DS
Size: a a a
2021 June 15
C
Godwin Hopeу has been banned! Reason: CAS ban.
2021 June 16
Д
Не ругался просто сказал что надежды нет
C
Привет, Denis Santiago! Это сообщение автоматической модерации специально к Тебе! Тебе необходимо согласиться с правилами чата "Обсуждения техдирские", чтобы далее общаться в чатике! Нажми кнопку "Согласен!" ниже этого текста!
2021 June 17
D
Добрый день! Кто сталкивался с импортозамещением и использованием Docker Engine, какие аргументы для службы ИБ можно привести, чтоб они поняли что можно использовать его?
VK
Что значит какие? Все их любимые: изоляция приложений, контроль над процессом передачи кода в прод и прочие их мантры
VK
Нашим в своё время зашли сказки про проверки на уязвимости на всех этапах и подпись образов :)
BB
а причем здесь импортозамещение ?)
BB
главное чтобы их здесь в чате не было тоже ... ))
VK
Не, ну пару тулзов мы вставили в пайплайн, все были довольны и выкатили наверх победные реляции :) и все, больше не мешали :)
AS
Если импортозамещение - то на альте он вроде бы доступен.
А если с ИБ, то через разговоры на тему "А давайте на него посмотрим повнимательнее, поищем проблемы и т.п.".
Раз-два-три поговорили вообще, потом по делу составили возможные правила и ограничения использования чужих образов, типа "не тянуть внутрь неизвестно что".
Ну а дальше они уже сами со своей колокольни прорабатывают, разработка со своей. И договариваемся, договариваемся и ещё раз договариваемся.
А если с ИБ, то через разговоры на тему "А давайте на него посмотрим повнимательнее, поищем проблемы и т.п.".
Раз-два-три поговорили вообще, потом по делу составили возможные правила и ограничения использования чужих образов, типа "не тянуть внутрь неизвестно что".
Ну а дальше они уже сами со своей колокольни прорабатывают, разработка со своей. И договариваемся, договариваемся и ещё раз договариваемся.
D
Линукс - Роса, все образы наши собственные. Пока невнятное нет и всё, вражеское ПО.
BB
если действительно нужно ИБ, то никаких левых обарзов быть не может
всё должно собираться в своем окружении
если чтото понравилось на стороне, то как правило докерфайлы доступны, можно взять к себе и повторить
всё должно собираться в своем окружении
если чтото понравилось на стороне, то как правило докерфайлы доступны, можно взять к себе и повторить
D
Они не против образов, они против использования докера в целом
AS
Про подписи, верификации - мы рассказать не успели даже, они сами копают и думают, чего требовать, чего нет. Разговор с уважительных позиций многое решает.
AS
В любом случае нужно понять аргументы, чтобы была тема разговора. Но у меня с ИБ рабочие отношения нормальные, с уважением к их задачам.
BB
как ИБ может быть против докера ?
в докере нет букв И и Б ))
это как быть , я не знаю, против systemd , например 😂😂
просто же технология
более того, которая как раз некоторые проблемы ИБ, позволяет решать гораздо удобнее
сохранять минимальной поверхность атаки хостующих ОС
и держать всегда актуальными образы приложений рабочей нагрузки
в докере нет букв И и Б ))
это как быть , я не знаю, против systemd , например 😂😂
просто же технология
более того, которая как раз некоторые проблемы ИБ, позволяет решать гораздо удобнее
сохранять минимальной поверхность атаки хостующих ОС
и держать всегда актуальными образы приложений рабочей нагрузки
K
когда пришел в контору, уже было сделано - безопасники требовали прохождения checkmarx + cobra (статический анализатор) для подписания контейнера
АЛ
К сожалению ИБ это процесс. Бумажный. И этому процессу все эти докеры, шмокеры до фанаря. Может быть где то высоко в горах на цветущих лугах и пасутся умные, технически грамотные представители безопасности. Но как правило встречаются профессиональные составители инструкций. И есть ощущение, что не работают эти самые инструкции...
#ЯМыSystemD
#ЯМыSystemD
BB
а в итоге потом ломают не дырявое приложение , а людей )
и с валидными паролЯми, токенАми проходят, как в открытую дверь куда надо )))
и с валидными паролЯми, токенАми проходят, как в открытую дверь куда надо )))