полностью…
Да и если установил один раз нормально, где гарантии, что во время обновления не начнутся косяки? (Условно, выдача временных прав на папки, которые станут постоянными etc.)
Читать полностью…
Все зависит от сервиса. Если это софт тащет кучу зависимостей (например, что-то на питоне+джанго) - проще в контейнере. Если сервис сложно менеджерить (например, постгря) - без докера.
Читать полностью…
Это да, но такое случается, если слишком жирно раскатить контейнер (privileged) или забыть обновить ядро в большинстве случаев
Читать полностью…
я бы смотрел с точки зрения удобства менеджмента.
Читать полностью…
Скорее в общей стратегии (чтобы в будущем если это не только артифактори), но в конкретный момент времени - только он, да
Читать полностью…
то есть вопрос в развертывании Арти?
Читать полностью…
HA - High Availabilty
Читать полностью…
это то что я не ожидал тут увидеть)
Читать полностью…
оба варианты возможны
Читать полностью…
Почему-то клавиатура токен на член пытается заменить 🤡🤔
Читать полностью…
А что с того что кто-то увидит твой токен?
Читать полностью…
если вам этот сервис хакнут, то виртуалку на которой крутился контейнер вначале на DFIR, а потом всё равно на ресетап.если вам потребуется его обновить, то это можно делать как на VM, так и в контейнере, дело в навыках. И управлять централизованно софтом можно как на VM, так и в контейнере.
В общем, спасибо за дискуссию, буду думать)
Читать полностью…
ну, и jarник ты тоже не проверяешь )
Читать полностью…
Аргумент. Но с тем же успехом - если ты не проводишь аудит пакета установки - тебе в докер тоже могут напихать трояана через атаку на цепочку поставки
Читать полностью…
Имхо, шансов накосячить при установке просто на виртуалку чуть больше, чем если это раскатывать в контейнере (например, те же права на чтения директорий / настройки пользователя etc.)
Читать полностью…
можно и без привиледжед отгрести
Читать полностью…
плюс докер - лишние детали, которые тоже нужно уметь настраивать. Давно ли ты видел docker, торчащий портом в сеть?
Читать полностью…
и его закрепления там
Читать полностью…
фишка в том, что даже если доскер и хакнут - есть риск выхода хакИра на узел
Читать полностью…
что за софт? вы уже пакуете его в контейнеры?
Читать полностью…
А нана виртуалки простыми словами - это вообще что?
Читать полностью…
сам по себе доскер 25% деградации не дает
Читать полностью…
Всем привет, вопрос около ИБ.
Ситуация: разворачивается некотороый сервис в режиме HA на виртуальных машинах (три ноды). Разворачивается просто на виртуалке, не в контейнерах.
Позиция инженеров: контейнеризация съедает ресурсы системы
Позиция безопасности: если вам этот сервис хакнут или если вам потребуется его обновить - вы замучаетесь это делать + дополнительная головная боль безопасности для вычистки после взлома.
Вопрос: в похожей ситуации (когда вы разворачиваете сервис в HA на виртуалках) вы упаковываете приложение в контейнер или устанавливаете сразу на виртуалку?
P.S. Ресерчи читал, про ~25% degradation из-за докера знаю
audience и scope например
Читать полностью…
Нет бы стандарт взять (paseto.io)
Читать полностью…