IA
Что такое этот ваш devsecops
Size: a a a
2021 February 02
IA
Должен ли appsec эксперт за ту же ЗП чистить засоры в офисных туалетах
DY
А можно предметнее вопрос?)
С
А отсутствие засоров снизит риски эксплуатации корп приложения?
IA
А отсутствие засоров снизит риски эксплуатации корп приложения?
Выше гигиена разработчиков- ниже риски для цикла разработки
IA
Уверен, какой-нибудь рекрутер добавит подобную строчку в список требований к экспертам
2021 February 03
VS
Хах)) зачот)
VK
Красота! См 427ю строку :)
2021 February 05
AA
вот что платят в devsec
KG
вот что платят в devsec
И опыт 5 лет в DevSecOps, хотя сама область DevSecOps стала оформляться 2-3 года назад
И
И опыт 5 лет в DevSecOps, хотя сама область DevSecOps стала оформляться 2-3 года назад
Да, люблю такое😂👌
F
И опыт 5 лет в DevSecOps, хотя сама область DevSecOps стала оформляться 2-3 года назад
Возраст до 25, суммарный опыт в айти от 15
D(
И опыт 5 лет в DevSecOps, хотя сама область DevSecOps стала оформляться 2-3 года назад
Вроде намного раньше. Года с 10-13
D(
Вот первый коммит в devsecops bootcamp в 16 году был. Т.е. уже не 2-3 года направлению https://github.com/devsecops/bootcamp/commits/master
DP
Всем привет. А кто как trivy или аналоги использует для скана используемых образов в кубике? В CI/CD встроить не проблема, но в любом случае правильнее работающие образы тоже сканить, а не только во время деплоя.
Поясню какие пока были идеи и что смущает:
- тот же trivy сканит образ. есть всякие надстройки типа starboard, kubei которые как-то сканят ворклоад в кубе. но тогда возникает вопрос выгрузки их отчетов (которые валяются в кластере как CRD) куда-то на сторону (городить оператора?). плюс, я честно говоря пока так и не понял, как они сканируют, не ходя за образами в регистри. может, кто-то уже разбирался?
- была идея разворачивать trivy/аналог внутри каждого кластера, дергать по расписанию список используемых образов, потом идти за ними в регистри и сканить их. но тогда в секреты пода со сканером нужно отдавать токен с правами глобального чтения регистри, или же давать sa сканера разрешение на чтение секретов во всех NS - не очень хочется.
- можно бы присобачить внешний скрипт на отдельном хосте, который будет ходить в кубик, собирать образы текущего ворклоада, идти в регистри за этими образами и сканить их - но это какой-то плохо масштабируемый велосипед при размножении кластеров.
вероятно, я вообще пытаюсь идти не в правильном направлении и что-то лишнее изобретаю. хотелось бы услышать чьи-то работающие схемы, хотя бы в общих чертах.
платное - пока не вариант.
Поясню какие пока были идеи и что смущает:
- тот же trivy сканит образ. есть всякие надстройки типа starboard, kubei которые как-то сканят ворклоад в кубе. но тогда возникает вопрос выгрузки их отчетов (которые валяются в кластере как CRD) куда-то на сторону (городить оператора?). плюс, я честно говоря пока так и не понял, как они сканируют, не ходя за образами в регистри. может, кто-то уже разбирался?
- была идея разворачивать trivy/аналог внутри каждого кластера, дергать по расписанию список используемых образов, потом идти за ними в регистри и сканить их. но тогда в секреты пода со сканером нужно отдавать токен с правами глобального чтения регистри, или же давать sa сканера разрешение на чтение секретов во всех NS - не очень хочется.
- можно бы присобачить внешний скрипт на отдельном хосте, который будет ходить в кубик, собирать образы текущего ворклоада, идти в регистри за этими образами и сканить их - но это какой-то плохо масштабируемый велосипед при размножении кластеров.
