1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Пытаются масштабировать путём набора людей, только людей нет
Читать полностью…
Ребятки подскажите, а как завайтлистить скан в tenable сканере?
Все обшарил - не нашел. Оно реально не умеет или я уже в глаза того?))
Нуууу... в компаниях на 70к..100к по миру оно слишком рамазано. Одни - партнёры, другие аудиторы, кто-то церберы... в среднем, если апп тима не творит ад - помогают быть compliant все
Читать полностью…
В 3х больших финтехах мирового масштаба: Формальным политиками и тренингами представили на онбординге и обещали кары, если аудит что-то найдёт, что б соблюдали ))
Читать полностью…
Удаленная занятость с хорошим доходом:
_От 18 лет.
_несколько часов в день.
Если интересно пиши в ЛС.
подписать его, положить в образ, и еще раз подписать
Читать полностью…
был на офзоне такой доклад
там кто-то даже сием прикручивал к изменению хэш сумм внутри виртуалки\контейнера
наркомания)))нравится
да
но вроде как почему нет
подписать то не проблема
а вот с проверкой чет хз пока
но ок
Сбилдил джар - сделал чек сумму.
Билдишь докер - проверяешь чек суммы пакуемого и делаешь чек сумму результата
и будет ли доводом что передача артифактом между джоб сопровождается проверкой хэш сумм артифакта
Читать полностью…
На среде, защищенной от подмены, делаешь финальный ша256 дистра.
Читать полностью…
distroless еще не? не шарю за разницу как по мне однохуйственные штуки
Читать полностью…
У тебя есть цепочка поставки. Первое, что надо сделать - контролируемую среду доступа к машинам сборки.
Таким образом первый шаг по изоляции от возможной подмены сделан.
Дальше верифицируешь код этой среды, защищаешь среду от изменений и убеждаешься, что пакеты из условного mvn.org / mvnrepository.com попадают к тебе напрямую в эту среду
там же собирается твой верифицированный код и идет в такое же защищенное хранилище дистров твоих релизов и патчей.
Сверху мониторинг ситуации + на финальной стадии какой-то чекер собранного дистра
напиши свою )))) полностью from scratch
Читать полностью…
И доставка контрольных сумм на все объекты дистра по альтернативному выделенному каналу.
Читать полностью…
Это нравится, жалко нигде не встречал
Читать полностью…
Но с практикой "чем дальше от айти - тем меньше уделяю внимания секу" я столкнулся ещё году в 2006м в РФ ОАО
Читать полностью…
То есть сесурити больше как контрольный орган?
Читать полностью…
Всем привет, Говоря про общую ответственность: как вы внедряли ее у себя?
Может быть есть какие-то доклады по этой теме?
И с сертификатом из тпм2 целевой системы зашифровать )))
Читать полностью…
sbom надо сгенерировать
Читать полностью…
Зная чек суммы файлов внутри докера можно потом проверить хоть даже при запуске контейнера
Читать полностью…
Мне кажется кто-то где-то параноит ))) Как в аэропорту Стамбула отбирают даже маникюрные ножницы и перочинные ножи меньше ладони
Читать полностью…
я пока такую отъёбку придумал))))
но вот если уже потом брать из нексуса то как бы не катит
ну смотри
я вот в одной джобе сбилдил джарник
во второй у меня канико собирает образ по докерфайлу в котором сказано COPY джар в папку
где проверять
вооот
а как ты будешь контрлировать подпись джарников???если они в имадж уезжают через COPY в докерфайл?
При это идет разделение команд, имеющих доступ к средам, что б девелопер не мог пролезть в релизные среды, а инженер релизов лучше бы вовсе не знал девелоперов. И ты ты... там очень много организационной работы.
У jar-ников в repo1.maven.org есть чексуммы, можно тупо натравить чекалку на финальный дистр, но это одноразовое мероприятние мониторинга, условно между стратами чекалки можно подменить...
насчет мавена - ну, подписи где угодно
Читать полностью…
Есть какой-нибудь гайд, как это правильно делать?
Не очень понимаю, как убедиться, что либу не подменили в условном мавене
подписывать все, что можно. И процесс контролировать. Защищенные ветки. Защищенные раннеры. Все изменения в процессе - документируется и через особый пайплайн прокручиваются
Читать полностью…