1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
та же Кафка, постгрес и прочее
Читать полностью…
это вообще про другое
Читать полностью…
Да не, яж не говорю что это вообще кайф и мы там на раз два...но таковы реалии
Читать полностью…
Если нужен будет уникум за дорого я бы поучаствовал. Где-то через год-полтора 🤔
Читать полностью…
Ха-ха-ха, у тебя походу никогда проблем со сборкой из исходников не было
ах этот чудесный опен сорс 🤡
Локальная сборка лишь убедит тебя что в бинарях те самые сорцы, что видит мир на гитхабе. «смотрю в книгу вижу фигу» 😂
Дальше…
Ты пробовал заниматься локальным SCA/SAST? 😂
Это очень ресурсоемо, особенно на старте SAST.
В общем это задача риск менеджмента компании определить насколько вам важно быть столь безопасными, оценить с финансами насколько эта безопасность дорога и понять что дешевле: забить и довериться или создать большую команду перебирающих открытый код
Для дев контура проще с хаба взять, если там нет секретных или чувствительных данных
Читать полностью…
Итого пока «взять с хаба, зажмуриться и верить 1 : 1 собирать всё с нуля внутри». Ничья
Читать полностью…
Обычно если не банк и прочее - перевес в первую сторону
Читать полностью…
Ты часом не в штурвал работаешь ?
Читать полностью…
Редхат, например, то что на гитхабе - совсем не то же самое, что идет в RHEL, хотя вроде как по запросу обязаны прислать
Читать полностью…
Раз два - да пофиг где. Там свой процесс сборки, который тебе надо переимплементировать у себя по принципу «чистой комнаты». Готов ?
Читать полностью…
А там и саст/сца/фаззинг
Читать полностью…
ты не знаешь - что собирать - раз
два - у тебя пайплайн сборки весь есть?
три - разницы с тем, что ты доверишься докер контейнерному образу СОБРАННОМУ тем же чуваком - нет
И Кафке 😂
Жил себе спокойно, а потом внезапно проснулся в кровати и ощутил себя девопсом 😐😅
бери у опеншифта или доверенных поставщиков, все сервисы менеджед
Читать полностью…
Так в этом и смысл, убедиться что это те самые сорсы. Ска и саст да, сложно, но только 1 раз, потом же инкрементал и там объемы вообще небольшие будут.
Между довериться и пересобирать всё есть же еще куча вариантов, мне вот вариант с выделением критических узлов и пересборкой ПО для этих узлов импонирует, например. Понятно, что пересобирать всё - невозможно, но то критичное - почему бы нет, имхо.
Порой пройдя круги ада уже не захочется возвращаться в них ни за какие деньги
Читать полностью…
Специально обученный уникум 🤡
Читать полностью…
Вообще это безопасник должен определить вместе с ИТ является ли это весомым риском)
Ну а так вообще хернёй заниматься с пересборкой компонентов это только для дрочерства по РБПО и всяких там других приблуд и льгот от ФСТЭКа. Время тратить на такой серч могут только независимые ресерчеры) ну или сотрудник, если у него по другим рабочим задачам геморроя не хватает)))
А можем опрос прикрутить, с разными вариантами, может еще кто потыкает, получим срез?
Читать полностью…
Возьмете меня к себе ? Всего лишь ничего - 500кк в наносекунду
Читать полностью…
Нет)))но идём к их аналогу..
Читать полностью…
Надо соотносить «скорость разработки» и риски со стоимостью реализации пайплайна полностью безопасной сборки
Читать полностью…
Согласен, но это частности, могут быть могут не быть. Но в целом понял, спасибо.
Читать полностью…
Так исходников может не быть.
Читать полностью…
По последнему пункту не понял, есть же, например, сертефицированые, которые изучены вдоль и поперек. Взял его, взял исходники, установил внутрь?
Читать полностью…
Ну, нет
Раз,два - ваще не понял, как правило все на гитхабе в проекте
Три - у тех кто в рбпо, можно сразу с этого пункта начинать
Так не логичнее брать исходники, их чекать и собирать самому внутри?
Читать полностью…
как там кафку собирают на докерхабе - честно говоря - одному богу ведомо
Читать полностью…