Size: a a a

DevSecOps - русскоговорящее сообщество

2019 May 21

AA

Alexander Akilin in DevSecOps - русскоговорящее сообщество
Сергей
А деятельность какая? Данные карт храните-обрабатываете?
обрабатываем, да, храним и обфусцируем в монге
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
МПС, если узнают, давят на банк, банк уже будет давить на вас
источник

N

Nklya in DevSecOps - русскоговорящее сообщество
главное не обфусцировать в base64)
источник

AA

Alexander Akilin in DevSecOps - русскоговорящее сообщество
Сергей
МПС, если узнают, давят на банк, банк уже будет давить на вас
да я как раз таки за бест практис, поэтому я и здесь :) и так как мой мозг ленивое чмо, пытаюсь понять, что из этого критично для аудиторов, а что нет. ищу либы в инторнете, чтобы понять, пофикшены ли эти уязвимости, и вижу, что нифига. вопрос: что с этим делать? да, эти уязвимости известны с 2017 года, образы перезаливаются при каждом деплое. теперь надо понять, делаю ли я что-то не так, есть ли возможность удалять это говно из публичных образов при сборке, и будет ли после этого работать JVM :)

если я что-то не так говорю, буду радоваться какашкам и критике с вашей стороны
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
источник

AA

Alexander Akilin in DevSecOps - русскоговорящее сообщество
собственно, именно сейчас вопрос касается именно сканирования докер-образов
источник

YS

Yury Shabalin in DevSecOps - русскоговорящее сообщество
В 19% популярнейших Docker-образов нет пароля для root
https://habr.com/ru/post/452754/?utm_campaign=452754
источник

YS

Yury Shabalin in DevSecOps - русскоговорящее сообщество
к вопросу про стандартные образы докера)
источник

AA

Alexander Akilin in DevSecOps - русскоговорящее сообщество
ну, вот я про то же
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
По стандарту  у вас должeн быть процесс Vulnerability management. Все применимые уязвимости должны устраняться не позже чем через месяц после исправления вендором. Если вы не можете это обеспечить, должны быть описаны компенсационные меры, которые тоже не должны нарушать требования стандарта.
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
Докера в реалиях PCI DSS не существует, есть только виртуальные машины и требования к изоляции сервисов. Исходите примерно из этого, но лучше сесть и прочитать стандарт.
источник

AA

Alexander Akilin in DevSecOps - русскоговорящее сообщество
есть болячки, они публично известные. я в данный момент, например, завишу от JVM, соответственно, это же логично, что я хочу использовать openjdk образ, лучше них я его не смогу собрать, наверное :)
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
Почему не сможете? Докерфайл поправили и вперёд.
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Alexander Akilin
есть болячки, они публично известные. я в данный момент, например, завишу от JVM, соответственно, это же логично, что я хочу использовать openjdk образ, лучше них я его не смогу собрать, наверное :)
Если не секрет, на какой уровень готовитесь?
источник

AA

Alexander Akilin in DevSecOps - русскоговорящее сообщество
Сергей
По стандарту  у вас должeн быть процесс Vulnerability management. Все применимые уязвимости должны устраняться не позже чем через месяц после исправления вендором. Если вы не можете это обеспечить, должны быть описаны компенсационные меры, которые тоже не должны нарушать требования стандарта.
спасибо за уточнение. то есть я правильно понимаю, что образ openjdk:8-jre - есть ресурс и продукт, которые предоставляются вендором в данном контексте?
источник

AA

Alexander Akilin in DevSecOps - русскоговорящее сообщество
Stanislav Sharakhin
Если не секрет, на какой уровень готовитесь?
Data provider, кажется, первого уровня :)
источник

AA

Alexander Akilin in DevSecOps - русскоговорящее сообщество
но я могу соврать
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
Alexander Akilin
спасибо за уточнение. то есть я правильно понимаю, что образ openjdk:8-jre - есть ресурс и продукт, которые предоставляются вендором в данном контексте?
В стандарте тоже ничего такого не помню. Вы должны сами обеспечить свою безопасность и соответствие требованиям стандарта в разумных пределах. Если есть исправления в самом OpenJDK, но нет в докер образе, я бы на месте аудитора сказал, что это ваша проблема, а не проблема вендора.
источник

AA

Alexander Akilin in DevSecOps - русскоговорящее сообщество
чота запустил я trivy openjdk:8-jre и совсем погрустнело мне
источник

KS

Konstantin Sverdlov in DevSecOps - русскоговорящее сообщество
Elasticsearch core security features are now free

We are moving core security features for Elasticsearch and Kibana into the free, default distribution of the Elastic Stack, starting with version 6.8 and 7.1, which we released today. This means that users can now encrypt network traffic, create and manage users, define roles that protect index & cluster level access and fully secure Kibana with Spaces - for free! (Note, these features are already part of our standard Elasticsearch Service hosted offering today.)
источник