V
Ребят а кто как стал devsecops
Не уверен, что все прям стали ими )))
Size: a a a
2019 June 01
MM
Главное же не уязвимость, а подача.
IR
Не уверен, что все прям стали ими )))
Ты стал?)
V
Ты стал?)
Ну, я бы сказал немного)
Я думаю и двигаю security, и разрабы у меня сами про нее тоже думают и понимают. Но пока не в приоритете номер 1 ,чтобы завещать все sast и dast и поддерживать это. На это уже не хватает ресурсов) я двигаю с точки зрения mindset и чекаю архитектуру и артефакты.
И что такое "как стать DevSecOps" не оч понятно)
1) это так же культура
2) берешь - и всегда думаешь о security в том числе, думаешь как хакнуть себя же))
Я думаю и двигаю security, и разрабы у меня сами про нее тоже думают и понимают. Но пока не в приоритете номер 1 ,чтобы завещать все sast и dast и поддерживать это. На это уже не хватает ресурсов) я двигаю с точки зрения mindset и чекаю архитектуру и артефакты.
И что такое "как стать DevSecOps" не оч понятно)
1) это так же культура
2) берешь - и всегда думаешь о security в том числе, думаешь как хакнуть себя же))
V
Огонь
Блин, только теперь понял тему
MM
По поводу?
MM
Векторов?
V
По поводу PoC
I
| sh должен насторожить как бы
V
Ну тип, открытие sh на nginx, выполнение кода 😂
I
он файл качает с сервера петросяна (curl -O) и запускает его локально (|sh)
I
можно посмотреть:
curl 2.56.240.106
RR
Ниче нипонил
RR
Бояться или нет?
V
Бояться или нет?
Бояться. Ну или везде обновляться на самую самую свежую версию
RR
То есть можно удаленно чего сделать?