В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DevSecOps - русскоговорящее сообщество

698 membersпожаловаться на группу
2021 March 01

S

Slach in DevSecOps - русскоговорящее сообщество
если у вас есть у людей доступ к кластер
внутрь подов и в подах есть shell
то тогда это все хрень
да и просто если доступ в кластер есть. то всегда есть шанс что кластер не до конца секурный и дырка найдется чтобы переменные окружения посмотреть
источник
17:25пожаловаться#1

S

Slach in DevSecOps - русскоговорящее сообщество
то есть вы определитесь от кого шифруете? от своих?
источник
17:25пожаловаться#2

S

Slach in DevSecOps - русскоговорящее сообщество
а кластер у вас уже секурный? хотя бы kube bench от aquasec хоть раз запускали? а рекомендации оттуда все сделали?
источник
17:26пожаловаться#3

BK

Bogdan Kanivchenko in DevSecOps - русскоговорящее сообщество
kube-bench запускал, ничего критического не выбило
источник
17:28пожаловаться#4

S

Slach in DevSecOps - русскоговорящее сообщество
ок. шифруем от своих ? ок. люди могут shell внутри pod запустить? или весь деплоймент строго на ci/cd ?
источник
17:55пожаловаться#5

BK

Bogdan Kanivchenko in DevSecOps - русскоговорящее сообщество
Даже если только через ci/cd, они все равно могут прописать gitlab-ci с print env
источник
18:01пожаловаться#6

KG

Konstantin Grudnev in DevSecOps - русскоговорящее сообщество
Slach
ок. шифруем от своих ? ок. люди могут shell внутри pod запустить? или весь деплоймент строго на ci/cd ?
можно distroless попробовать использовать https://github.com/GoogleContainerTools/distroless
GitHub
GoogleContainerTools/distroless
🥑  Language focused docker images, minus the operating system.   - GoogleContainerTools/distroless
источник
18:01пожаловаться#7

S

Slach in DevSecOps - русскоговорящее сообщество
Bogdan Kanivchenko
Даже если только через ci/cd, они все равно могут прописать gitlab-ci с print env
если логирование правильно настроено то вроде как маски на секреты делаются... в gitlab вроде так...
источник
18:28пожаловаться#8

VK

Viacheslav Kaloshin in DevSecOps - русскоговорящее сообщество
Slach
если логирование правильно настроено то вроде как маски на секреты делаются... в gitlab вроде так...
злобны разраб может просто прямо в шаг ci/сd вставить "выведи мне страшно секретный токен" и ничего этому не помешает
источник
18:29пожаловаться#9

S

Slach in DevSecOps - русскоговорящее сообщество
Konstantin Grudnev
можно distroless попробовать использовать https://github.com/GoogleContainerTools/distroless
GitHub
GoogleContainerTools/distroless
🥑  Language focused docker images, minus the operating system.   - GoogleContainerTools/distroless
его везде не прикрутишь
=)

на самом деле закручивая гайки по секурити, тупо разрабы потом не смогут дебажить ничего толком на проде, будет постоянный "подземный стук в полу"
либо будут "волшебники которые умеют гадать на кофейной гуще \ логах"
а какой нибудь kube flame или kube sniff уже толком не запустишь
источник
18:30пожаловаться#10

S

Slach in DevSecOps - русскоговорящее сообщество
Viacheslav Kaloshin
злобны разраб может просто прямо в шаг ci/сd вставить "выведи мне страшно секретный токен" и ничего этому не помешает
ну только если у вас логи ci/cd в сыром виде хранятся
и не маскируются

посмотрите как github actions секреты в выводе маскирует
источник
18:30пожаловаться#11

VK

Viacheslav Kaloshin in DevSecOps - русскоговорящее сообщество
Slach
ну только если у вас логи ci/cd в сыром виде хранятся
и не маскируются

посмотрите как github actions секреты в выводе маскирует
это если он знает, что это секреты 🙂
источник
18:32пожаловаться#12

S

Slach in DevSecOps - русскоговорящее сообщество
кстати да =) сделать python -c "import os; print(os.environ)"
источник
18:41пожаловаться#13

S

Slach in DevSecOps - русскоговорящее сообщество
в общем, часто я лично понимаю что если есть доступ к кластеру
то секреты по нормальному должны приложением из vault по протоколу браться
источник
18:42пожаловаться#14

S

Slach in DevSecOps - русскоговорящее сообщество
но кубер вообще пошел какой то дурной дорогой

и у нас вместо нормальных кросс языковых SDK в которых реализовано все что надо
появляются костыли которые из обычных приложений пытаются делать 12 факторные... типа service mesh и vault secrets
источник
18:43пожаловаться#15

KG

Konstantin Grudnev in DevSecOps - русскоговорящее сообщество
Slach
в общем, часто я лично понимаю что если есть доступ к кластеру
то секреты по нормальному должны приложением из vault по протоколу браться
По нормальному вообще HSM желательно иметь, но это мало кому интересно
источник
18:55пожаловаться#16

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Bogdan Kanivchenko
У меня стоит вопрос шифровать секреты куба, для того чтобы хранить их в git'e, нашел три инструмента: SealedSecrets, kamus, sops
Кто какие инструменты использует и что можете посоветовать?
А смысл изголяться, если секрет можно будет подставить тот же самый и приложение расшифрует его и примет как надо?
источник
19:12пожаловаться#17

AA

Artyom Abramovich in DevSecOps - русскоговорящее сообщество
Viacheslav Kaloshin
злобны разраб может просто прямо в шаг ci/сd вставить "выведи мне страшно секретный токен" и ничего этому не помешает
зачем разраб в CI ходит?
источник
19:14пожаловаться#18

VK

Viacheslav Kaloshin in DevSecOps - русскоговорящее сообщество
Artyom Abramovich
зачем разраб в CI ходит?
логи смотреть, чего сломалось или наоборот.
источник
19:43пожаловаться#19

AA

Artyom Abramovich in DevSecOps - русскоговорящее сообщество
ну и пусть смотрит, зачем ему писать туда?
источник
19:49пожаловаться#20