вероятно, я вообще пытаюсь идти не в правильном направлении и что-то лишнее изобретаю. хотелось бы услышать чьи-то работающие схемы, хотя бы в общих чертах.
платное - пока не вариант.
JE
Всем привет, можно ли здесь постить вакансии?
NK
Всем привет. А кто как trivy или аналоги использует для скана используемых образов в кубике? В CI/CD встроить не проблема, но в любом случае правильнее работающие образы тоже сканить, а не только во время деплоя.
Поясню какие пока были идеи и что смущает:
- тот же trivy сканит образ. есть всякие надстройки типа starboard, kubei которые как-то сканят ворклоад в кубе. но тогда возникает вопрос выгрузки их отчетов (которые валяются в кластере как CRD) куда-то на сторону (городить оператора?). плюс, я честно говоря пока так и не понял, как они сканируют, не ходя за образами в регистри. может, кто-то уже разбирался?
- была идея разворачивать trivy/аналог внутри каждого кластера, дергать по расписанию список используемых образов, потом идти за ними в регистри и сканить их. но тогда в секреты пода со сканером нужно отдавать токен с правами глобального чтения регистри, или же давать sa сканера разрешение на чтение секретов во всех NS - не очень хочется.
- можно бы присобачить внешний скрипт на отдельном хосте, который будет ходить в кубик, собирать образы текущего ворклоада, идти в регистри за этими образами и сканить их - но это какой-то плохо масштабируемый велосипед при размножении кластеров.
вероятно, я вообще пытаюсь идти не в правильном направлении и что-то лишнее изобретаю. хотелось бы услышать чьи-то работающие схемы, хотя бы в общих чертах.
платное - пока не вариант.
Поясню какие пока были идеи и что смущает:
- тот же trivy сканит образ. есть всякие надстройки типа starboard, kubei которые как-то сканят ворклоад в кубе. но тогда возникает вопрос выгрузки их отчетов (которые валяются в кластере как CRD) куда-то на сторону (городить оператора?). плюс, я честно говоря пока так и не понял, как они сканируют, не ходя за образами в регистри. может, кто-то уже разбирался?
- была идея разворачивать trivy/аналог внутри каждого кластера, дергать по расписанию список используемых образов, потом идти за ними в регистри и сканить их. но тогда в секреты пода со сканером нужно отдавать токен с правами глобального чтения регистри, или же давать sa сканера разрешение на чтение секретов во всех NS - не очень хочется.
- можно бы присобачить внешний скрипт на отдельном хосте, который будет ходить в кубик, собирать образы текущего ворклоада, идти в регистри за этими образами и сканить их - но это какой-то плохо масштабируемый велосипед при размножении кластеров.
вероятно, я вообще пытаюсь идти не в правильном направлении и что-то лишнее изобретаю. хотелось бы услышать чьи-то работающие схемы, хотя бы в общих чертах.
платное - пока не вариант.
Trivy сканит по базовому образу и слоям. в локальной базе хранится список уязвимостей, и при скане версии образов и софта матчатся и вылетают в виде списка уязвимостей в результаты.
В теории, можно поднять trivy как сервер
А на сборочных агентах раскидать клиентов. После скана, результаты отправлять в defectdojo или в другой сервис (в сам CI)
Сканить все ворклоады не тема. Лучше вкорячить в CI.
А по поводу доступа - размещайте рядом с регистром. И токен для сервера пропишите в конфигах.
В теории, можно поднять trivy как сервер
А на сборочных агентах раскидать клиентов. После скана, результаты отправлять в defectdojo или в другой сервис (в сам CI)
Сканить все ворклоады не тема. Лучше вкорячить в CI.
А по поводу доступа - размещайте рядом с регистром. И токен для сервера пропишите в конфигах.
NK
Можно смотреть в сторону сканеров вшитых в регистр. Типа JFrog Artifactory + jfrog XRay